第44回:今だから学ぶ! セキュリティの頻出用語:スミッシング とは?

「セキュリティに対する重要性は理解したけれど、用語が難しくて」という声を聞くことがよくあります。そんな方に「今だから学ぶ!」と題して、連載でセキュリティの頻出用語を解説します。第44回は「スミッシング」についてです。

スミッシングとは、Eメールの代わりに、モバイル特有の機能であるSMSメッセージを使用したフィッシング詐欺の一種で、正規の組織や企業を装い、偽のWebサーバーに誘導して、ユーザーのアカウント・パスワード、クレジットカード番号といった機密情報を収集する詐欺の手口です。

昨今、パソコンよりも携帯電話やスマートフォンが利用される中で、サイバー犯罪者の手口も変わりつつあります。特にSMSメッセージは、自分の電話番号宛にメッセージが送信されてくるため、すでに自分の電話番号を知っている(または、知られてしまった)相手からのメッセージだと思い込んでしまうユーザー心理につけ込み、巧妙に個人情報や金銭をだましとろうとするのです。

これまでに日本国内で発生した事例からスミッシング詐欺について学んでいきましょう。

事例1:銀行アカウントを狙ったスミッシング

2015年6月にフィッシング対策協議会より銀行アカウントを狙ったスミッシング詐欺について注意喚起がされています。三菱東京UFJ銀行や三井住友銀行といった大手銀行を名乗り、「オンラインバンキングのパスワードの有効期限が失効してしまうためパスワードを更新する必要がある」として、偽のWebサイトに誘導してユーザーの口座情報やパスワードを盗むのがその手口です。

1_3

フィッシングサイトのURLには、銀行名に似せたドメイン名が使われていたり、パスワード(password)を類推させるパラオのドメイン名(.pw)が使われていたりと、一見正規のものであると思わせ、ユーザーをフィッシングサイトに誘導します。フィッシングサイトも正規の銀行サイトのデザインを模倣することでユーザーに違和感を持たせることなく、ユーザーのアカウントやパスワードを盗みます。

2

正規サイトを模倣したフィッシングサイト :フィッシング対策協議会より

事例2:架空請求のスミッシング

2016年1月には、消費者庁から架空請求のスミッシングについて注意喚起のレポートが発行されています。その手口としては、「有料コンテンツの閲覧料金が未払いであり、早急に連絡しない場合には法的手続きに訴える」という脅し文句でユーザーに金銭の支払いを要求します。

3_2

ユーザーの罪悪感や不安な心理につけ込み、不安にかられSMSメッセージの最後に記載されている電話番号に連絡してきたユーザーから、言葉巧みに利用料金や解約料金を請求します。その際、ユーザーに大手通販サイトのギフトカードを購入させ、そのギフトカード番号を伝えることで架空料金を支払わせようとします。

DMM、J:COM、Amazon、FC2などの異なる発信者を名乗った同様の内容の架空請求のSMSメッセージが多数出回っていることから、サイバー犯罪者にとってある程度成果が出ている手法なのかもしれません。

事例3:Google社を騙るスミッシング

最近の事例として、2017年3月にはGoogleのAndroidスマホのユーザー数拡大に便乗したGoogle社を名乗るスミッシング詐欺について、フィッシング対策協議会が注意喚起をしています。「Google Playストアでアプリ・動画・電子書籍などを購入するための支払方法の登録である」と偽り、サイバー犯罪者が用意したフィッシングサイトに誘導しクレジットカード情報を盗みます。

4_3

フィッシングサイトでは、Google Playストアのロゴや正規サイト同様の丁寧な文言でユーザーに違和感を持たせることなく、ユーザー本人に名前、クレジットカード番号、有効期限、セキュリティーコードに加え、誕生日やメールアドレスを入力させます。

5クレジットカード情報登録のフィッシングサイト :フィッシング対策協議会より

また、Google社を騙った別の事例としては、「端末がウイルスに感染しているため、無料のウイルス除去を実行するよう」に促すスミッシング詐欺も出回っています。

6

誘導先のWebサイトでは、ユーザーを信じ込ませるために、偽のウイルス除去画面が表示された後、有料のアンチウイルスソフトの購入を勧められ、最終的には有料ソフト購入のために、ユーザーのクレジットカード情報を入力させるというのがその手口となっています。

これまでの事例で紹介してきたように、サイバー犯罪者はユーザーの心理や罪悪感といったものを悪用して言葉巧みにフィッシングサイトに誘導し、オンラインバンキングのアカウントやパスワード、クレジットカード番号といった金銭に関連したユーザーの機密情報を収集するのがその目的となっています。このようなスミッシング詐欺から身を守るためには、メッセージが不自然なものではないか、また、身に覚えのないメッセージでないかを確認するようにしましょう。また、サイバー犯罪者の心理的な罠に引っかからないように冷静に対応するためには、すぐにアクションを起こすのではなく、一日おいてから再度SMSメッセージを見直してみたり、友人や知人に相談してみるとよいかもしれません。


※本ブログは、マカフィー株式会社 モバイルマルウェアリサーチチーム シニアセキュリティリサーチャー 奥富 幸大(英文)によるものです。

【参考情報】

【関連記事】

第16回:今だから学ぶ! セキュリティの頻出用語 : フィッシング とは? 

今だから学ぶ! セキュリティの頻出用語シリーズ 過去10記事 
第43回:今だから学ぶ! セキュリティの頻出用語:権限昇格攻撃とは? 
第42回:今だから学ぶ! セキュリティの頻出用語:機械学習とは? 
第41回:今だから学ぶ! セキュリティの頻出用語:インターネット分離とは? 
第40回:「今だから学ぶ! セキュリティの頻出用語」:[特別編]2016年アクセストップ5は? 
第39回:今だから学ぶ! セキュリティの頻出用語:ペイロードとは? 
第38回:今だから学ぶ! セキュリティの頻出用語:IPスプーフィングとは? 
第37回:今だから学ぶ! セキュリティの頻出用語:バッファオーバーフローとは? 
第36回:今だから学ぶ! セキュリティの頻出用語:DDoS攻撃とは?  
第35回:今だから学ぶ! セキュリティの頻出用語:DoS攻撃とは? 
第34回:今だから学ぶ! セキュリティの頻出用語:常時SSLとは? 

「今だから学ぶ! セキュリティの頻出用語」アーカイブ 第1回~第19回 
「今だから学ぶ! セキュリティの頻出用語」アーカイブ 第21回~第39回