イベントレポート

JPAAWG 5th General Meeting

携帯キャリア大手3社が解説する「スミッシング」の現状と対策、日本でも多くの感染者が見つかった遠隔操作マルウェアの影響

 メールを中心としたメッセージングセキュリティの対策を検討・実施する国内の業界団体Japan Anti-Abuse Working Group(JPAAWG)が年次カンファレンスイベント「JPAAWG 5th General Meeting」を開催した。

 ここでは11月8日に行われた、ソフトバンク株式会社の北崎恵凡氏(ソリューション運用本部)、株式会社NTTドコモの三谷咲子氏(営業本部国際サービス戦略国際サービス技術企画担当)、KDDI株式会社の小頭秀行氏(パーソナル事業本部サービス統括本部)による「携帯キャリアによるSMSフィッシング(スミッシング)対策の最新情報」の内容を紹介する。

ソフトバンク株式会社の北崎恵凡氏(ソリューション運用本部)

 北崎氏はスミッシングについて、宅配事業者からの連絡を装ったSMSの画面を例に紹介した。SMSは短文のメッセージなので細かい説明が行えないこともあり、スミッシングのメッセージにURLが記載されている。宅配事業者をかたるケースでは宅配業者アプリのインストールを促すが、実際の中身は「MoqHao」のようなマルウェアになる。

スミッシング画面の例

 今回の説明で登場しているMoqHaoは日本でも多くの感染者が見つかっている遠隔操作のマルウェアの一つだ。MoqHaoは感染端末から(遠隔操作によって)SMSを送信する機能があるため、被害者が次の加害者になってしまう。

 セキュリティ企業のTeam Cymruが感染者のマッピングをしたところ、日本にも多くの感染者がいたというレポートを出しているほか、北崎氏がウクライナのC&Cサーバーに接続している感染者を調査したところ、同様の傾向があることを確認しているという。

代表的な遠隔SMS送信マルウェアのMoqHao。解析に関してはカスペルスキーの石丸氏が詳しい
Team Cymruがブログで公開している日本の感染者分布図
北崎氏も独自に調べてみたところ、日本にマルウェア感染を目的としたSMS送信を行う感染者がいると説明

フィルタリングから見えてきたフィッシングの特徴

 キャリア側の対策として、NTTドコモとソフトバンクはSMSフィルタリング機能の提供を今年から開始しているが(KDDIの小頭氏によると、2022年度中にauからも提供するという)、NTTドコモから見た実態と対応について三谷氏が説明した。

株式会社NTTドコモの三谷咲子氏(営業本部国際サービス戦略国際サービス技術企画担当)
2022年になってNTTドコモ、ソフトバンクがSMSフィルター機能を導入。KDDIも本年度中に導入予定
攻撃者はあらゆる手段・ルートでスミッシングをばらまく

 NTTドコモは「危険SMS拒否設定」を2022年3月24日から原則全てのユーザーに提供している。北崎氏は過去3カ月のフィルタリングから得られた数値として国際網からの送信は約20%、国内他網(KDDI、ソフトバンク、楽天)からが約70%、自網(NTTドコモ)が約10%と日本国内からフィッシングサイトなどへ誘導する「危険SMS」が多く送信している。(一部、意図的に送信している可能性もあるが)国内からの危険SMS送信の多くは先に紹介したMoqHaoのような遠隔操作の不正アプリに感染している端末があるためだ。

 ここで言う危険SMSとはNTTドコモがフィッシングURLを入れていると判定したSMSに加え、特殊詐欺相手(偽の未払い請求や、カスタマーサポートからの連絡を偽る詐欺)と思われる電話番号を含むものと、NTTドコモ内では定義している。

NTTドコモの危険SMS拒否の過去3カ月のデータを見ると、海外SMS経由はわずか2割。8割が国内からの発信で、原因としてMoqHaoなどの不正アプリに感染した端末が挙げられる

 NTTドコモの場合、端末から送信できるSMSを1日あたり最大200通に制限しているという。仮に1000台が感染していると20万通近い危険SMSが送信されると説明。具体的な数字は言えないとしたものの、実際に「(NTTドコモ網での危険SMSは)余裕で20万通(を超える数が)受信されている」とし、他キャリアからの危険SMSを含めると多くの危険SMSが国内網で送信されていると説明した。

 危険SMS対策は犯罪者が手口を変えてきていたちごっこになっている一方、三谷氏は「(危険SMS対策を)包括同意でユーザーに提供しているため、かなりの規模感で止めており、攻撃者にコストを上げさせているところでは効いていると思う」と説明する。

NTTドコモユーザーの1000台がSMS送信の不正アプリに感染していると想定すると1日最大20万通のスミッシングが送信可能となるが、現実には「20万通ではすまない」(三谷氏)

 危険SMS拒否設定によって一定の効果はあるものの、送信者側も手を変え品を変えて、対策をすり抜けようとする。このため、NTTドコモの危険SMS対策は多層防御で対応していると三谷氏は説明。

 具体的にはNTTドコモが無料で提供する危険SMS拒否設定以外に「あんしんセキュリティ」のウイルス対策や迷惑SMS対策、危険サイト対策、プライバシー(個人情報がインターネットに流出したことを知らせるサービス)と有料のものも含めて紹介した。

 これら全てのサービスを利用した場合、危険SMS対策をすり抜けたSMSがユーザーに到達しても、ウェブブラウザーのURLフィルターや(NTTドコモの)危険サイト対策機能の対応によって、ユーザーはフィッシングサイトにアクセスできない。URLフィルターをすり抜けた場合でも、マルウェアかどうかをウイルス対策ソフトがチェックする。偽ログインサイトによってクレデンシャル情報が盗まれ、その情報がダークウェブをはじめとするインターネット上で流出している場合にはユーザーに通知する仕組みとなっている。

 三谷氏は「あんしんセキュリティで無料で提供しているウイルス対策はNTTドコモとNTTドコモ回線のMVNOを使うAndroidユーザーが利用できるので、ぜひ利用してほしい」と述べた。

NTTドコモは(一部有料の)多層防御でユーザーの被害を抑止するという。あんしんセキュリティのウイルス対策機能は無料アプリでNTTドコモとNTTドコモとNTTドコモ海鮮のMVNOを使うAndroidユーザーが利用できる。対策が点線で囲まれているのが有料サービス

 なお、10月27日に提供を開始したあんしんセキュリティの迷惑SMS対策機能はネットワークでの遮断ではなく、「迷惑SMSであるか判別しにくい不審なメッセージ」をユーザー端末内のアプリケーション側で振り分けるという。このため、本当は正しいメッセージが間違って不審なメッセージとして振り分けてしまう擬陽性になるかもしれないアグレッシブな振り分けにしているが、出会い系や闇金融、偽当選通知、チェーンメッセージ、高額バイト募集などに誘導する「迷惑SMS」を強力にフィルタリングする。

有料のあんしんセキュリティ(迷惑SMS対策)はアプリ内での振り分けでアグレッシブに振り分ける

【お詫びと訂正 2022年12月28日 11:10】
記事初出時、危険SMSの送受信の記述について誤りがありました。お詫びして訂正いたします。

 誤:具体的な数字は言えないとしたものの、実際に「(NTTドコモ網内からの危険SMSは)余裕で20万通(を超える数が)送信されている」とし、
 正:具体的な数字は言えないとしたものの、実際に「(NTTドコモ網での危険SMSは)余裕で20万通(を超える数が)受信されている」とし、

日本の電番メッセージ市場の急成長に攻撃者が着目したか?

 KDDIの小頭氏はSMSとRCS(Rich Communication Service:日本ではNTTドコモ、KDDI、ソフトバンクが「+メッセージ」として提供)をひっくるめた電番メッセージに関して説明した。

KDDI株式会社の小頭秀行氏(パーソナル事業本部サービス統括本部)

 電番メッセージの世界的な市場規模は2~3兆円規模だが、日本は150億円市場でありまだ小さいものの、過去3年で4倍に成長しており、日本の成長度に悪意のある人が注目してスミッシングを増やしたというのが背景にあるという。

海外ではB2C通信手段として確立していることもあって市場規模は2~3兆円規模だが、日本ではまだ利用が少なく150億円程度。しかしここ3年で約4倍に成長している分野だ

 SMSは日本では主に認証や重要なお知らせなどの用途で使われているが、海外では、広告や販促のメッセージを送るB2Cコミュニケーションの手段としても定着しており、今後国内でも広告や販促へと利用が拡大するという。すでに国内4社で電話番号に変わる「共通番号」の導入が決まっており、キャリアが審査して付与される共通番号によって利用シーンの拡大が想定される。

SMSは今後も手軽でシンプルな通知方法として成長すると予測。企業や自治体向けに共通番号を導入

 また、国内ではNTTドコモ、KDDI、ソフトバンクがメッセージアプリ「+メッセージ」を提供しているが、同アプリはメッセージアプリにJPKI機能が加わっており、オンライン手続きでの本人確認手段に加えて、公共料金の案内や銀行の預金残高通知などの「本人限定メッセージ」に利用できるなど、電番メッセージのすみわけに関して解説した。

リッチメッセージの対応に加えてマイナンバーカードを使った公的個人認証が加わる

 最後に「ユーザーとして危険SMS対策に協力できることはないか?」という質問に対し、三谷氏は一般ユーザーが不審なSMSを受信した場合は積極的に通報するよう促したほか、企業側は擬陽性対策として正当なSMSの送信元電話番号や「このような場合にSMSを送信します」という具体的な送信理由の告知を公式サイトでユーザーの目に触れやすい形で告知してほしいと回答していた。