ログイン情報の窃盗や、マルウェアを拡散する方法として、サイバー犯罪者の間で広く普及している攻撃手法「フィッシング」については、多くの方がご存じかと思います。このような攻撃は増加の一途を辿っており、今後もなくなることはないと考えられます。
そんな中、ここ数年サイバー犯罪者たちが好んで使っているにも関わらず、名指しで報道されるケースが少ない「スミッシング」と呼ばれるフィッシング詐欺の種類があります。
「スミッシング」とは、ショートメッセージサービス(SMS)を使ったフィッシングのことです。SMSはスマートフォンで広く使われているコミュニケーション手段のため、サイバー犯罪者間で人気の詐欺手口となっています。
この記事では、スミッシング詐欺の概要や防御方法をご紹介します。
スミッシング詐欺の手順
スミッシング詐欺は、メールを使ったフィッシング詐欺と似ていますが、SMSはメールより開封率が高いほか、緊急性が高い案件使われることが多いため、標的が後先考えずにすぐに行動してしまう可能性が高くなります。実際ある調査によると、SMSの開封率は98%と言われており、サイバー犯罪者にとって魅力的な手段となっています。
サイバー犯罪者にとってのもう一つの利点として、スパムフィルターは多くの場合、フィッシングメールは阻止できるものの、SMSはブロックできないことが挙げられます。さらに、多くのスマートフォンユーザーは、スマートフォンはセキュリティ対策が充実していると思っており、PCと比べて、スマートフォンにウイルス対策アプリを導入している人は少なくなっています。
スミッシング詐欺の例
以下は、最も一般的なスミッシング詐欺の例です。このほかにも使われる題材はあるので、ぱっと見ではなく、過小評価せず、慎重に判断するようにしましょう。
- 金融機関からの通知: 銀行などの金融機関を装って、口座に不審な動きがあったことを報告、リンクをクリックして問題を解決するよう促す内容のメッセージ
- 宅配サービスからの通知:宅配ができなかったことを知らせ、リンクをクリックして配達を追跡するよう求めるメッセージ
- 納税通知:国税庁を名乗り、何らかの状況を解決するために、リンクをクリックするよう求めるメッセージ
- チャリティー詐欺: 慈善団体や非営利団体を名乗り、リンクをクリックし、寄付をするよう促すメッセージ
- 宝くじ詐欺: 標的がコンテストや抽選に当選したことを告げ、賞品を受け取るためのリンクをクリックするように要求するメッセージ
知らない人や、過去に利用経験のない企業からSMSを受信し、メッセージの中にリンクが含まれていたり、機密情報を要求してきたりする場合、まずは送信元が正規であるかじっくり考えてみてください。送信者の身元を確認せずに、リンクをクリックしたり、個人情報を提供しないようにしましょう。また、仮に悪意のあるリンクをクリックしてしまっても、サイトの表示をブロックするなどにより、スマートフォンやあなたの情報が保護されるよう、スマートフォンにセキュリティ対策を導入しておくことも重要です。
この記事は、2023年2月10日に公開されたSmishing: The elephant in the roomの抄訳です。
