KEYWORD ENCYCLOPEDIA

キーワード事典 | セキュリティに関するキーワードを解説

スミッシング
英語表記: Smithing

この記事をシェア

SMSを利用したフィッシング詐欺


メールを用いる形で行われることが多いフィッシング詐欺のうち、SMS(ショートメッセージサービス)を利用したものがスミッシングと呼ばれる。携帯電話の番号を把握できれば相手にメッセージを送付可能なSMSを用いることで、攻撃者は不特定多数のユーザーに対して一斉に詐欺を仕掛けることが可能だ。

今や肌身離さず持ち歩くスマートフォン(以下、スマホ)へダイレクトにメッセージを届け、偽装した送付元で巧妙な文章を送り付けることにより、メッセージへのアクションを促すのだ。具体的には、パスワードの変更を求めるもの、あるいは宅配便の不在通知などを送りつけ、偽サイトに誘導する。そして、誘導先の偽サイトでアカウント情報を入力させ、その情報を盗み出すというものだ。

スミッシング詐欺の手口

スミッシングの典型的な手口は、携帯電話会社や宅配会社を装ったメッセージである。「お客様のパスワードが漏えいしている可能性があります」、あるいは「荷物の不在通知」などといった文面を送り付ける。ターゲットのユーザーがメッセージ内のURLをクリックすると、公式サイトに酷似した偽サイトへ誘導されてしまう。

従来から存在する、一般的な迷惑メールの場合、メッセージ文面の日本語が不自然であったことから、多くのユーザーが容易に偽物だと気づくことができた。しかし、翻訳技術の向上や日本語を使いこなせる者が詐欺に協力していると考えられ、近年は文面から偽メールだと判別することは難しくなっている。加えて、誘導先の偽サイトも公式サイトに酷似、URLも巧妙に偽装しているケースが増えている。

SMSを用いたスミッシングの場合、攻撃者の電話番号を隠す仕組みも巧妙となっており、VoIPサービスや海外の配信事業者を利用し、巧みに送信元を偽装している。送信元にアルファベットを自由に使える国際網での接続を用いた場合、誰しもが知るサービスに送信元を偽装できるため、ユーザーは不審に思わずメッセージを開封、アクションしてしまう懸念がある。

スミッシングへの対策

スミッシングへの理想的な対策は、メッセージが届かないようにすることである。すべてのメッセージが届かなくなれば、当然ながらスミッシングによる被害も生じない。しかし、利便性を考慮すると現実的ではない。そのため、国内の携帯キャリア会社などが提供する、国際網接続のSMSを拒否する機能、海外電話番号メールの拒否機能など、スミッシングと疑われるメッセージをブロックする機能を利用することで、送り付けられるメッセージを減らすことが期待できる。

しかし、一部のメッセージはそうした対策をかいくぐってユーザーのスマホに届いてしまう。そのため、そうした危険が起こり得るという前提のもと、以下のような対策を講じておくことが推奨される。

セキュリティソフトの導入

近年のセキュリティ意識の高まりから、スマホに対応したセキュリティアプリも一般的になってきている。セキュリティアプリはスミッシングと疑われるメールそのものをブロック、あるいは仮にメッセージ内のURLをクリックしてしまった場合でも、偽サイトへのアクセスをブロックといった機能を有する。マルウェア感染対策としての機能も充実していることから、スマホ利用時の安全性を総合的に高めることができる。

不審なメッセージは無視する

アドレス帳に登録されている友人・知人からのメッセージ以外で届けられる、SMSのメッセージは疑いの目を持って確認すること。また、先述のように世間に名の知れたサービスや金融機関、配送業者などを騙るメッセージは数え切れないほどある。日常的に利用するサービスであれば、ほとんどの場合で公式のアプリが提供されているため、こうしたSMSが送られてきた場合、公式アプリやホームページからそのSMSの内容が正しいものか確認するようにしたい。また、サービスによってはユーザーにSMSを送信しないことを公式サイト上で名言しているケースもある。

詐欺の手法は年々、巧妙化の一途を辿っている。そのため、攻撃者の手法は常に変わり続けることを念頭に置くようにしたい。最近ではセキュリティ専門のWebメディアに加え、一般的なニュースサイトなどでもセキュリティの話題が取り上げられている。こうした情報を定期的にチェックし、詐欺の手法を頭に入れておくことで危険を回避する確率を高めることはできるだろう。

この記事をシェア

スマートフォンのセキュリティ対策に

サイバーセキュリティ
情報局の最新情報を
チェック!