偽SMSで個人情報狙う「スミッシング」が激化 携帯事業者装い新手口も

偽SMSで個人情報狙う「スミッシング」が激化 携帯事業者装い新手口も

セキュリティ強化をうたい、NTTドコモをかたる偽SMSで誘導されるサイト画面(トレンドマイクロ提供、画像を一部加工しています)

 スマートフォンのSMS(ショートメッセージサービス)を使って個人情報を盗み取ろうとする「スミッシング」と呼ばれるサイバー攻撃が激化している。宅配業者などをかたる従来型に加え、携帯電話事業者を装う新手口も登場。セキュリティー強化をうたった不正アプリをダウンロードさせるなど巧妙化しており、今後も被害が拡大する可能性がある。(橋本昌宗)

 情報セキュリティー会社「トレンドマイクロ」によると、SMSの偽メッセージにだまされて偽のインターネットサイトにアクセスした国内の携帯電話利用者数は、昨年1〜3月には123件。これが同10〜12月には4万3982件と、約360倍に急増した。

 目立つのが、実在する携帯電話の事業者を装う手口だ。たとえば、サービスや物を購入する際に携帯料金に上乗せしてまとめて支払うことができる「キャリア決済」のアカウントが、「不正利用されている可能性がある」と偽メッセージが届き、利用者を偽サイトに誘導。画面上でIDやパスワードを入力させ、盗み取る−というものだ。

× × ×

 こうして盗まれたIDなどが勝手に使われれば、知らないうちに決済で利用できる上限金額まで不正に使われ、携帯料金に上乗せされて多額の請求が来る可能性もある。

 加えて今年3月ごろからは、NTTドコモが実際に行っているセキュリティー強化サービスを装って偽サイトに誘導、不正アプリをダウンロードさせる手口も確認されている。

 このアプリは、スマホにダウンロードされると、利用者がすでに持っているアプリを不正なものと置き換え、ログイン用のIDやパスワードを盗み取ろうとする。置き換わったのがネットバンキングのアプリだった場合は、口座番号や暗証番号が流出する恐れもあるという。

 ダウンロードできるアプリに制限のない「android(アンドロイド)」のスマホだけでなく、公式ストアでしかダウンロードできないiPhoneに対しても、スマホを管理するOSの設定を不正なものに更新するよう誘導するケースが確認されている。

× × ×

 スミッシングは、平成29年ごろから被害が目立ち始めた。代表的なのは宅配業者の不在通知を偽装した偽メッセージを送って電話番号やID、パスワードを盗み取る手法で、今も継続している。関係者は「荷物は自分が頼んでいなくても誰かが送ってくる場合もあり、信じやすい」と分析する。

 攻撃方法が多様化・激化している背景には、パソコンに比べてセキュリティー意識が低いスマホが広く普及したことに加え、消費者への連絡にSMSを使う企業が増えたことがあるとみられる。

 トレンドマイクロの岡本勝之セキュリティエバンジェリストは、「(攻撃者は)どういう手口がだまされやすいか分析するため、さまざまな手法を試している」と指摘。「今後も攻撃は続く恐れがあり、届いたメッセージが正規のものかよく確認して、アプリや設定ファイルも必要なものかどうかよく確認してほしい」と呼び掛けている。

 スミッシングの被害に遭わないようにするにはどうしたらいいのか。トレンドマイクロは、そもそも心当たりのないメッセージに書かれたサイトにアクセスしないことを呼びかける。

 メッセージの文面が日本語としておかしいものや、送信元が意味不明な文字の羅列になっているなど、不審点に気づきやすいメッセージもあるが、巧妙に作られている場合、見かけだけでは判断できないためだ。

 アプリのダウンロードを促される場合は、メッセージで誘導されたサイトからではなく、公式アプリストアからダウンロードするようにし、スマートフォンにウイルス対策ソフトを導入することも効果がある。

 不正アプリをダウンロードしてしまったらすぐに削除し、スマホで設定しているパスワードなどを変更することで情報を盗み取られても被害を防ぐことができる。

 スミッシング スマートフォンのショートメッセージサービス(SMS)と、偽サイトに誘導して個人情報やID、パスワードなどを盗み取る「フィッシング詐欺」を合わせた造語。SMSは電話番号だけで送信できるため、ランダムに番号を打ち込めば簡単に送ることができる。

関連記事(外部サイト)