ニュース
SMSで届く詐欺「スミッシング」の被害は深刻化、NTTドコモらが提案する対策方法とは
2020年9月4日 07:30
株式会社NTTドコモがオンラインで開催した「フィッシング対策WORKSHOP#2」において、スミッシング対策に関する検討会が開かれ、NTTドコモおよびマクニカネットワークス株式会社が、スミッシングの現状と対策などについて説明した。
「キャリア系」「運送系」「金融系」のスミッシング
スミッシングとは、SMS(ショートメッセージサービス)とフィシングを組み合わせた造語で、スマートフォンなどのSMSを悪用して、フィッシングサイトなどに誘導。個人情報やクレジットカードの情報などを盗み出し、金銭を搾取したり、スマートフォンをマルウェアに感染させ、これを踏み台にした攻撃を行ったりするものだ。
送信元を偽装し、企業からの通知SMSに見せかけるケースが多く、昨今では、宅配業者を装ったスミッシングが増加。
「お客様宛にお荷物のお届けにあがりましたが、不在のため、持ち帰りました。再配達は、下記よりご連絡ください」などという文面とともに、そこに表示されているリンクボタンをクリックすると、フィッシングサイトに誘導される。同サイトでは、名前や電話番号、Apple IDとパスワードの入力を促してくる。利用者が自然と、パスワードまで入力してしまうような作り方をしており、間違って入力するとアカウントを乗っ取られてしまう。
なかには、NTTドコモから配信されたように見せかけた偽装SMSが、正式のSMSのスレッドに紛れ込んだように表示されるものもあり、利用者がスミッシングであることに気付きにくい。
マクニカネットワークス株式会社の鈴木一実氏(第3技術統括部部長 テレコムセキュリティエンジニア)は、「キャリア系スミッシング、運送系スミッシング、金融系スミッシングが多く、それぞれを得意とする攻撃者グループが存在する。リンクをクリックするとフィシングサイトに誘導され、ウェブブラウザー(Chrome)のアップデートを促されたり、偽物のChromeアプリをインストールさせられる。そこから、個人情報を搾取されるだけでなく、自らがスミッシングメッセージを送信し、加害者になってしまう恐れもある」と警鐘を鳴らす。
新型コロナウイルス感染症(COVID-19)の感染拡大に伴い、巣ごもり需要が拡大。配送業者を利用する人の増加に合わせて、配送業者を騙ったスミッシングが増加しているという点は見逃せないだろう。
また、支払いが遅れているといった内容のSMSを送信し、指定の電話番号にかけさせて、情報を搾取したりする電話番号誘導型も増加しているという。
被害額は7億円以上、深刻化するスミッシングの被害
実際、スミッシングの被害は拡大を続けており、警視庁サイバー犯罪対策プロジェクトの調べによると、2019年11月には、金融機関を騙るスミッシングによる被害が増加している。573件の被害が発生し、7億7600万円の被害があったという。
NTTドコモの田中威津馬氏(国際事業部イノベーション担当課長)は、「2020年7月には、宅配業者を騙るSMSが増え、被害は右肩上がりになっている」としたほか、「特殊詐欺の電話がかかってくるようになった。また、被害に遭った人が家族などに責められて自殺するといった事件も発生している。NTTドコモはスミッシングを止め、被害者を無くしたい」と語る。
だが、その一方で、スミッシングに対する認知度が低いという課題もある。同社のdポイントクラブによる調査では、スミッシングに対する認知度は60.4%であり、なかでも30代女性が36.8%、20代女性が42.0%と半数以下となっている。同氏は「犯罪が広がりやすい素地が残っている」と指摘する。
NTTドコモでは、スミッシングを受け取った利用者からの申告を受けて、SMS配信代行事業者やSMS配信サーバー事業者に通報し、対処してもらうほか、同社が有料で提供している「あんしんセキュリティサービス」などにより、フィッシングサイトのフィルターをかけたり、公的機関を通じてフィッシングサイトを閉鎖したりしている。
「フィッシングサイトの段階ではなく、迷惑SMSをばらまく段階で対策をしなくてはならない。スミッシングと思われるSMSを止める装置によって、利用者のもとにスミッシングが届かないように対応することが望ましい。」(田中氏)
だが、こうした対策を行うには、法律の壁が立ちはだかるという。
憲法21条では、通信の秘密が定められており、これに紐付く電気事業通信法では、電気通信事業者の取扱中に係る通信は検閲してはならないこと、通信の秘密を侵してはならないことが明文化されている。
「スミッシングを止めるためには、利用者のSMSの中身を見て判定しないといけない。だが、中身を見る行為は通信の秘密を侵すことになる。この課題を解決するために、移動体通信事業者が知恵を持ち寄って、対応することはできないかと考えている。啓蒙、運用対処、システム対処といった観点から対策をしていきたい。」(田中氏)
関係者の間からは、「スミッシング対策という観点だけで見れば、攻撃者の方が法律で保護されている状況であり、SMSを巡る攻防戦では、明らかに攻撃者が優位である」との声も上がる。
SMSは、半角英数で160文字と短く、電話番号が分かれば送信できること、全てのデバイスにデフォルトで搭載されていること、世界中で幅広く使われているという特徴を持つ。さらに「使い勝手が良く、安くて都合がいいところが攻撃に悪用される理由になっている」という。
鈴木氏も「160字文字という短さであることから、簡潔で分かりやすい内容となっており、それが反射的に反応しやすいことに繋がっている。また、フィッングサイトも本物のサイトを複製しており、見分けがつきにくいこと、本物と似たようなURLを使用していること、ウェブブラウザーによってはURLが表示されない状況になるなど、むしろ、『引っ掛かるな』という方が無理という状況にある」と指摘する。
スミッシングは、広告やスパムに交じって届くこと、正規の企業名が送信者名として使用されていたり、同一の文章で複数の送信者から送られたりといったことも多く、そこから誘導するフィッングサイトのURLもこまめに変更している。
マクニカネットワークスの丸山一郎氏(第3技術統括部主幹技師 テレコムセキュリティエンジニア)は「日々異なる送信者から送られてくるため、ブロックすることが難しい状況にある」と説明する。
同社の霍村将寿氏(第3技術統括部課長 テレコムセキュリティエンジニア)も、「攻撃者は試行錯誤を繰り返して、攻撃の知見を獲得している。これに対抗するには、全ての移動体通信事業者が協力して、攻撃監視、知見獲得などにおいて、戦略的な対策が求められる」と述べる。
電波が届く間は強制的に受信――SMSが利用されやすい理由
では、なぜ、フィッング詐欺にSMSが使用されるのだろうか。
鈴木氏は「SMSは電話番号と紐付き、加入者に確実に届く。到達率、開封率が高い。そして、セキュリティ対策がされていない点にある」と述べる。
SMSは制御信号を使用して配信される。制御信号とは、端末の接続や認証、位置情報などを司るもので、端末がモバイルネットワーク環境に接続されている間は、常に有効な通信経路となっている。音声通信やデータ通信とは異なり、SMSはこの制御信号を利用して配信されるため、端末に確実に到達するという仕組みになっている。
丸山氏は、「メールは無料で配信できるというメリットがあるが、SMSは有料で1通10円かかる。それでもSMSが利用されるのには理由がある」とし、「配信がプッシュ型であり、電波が届く間は強制で受信されること、受信者は電話番号であるため、メールアドレスのように複雑なものではないこと」を理由として挙げる。
そして、有料という点でも、相手に届かなかった場合には課金がされないこと、さらには、格安で提供するサービスや、ダークサイトやグレールートでほぼ無料で送信できる仕組みも生まれていることもスミッシングが増加する理由になっているという。
「攻撃者は、メールよりもSMSの方が効率がいいと判断し、SMSに移ってきている。攻撃者にとっては、コストがかかるというデメリットを超えるメリットが生まれている」という。
「SMS詐欺早期警戒システム」の活用、移動体通信事業を巻き込んだ取り組みも重要に
マクニカネットワークスでは、スミッシング対策として、これまで不正信号分析を用いてきたという。
鈴木氏は「IDS(侵入検知装置)による検知・分析により、スミッシング特有の発生パターンを発見している。それをもとに、広告やスパムとスミッシングを区別することができるようになった。また、全世界で事例を共有できるようになったことも対策に繋がっている」とする。
だが、その一方でマルウェア感染による国内発のスミッシングが増加している点を懸念する。
「偽サイトに誘導し、スマートフォンにマルウェアを感染させて、そこからスミッシングを拡大したり、データを搾取する方法が増加している。RAT型マルウェアの場合は、攻撃者が自由に端末を操作できる状態になっている。しかも、それを端末の所有者は全く気付けない。勝手にSMSやメールを送信したり、端末の連絡先情報も搾取できる。銀行アプリを入れている場合には、そのアプリを識別して、狙い撃ちのかたちでその銀行アプリを模したフィッシングサイトに誘導するといつたことも行われている。」(鈴木氏)
ここでの感染ケースにおいても、配送会社を装ったSMSの例が報告されているという。SMSから配送会社の偽アプリをダウンロードさせ、そのアプリからOKボタンを押してしまうと、端末が攻撃の踏み台として利用されるようになってしまうのだという。
田中氏は「提供元不明のアプリは、絶対に入れてはいけない。全てのアプリは、必ずGoogle PlayやApp Storeから入手してほしい」と注意を促した。
一方で、マクニカネットワークスでは、デジタル技術により、スミッシングが着弾した初期段階のパターンから先を予測して警戒を促す「SMS詐欺早期警戒システム」を活用し、スミッシング対策を行えるのではないかと提案する。
「SMS侵入検知システムでモニタリングを行い、それをもとに、SMS詐欺早期警戒システムによってビックデータ解析を行い、初期の着弾パターンに基づくスミッシング発生予報をアプリで通知。スミッシングを別の受信ボックスに振り分けたり、開封警告、URLクリック警告、電話番号発信警告を行って被害を防ぐことができるだろう。」(鈴木氏)
さらに、「これを移動体通信事業者が横断で仕組みを採用し、検知・警戒を行うことでインシデントレスポンスを構築できるのではないか」という。
「スミッシングの初弾の着弾から数分で検知し、早期警戒を行うとともに、ビッグデータを活用したインテリジェンスにより、数時間後には攻撃の無力化にも繋げられるのではないかと考えている。そのためには、検知情報を移動体通信事業者が共有し、端末への防御情報を配信し、端末への対処や警告を行うこと、アクセスブロックやSMS破棄、発信制限などの対応を行うことが必要である。こうした技術を活用することで、現時点では構築されていないセキュリティフレームワークに沿った対策も可能になる」とした。
増加するスミッシング対策には、全ての移動体通信事業を巻き込み、業界全体で対策を取ることが必要だといえる。