SMSメッセージからフィッシングサイトへ誘導

【この記事はIT系ライター M氏 が書きました】

セキュリティソフト等で知られるマカフィーは、同社のモバイルリサーチチームがSMSメッセージによるフィッシング攻撃(スミッシング)を発見したと注意を呼びかけています。これはモバイルバンキングを利用するユーザーの口座へ不正侵入するための悪質な手口です。

フィッシング詐欺SMSの見本

メッセージを見たユーザーがURLをクリックすると、偽の顧客識別プログラムを装うページが表示されます。ここで口座が閉鎖されると脅迫し、ユーザー名やID、パスワードを始め、住所や電話番号、生年月日などの基本的な情報を入力させます。※URLには金融機関名が含まれており、画面も正規のサイトに似せて作られていた様です。
さらに、二要素認証を突破するためのID等を入力する画面へ続き、金融機関からユーザーのスマホに送信される(正規の)アクセスコードを入力させることにより、不正アクセスが可能な情報を全て収集する様です。
その上、情報を全て入力した後は金融機関の正規のページへ移動されるため、ユーザーは偽のサイトとは気づかないまま、手続きが完了したと思い込んでしまいます。

なぜSMSなのか

この「スミッシング」と呼ばれる手口は一見、多くのフィッシング詐欺と同様に見えますが、なぜSMSを使うのでしょう。考えられる理由としては、メールアプリには迷惑メールフィルタ等の機能がありますが、SMSでは拒否設定等を行わない限り、全てのメッセージが直接表示されます。
また、一般的にSMSの場合、メールに比べ内容を良く確認せずにURLをクリックしてしまう傾向が有るため、正規の金融機関とよく似たサイトを見ることにより、すぐに不信感がなくなってしまうのではないでしょうか。

被害を未然に防ぐには

今回は米国での事案ですが、サイバー犯罪の手口はすぐに世界中で模倣されます。マカフィー社の公式ブログにも書かれているとおり、サイバー犯罪で最もつけ込まれやすいのは、ユーザー側のセキュリティ意識です。被害を防ぐためには、不明な電話番号からのSMSメッセージは疑いを持ち、安易にURLをクリックしないよう注意しましょう。

関連リンク

■マカフィー株式会社公式ブログ
・米国のモバイルバンキングユーザーを狙うスミッシング攻撃を発見
http://blogs.mcafee.jp/mcafeeblog/2017/08/post-1e9d.html

■フィッシング対策協議会
・【注意喚起】SMS(ショートメッセージサービス)で誘導される銀行のフィッシングサイトにご注意ください (2015/06/16)
https://www.antiphishing.jp/news/alert/_sms_20150616.html