2019年上半期はSMS経由でスマホユーザー狙う“スミッシング”が激化

　トレンドマイクロ株式会社は26日、「2019年上半期（1～6月）脅威動向分析」の速報版を公開した。今回の調査では、SMS経由でフィッシングサイトに誘導する“スミッシング”の攻撃が拡大傾向であることが分かった。

　宅配業者を装うスミッシングなどが2017年末から確認されているが（2018年1月15日付関連記事『荷物の不在通知を装ったSMSに注意！　端末の情報を盗み、遠隔操作も可能な偽の佐川急便アプリ「sagawa.apk」ダウンロード促す』参照）、こうした攻撃は2019年に入っても継続して行われており、インストールさせられる不正アプリの検出数も高止まりの状況になっている。

宅配荷物不在通知偽装SMSを発端とした攻撃で拡散されるAndroid向け不正アプリの検出数推移

　トレンドマイクロによると、2018年後半以降は携帯電話事業者や銀行をかたったスミッシングが目立つようになったという。キャリア決済やクレジットカード、銀行口座などが不正利用されたという内容でフィッシングサイトへ誘導する手口が主に確認されている。

6月に確認された携帯電話事業者を装ったSMSの例

誘導先のフィッシングサイトの例

　こういった攻撃が顕在化するにつれて、フィッシングサイトへ誘導されるモバイル利用者の被害規模は、2019年6月に初めて8万件を突破するなど拡大し続けている。

国内からフィッシングサイトに誘導されたモバイルデバイス利用者数の推移

　このようなモバイル利用者が誘導されるフィッシングサイトの中には、キャリア決済で使用されるワンタイムパスワードを詐取するものも確認されている。トレンドマイクロは「キャリア決済にはクレジットカード決済のような保証が整備されていないこともあり、被害を受けた利用者の負担は大きなものとなる可能性がある」と注意を促している。

ネットワーク暗証番号やセキュリティコードの入力を要求してくるフィッシングサイトの例

　そのため、誘導先のウェブサイトのURLが正規のものか確認することや、公式アプリストアなどからアプリをインストールするよう呼び掛けている。