スミッシングとは? SMS フィッシング攻撃のガイド
スミッシング攻撃を理解し、検知し、防止する方法を学びましょう。
MS フィッシング攻撃、略して「スミッシング」は、ますます一般的になってきています。スミッシング攻撃について、その特徴や潜在的なリスクについて理解することで、簡単に危険性や兆候を特定し予防することができるようになります。
このガイドでは、スミッシングとは何か、スミッシングを検出する方法、スミッシング攻撃の被害に遭わないようにする方法や対策をご紹介します。
スミッシングとは?
スミッシング(SMS フィッシング)とは、攻撃者があなたの SMS 番号に偽のメッセージを送信することです。多くの場合、無料商品の受け取り招待や、銀行口座やその他の機密情報に関する緊急の警告が含まれています。
スミッシングは、基本的なサイバーセキュリティを理解していない人にとっては特に危険です。なぜなら、SMS のメッセージは一見信頼性の高い言葉で表現されているからです。スミッシングメッセージの中には、話に信憑性を持たせるために漠然とした個人情報を含むものもあります。
スミッシング攻撃の手口とは?
スミッシング攻撃は、心理的な操作によって人々を食い物にするため、ソーシャルエンジニアリング攻撃と考えられています。ほとんどの場合、スミッシングメッセージは危機感を与えるように、または急かすように計算されています。メッセージには、「今すぐ行動してください」、「ここをクリックしないとあなたのアカウントが危険にさらされます」、「連絡を折り返さないと法的措置がとられます」などの緊急性を促す言葉が含まれていることがあります。これらのメッセージは恐怖心を煽り、最終的には行動を起こさせることができます。
サイバー犯罪者は、ウェブ上のデータ漏洩を通して電話番号を入手します。例えば、小売サイトでウェブアカウントにサインアップする場合、多くの場合、メールアドレスや電話番号などの個人情報を入力することでしょう。サイバー犯罪者が小売店のウェブ記録に侵入した場合、利益を得る目的でそれらの記録はしばしばダークウェブで配布または販売されます。こうして、あなたの個人情報が国内外に配布されていくことになるのです。
また、フィッシングメールやその他の違法サイトを通じて電話番号を入力したこともあるかもしれません。そのサイトの運営会社が実はサイバー犯罪者であったということもあります。
サイバー犯罪者はしばしば、スミッシング攻撃の被害者に対して、より多くの個人情報や、場合によっては金銭を強要します。 IRS 詐欺(米国税庁なりすまし詐欺)はよくあることで、被害者は、このままでは国税庁に訴追されるという思い込みのもと、サイバー犯罪者に数千ドルを振り込むことがよくあります。
スミッシング対ビッシング
スミッシングとビッシングは電話を使っているという点で似かよってはいますが、ビッシングは SMS メッセージの代わりに音声サービスを使用します。ビッシングの場合、電話の相手と実際に対話しているので、より効果的な場合があるのです。会話の口調で内容に信憑性を持たせることで、結果に大きく影響する可能性があります。返事をしないと責め立てられるよりも、攻撃者が探している情報を提供する方が精神的に楽だと考え、そのまま被害に遭う可能性が高くなります。
スミッシング攻撃を検知する方法
スミッシング攻撃は広く行われており、注意すべき兆候がいくつかあります。
- 「おめでとうございます。当選しました!」… これは、被害者に賞金が当たったと思わせる、よくあるスミッシングメッセージです。URLや電話番号が添付されている場合は、まず個人情報の入力が求められます。懸賞などに応募していない限り、突然何かに当選するという可能性はほとんどないと言って良いので、まずは疑うべきでしょう。
- 不自然な時間に送られてきたテキスト… ほとんどの企業は午前 8 時から午後 6 時の間に営業しているので、もしも「合法的な」組織からのメッセージを営業時間外の深夜や早朝に受け取った場合は注意してください。
- 銀行からの緊急メッセージ… 緊急のリクエストやエラーが発生した場合、銀行から個人的に電話がかかってくることがあります。この場合、銀行は通常、電話でもお客様の情報を確認します。SMS で緊急の銀行メッセージを受け取った場合は、まず銀行に電話して確認しましょう。
- 誤字脱字や文法の間違い… 正式な企業などは、編集者や経験豊富なライターを雇います。それに比べて詐欺師などは翻訳ツールを使用した怪しい日本語や、AIなどに欠かせた文法的におかしな文章が多々目につくものがあります。詐欺を見分けるためには、SMS に誤字脱字や文法の間違いがないか確認しましょう。
- VPNを利用する…VPN は、IP アドレスを隠すことができる合法的なサービスであり、携帯電話からでさえも、本当の位置やウェブアクティビティを好ましくない者の目から見えないようにすることができます。特に、VPN によって、なりすましされた不正な場所を参照しているメッセージを受信した場合、スミッシングメッセージを識別するのに役立ちます。しかし、一部のサイバー犯罪者は、VPN に対する需要を利用して、SMS で VPN サービスの「無料」または「割引」オファーを送信することさえあるようです。
スミッシングの被害に遭わないためには
- Keeper のようなパスワードマネージャーを使用して、すべてのアカウントのパスワードを安全に保管、管理します。不正アクセスを防ぐため、常に 2FA または MFA 保護を有効にします。
- なりすましの可能性があるメッセージに関連する電話番号には絶対に電話しないでください。取引先の「銀行」からのものであれば、登録している銀行の番号に電話して確認してください。
- 質問がある場合は、公式サイトから会社に直接電話してください。ウェブサイトにある詐欺の兆候には注意を払いましょう。
- 迷惑なテキストリンクをクリックしないでください。受信する予定ではないメッセージの場合は、妙なリンクを絶対にクリックしないようにしましょう。
- efraudprevention.net や国税庁、銀行などを通じて、スミッシング詐欺を通報してください。