宅配便の不在通知から、銀行の通知をよそおうものまで、フィッシングメール以上に被害が広がっています。
被害の内容や事例から、どうして「スミッシングが増えたのか」「SMSとメールのフィッシングはどこが違うのか」など基本から対策まで詳しくご説明します。
「スミッシング(SMSフィッシング詐欺)」とは?
スミッシング(=SMSフィッシング詐欺)とは何か?
聞き慣れないスミッシング(Smishing)とは、SMS(ショートメッセージ/ショートメール)を使ったフィッシング(phishing)詐欺メールのことで、SMSとフィッシング詐欺(Phishing)を組み合わせた造語です。
かつてはあまり見かけませんでしたが、2015年頃から、新たなネット犯罪の手段として使われるようになってきました。
スミッシング(=SMSフィッシング詐欺)が悪用するブランドは?
■引用:トレンドマイクロ社ブログより
これまで最も目立つのは ヤマト運輸、佐川急便、日本郵政といった宅配便会社の不在通知をよそおうものです。
「宅配便の不在通知を装ったSMS詐欺の被害が目立つ」と、セキュリティの専門機関であるIPA独立行政法人情報処理推進機構やフィッシング対策協議会からたびたび注意が出ています。
ところが次第に「Amazon」「楽天」そして「三井住友銀行、三菱UFJ銀行さらに地方銀行など多様な金融機関」をかたるものが増えてきました。
特に地方銀行を狙うものは、今までなかったため、地方のシニア、お年寄りがだまされて被害にあう方が多く、特に注意が必要です。
■宅配便不在通知や三菱UFJを名乗る偽SMS・偽メールにご注意ください!(12月9日更新)
■琉球銀行の注意喚起:当行を装ったSMS(ショートメッセージ)について
これからもスミッシング(=SMSフィッシング詐欺)はますます増える!
フィッシング詐欺の舞台はメールからSMSへ移りつつある
携帯電話同士で電話番号を相手を識別するキーとして用い、短いテキスト文字だけのメッセージをやりとりするSMS(=ショートメッセージサービス)は、コストが安く、メールよりもすばやく送受信できる利点があります。
またSMSは電話番号という「全世界にひとつしかなく、しかも偽装できない個人の番号」を使うことから「二段階認証の本人確認」など大切な認証の手段としても使われるようになりました。
ところがその特性を逆手にとったスミッシング=SMS詐欺が横行するようになりました。
下のグラフは「国内からフィッシングサイトに誘導されたモバイルデバイス利用者数の推移~つまりスミッシングに引っかかってしまった数」です。2019年に入って激増しいることが分かります。
まさに上記のSMSの利点や特徴を逆手に取ってユーザーをあざむくスミッシングが増えてきたのです。
SMSは詐欺には使われにくいと思われていたが、、、、
普通のメールがフィッシング詐欺に使われやすい理由
SMSは、メールよりずっと短くてシンブルで「文字だけしか使えないメッセージだから偽装ができにくい」と思われてきました。
一例として以下のメール偽装方法をご覧ください。
詐欺メールの基本的な偽装方法
見た目は普通の「Yahoo!のURL」ですが、クリックすると当ブログのトップページが開いてしまいます。
実は上のURLはただの文字ではなく、<a href=”https://keepmealive.jp/” target=”_blank” rel=”noopener”>https://www.yahoo.co.jp/</a> というhtmlコードで記載されています。
これをブラウザーやメールソフトで見ると、まるで普通のURLのように見えてしまい、飛び先を偽装することができるのです。
しかしこの偽装方法は純粋に文字だけしか送信できずブラウザーを使わないSMSには使えません。
さらに通常のメールは文字だけでなく、htmlのようなコードとか、画像、ファイルを添付したり、メールに付けることができますので、それらを悪用して詐欺へ導くのです。
メールに比べてSMSは文字しか遅れないので偽装がしにくい
ところがSMSはそもそも文字しか入力できませんし画像の添付もできません。これでは偽装のしようもなく「安全だ」と思われてきました。
つまり「スミッシング(Smishing)=SMSを使ったフィッシング(phishing)詐欺メール」の多発は、ユーザーに染みついた「SMSは安全」という意識の盲点を突いた物と言えます。
SMSは犯人にとって偽造がしやすい
SMSは長い間自分だけに届く安全なメール」と思われてきました。
またテキストしか送信できないため、迷惑メールフィルターも用意されず、必ず相手にダイレクトに届いてしまいます。
犯人はそこを逆手にとって、膨大なスミッシング(=SMSフィッシング詐欺)を送りつけているのです。
SMSは携帯電話からしか発信できないと思われがちですが、
- 送信元名/送信元電話番号を偽装して多数の電話番号に一斉に配信するツールを使い、多数の電話番号に同時にスミッシング(=SMSフィッシング詐欺)を配信
- マルウェアで乗っ取った携帯を遠隔操作して、スミッシング(=SMSフィッシング詐欺)配信
と言った手口で、主に海外の犯罪組織から、多数のスミッシング(=SMSフィッシング詐欺)が行われています。
メールアドレスも発信元も偽造できるとなると、犯人にとって、メールよりも手軽で使いやすいとも言えるのです。
犯人はどうやって電話番号を知るのか?
ほとんどは数字を組み合わせて電話番号を作り、大量のSMSを送っているだけ
スミッシング(=SMSフィッシング詐欺)の一部は出回っている電話番号リストを使っていますが、ほとんどの場合は適当な局番と数字を組み合わせて大量の電話番号を作り、片っぱしからSMSを送りつけているだけです。
したがって決してSMSに返信したり、SMSの発信元の電話番号に電話してはいけません!
「反応があった。だましやすい電話番号だ」とリストに記録され、スミッシング犯に悪用されて、ますます詐欺ののターゲットにされてしまいます!!