2021年06月08日

「スミッシング」はスマホ利用者だけのリスクじゃない!組織が気をつけるべき理由とは

ishihama
石濱 雄基 記事一覧
Posted in 事例, 従業員教育, 情報セキュリティ,
このエントリーをはてなブックマークに追加 LINEで送る

「スミッシング」とは、スマートフォンのSMSを悪用した攻撃のことです。
これまでフィッシング詐欺の主戦場といえばメールのイメージだったと思いますが、最近になってスミッシング被害が話題になっています。

SMSを利用して行われるスミッシングは一見、スマホ利用者個人に対するリスクのように見えますが、実は会社も考慮しておくべきリスクです。

今回は、スミッシングの概要と、会社としても考慮すべき理由についてご説明します。

そもそもスミッシングとは?

「スミッシング」とは、「SMS」と「フィッシング」を掛け合わせた造語です。

基本的な手法は、攻撃者から届いたメッセージ上のURLをクリックさせて、正規サイトにそっくりな偽サイトに誘導し、個人情報や認証情報(ID/パスワードなど)を入力させることで情報の窃取を行うものです。
つまり、名前の通りフィッシング攻撃の戦場がメールからSMSに移行したというものです。

よくあるスミッシングの例

スミッシング自体は非常に精巧なものから、よくわからない露骨に怪しいものまでさまざま存在しています。
その中でも代表的なスミッシングの例についてご紹介します。

【1.宅配業者からの不在通知】

宅配便が届いたタイミングで自宅にいなかった場合メールなどで不在通知が届くことがあります。
スミッシングではこれを活用して、「不在なので再配達依頼をしてください」といったメッセージと共にURLを送ってきます。
日常的になくはないケースでもあることから、本物か見極めることが難しいのも事実です。

ただ、クロネコヤマトや佐川急便、郵便局など多くの宅配業者では公式サイトから再配達依頼をすることができるため、SMSのURLからアクセスする必要はありません

【2.金融機関からの通知】

この場合は様々なメッセージが考えられますが多くの場合は、「口座に振り込みがありました」や「カードへの不正アクセスがありました」といったものです。
どちらも気になったり、不安をあおられたりするものですが、こちらも基本的には公式サイトから確認できるものなので、SMSで反応する必要がありません
また、金融機関を装っている場合のスミッシングに引っかかった場合、口座情報などの重要情報の漏えいにつながる可能性もあります。

【3.クラウドサービスからの通知】

SNSやネットショッピングサービスなどから、「不正ログインがありました」「アカウント再認証のため確認をお願いします」といったメッセージが来ることがあります。
多くのクラウドサービスでは、多要素認証のためのひとつとしてSMSを利用した通知などが実際に行われるため、本物か判断しづらいことがあります。

ただ、これらのスミッシングに引っかかってしまうと、認証情報自体が漏えいし、不正アクセスや不正利用につながる可能性もあるため注意が必要です。

スミッシングは会社にとってのリスクでもある

「個人のSMSで行われるスミッシングは、会社にとって直接かかわりのあるリスクではないのでは」と思っている方も多くいるのではないでしょうか。

ただBYOD(個人媒体の業務利用)を行っている場合などは、スミッシング被害が会社にも影響することが考えられます。

例えば、私物のスマホでスミッシングが行われた際に、ウイルス感染したとします。
すると、ウイルスによって業務情報の漏えいや、業務利用アプリへの不正アクセスなどが行われる可能性もあります。

また、スミッシングの攻撃者が、業務利用アプリやサービスを装ってきたとしたら、受け手側は誤って会社の情報やクレジットカード、口座情報、認証情報などを入力し、漏えいしてしまう可能性もあります。

スミッシングのインシデント事例

2021年5月24日に、大阪教育大学付属小学校の教員がスミッシング被害に遭い、私的利用しているクラウドストレージが乗っ取り被害に遭うというインシデントが発生しました。
私的利用クラウドストレージの乗っ取りであれば、組織には関係ないと思うかもしれませんが、この事例では結果として、私的利用クラウドストレージ上に保管されていた児童や他の職員が写った顔写真や学級名簿などが不正に閲覧可能な状態になってしまっていたとのことです。

このケースはいわゆる「シャドーIT」と掛け合わされたことによる被害でもありますが、組織の情報に対してもリスクがあるということはご理解いただける事例ではないかと思います。

補足ですが、今回の場合は宅配業者を騙るスミッシングで、実際に被害者のもとに荷物が届く予定でもあったことから情報を入力してしまったようです。

スミッシング対策

1.メッセージの内容を確認する

スミッシングでは、日本語がおかしかったり、文脈が唐突すぎるケースが多いです。
少しでも違和感を感じるメッセージには基本対応しないようにしましょう。

2.メッセージのURLからはアクセスしない

たいていのスミッシングでは、なぞのURLリンクが貼られています。
基本は無視ですが、本物か判断がつかない場合などは、公式サイトを検索してアクセスするようにしましょう。
少なくとも、メッセージURLからアクセスすることは望ましくありません。

3.メッセージに反応しない

メッセージに何らかの形で反応してしまうと、その宛先が有効であることを証明してしまいます。
結果としてさらなるスミッシング被害につながる可能性もあるので、なんのリアクションも取らないようにしましょう。

また不要であればSMSの開封証明通知の機能をあらかじめOFFにしておいても良いかもしれません。

4.スマホアプリはダウンロードしない

スミッシングでは、なぞのアプリをダウンロードさせようとするケースもあります。
ただ、公式なアプリであればアプリストアで検索してインストールできるはずですし、そうでないのであれば基本安全性は担保されていないと判断すべきです。
SMSでアプリのインストールを促されたりした場合は無視しましょう。

まとめ

今回は今話題の攻撃手法「スミッシング」についてご紹介しました。
対策を見てもわかる通り、スミッシングへの最大の防御は「とにかく無視」です。

BYODが普及した現在では、スミッシングは個人に対する被害にとどまらず会社にとってもリスクになり得ます。
情報セキュリティ教育を行う、セキュリティルールを設定するなどして従業者をリスクから守ることで、結果的に会社のリスクを軽減することにもつながります。

参考資料

このエントリーをはてなブックマークに追加 LINEで送る

2021年6月8日

「スミッシング」はスマホ利用者だけのリスクじゃない!組織が気をつけるべき理由とは

Posted in 事例, 従業員教育, 情報セキュリティ

「スミッシング」とは、スマートフォンのSMSを悪用した攻撃のことです。
これまでフィッシング詐欺の主戦場といえばメールのイメージだったと思いますが、最近になってスミッシング被害が話題になっています。

SMSを利用して行われるスミッシングは一見、スマホ利用者個人に対するリスクのように見えますが、実は会社も考慮しておくべきリスクです。

今回は、スミッシングの概要と、会社としても考慮すべき理由についてご説明します。

そもそもスミッシングとは?

「スミッシング」とは、「SMS」と「フィッシング」を掛け合わせた造語です。

基本的な手法は、攻撃者から届いたメッセージ上のURLをクリックさせて、正規サイトにそっくりな偽サイトに誘導し、個人情報や認証情報(ID/パスワードなど)を入力させることで情報の窃取を行うものです。
つまり、名前の通りフィッシング攻撃の戦場がメールからSMSに移行したというものです。

よくあるスミッシングの例

スミッシング自体は非常に精巧なものから、よくわからない露骨に怪しいものまでさまざま存在しています。
その中でも代表的なスミッシングの例についてご紹介します。

【1.宅配業者からの不在通知】

宅配便が届いたタイミングで自宅にいなかった場合メールなどで不在通知が届くことがあります。
スミッシングではこれを活用して、「不在なので再配達依頼をしてください」といったメッセージと共にURLを送ってきます。
日常的になくはないケースでもあることから、本物か見極めることが難しいのも事実です。

ただ、クロネコヤマトや佐川急便、郵便局など多くの宅配業者では公式サイトから再配達依頼をすることができるため、SMSのURLからアクセスする必要はありません

【2.金融機関からの通知】

この場合は様々なメッセージが考えられますが多くの場合は、「口座に振り込みがありました」や「カードへの不正アクセスがありました」といったものです。
どちらも気になったり、不安をあおられたりするものですが、こちらも基本的には公式サイトから確認できるものなので、SMSで反応する必要がありません
また、金融機関を装っている場合のスミッシングに引っかかった場合、口座情報などの重要情報の漏えいにつながる可能性もあります。

【3.クラウドサービスからの通知】

SNSやネットショッピングサービスなどから、「不正ログインがありました」「アカウント再認証のため確認をお願いします」といったメッセージが来ることがあります。
多くのクラウドサービスでは、多要素認証のためのひとつとしてSMSを利用した通知などが実際に行われるため、本物か判断しづらいことがあります。

ただ、これらのスミッシングに引っかかってしまうと、認証情報自体が漏えいし、不正アクセスや不正利用につながる可能性もあるため注意が必要です。

スミッシングは会社にとってのリスクでもある

「個人のSMSで行われるスミッシングは、会社にとって直接かかわりのあるリスクではないのでは」と思っている方も多くいるのではないでしょうか。

ただBYOD(個人媒体の業務利用)を行っている場合などは、スミッシング被害が会社にも影響することが考えられます。

例えば、私物のスマホでスミッシングが行われた際に、ウイルス感染したとします。
すると、ウイルスによって業務情報の漏えいや、業務利用アプリへの不正アクセスなどが行われる可能性もあります。

また、スミッシングの攻撃者が、業務利用アプリやサービスを装ってきたとしたら、受け手側は誤って会社の情報やクレジットカード、口座情報、認証情報などを入力し、漏えいしてしまう可能性もあります。

スミッシングのインシデント事例

2021年5月24日に、大阪教育大学付属小学校の教員がスミッシング被害に遭い、私的利用しているクラウドストレージが乗っ取り被害に遭うというインシデントが発生しました。
私的利用クラウドストレージの乗っ取りであれば、組織には関係ないと思うかもしれませんが、この事例では結果として、私的利用クラウドストレージ上に保管されていた児童や他の職員が写った顔写真や学級名簿などが不正に閲覧可能な状態になってしまっていたとのことです。

このケースはいわゆる「シャドーIT」と掛け合わされたことによる被害でもありますが、組織の情報に対してもリスクがあるということはご理解いただける事例ではないかと思います。

補足ですが、今回の場合は宅配業者を騙るスミッシングで、実際に被害者のもとに荷物が届く予定でもあったことから情報を入力してしまったようです。

スミッシング対策

1.メッセージの内容を確認する

スミッシングでは、日本語がおかしかったり、文脈が唐突すぎるケースが多いです。
少しでも違和感を感じるメッセージには基本対応しないようにしましょう。

2.メッセージのURLからはアクセスしない

たいていのスミッシングでは、なぞのURLリンクが貼られています。
基本は無視ですが、本物か判断がつかない場合などは、公式サイトを検索してアクセスするようにしましょう。
少なくとも、メッセージURLからアクセスすることは望ましくありません。

3.メッセージに反応しない

メッセージに何らかの形で反応してしまうと、その宛先が有効であることを証明してしまいます。
結果としてさらなるスミッシング被害につながる可能性もあるので、なんのリアクションも取らないようにしましょう。

また不要であればSMSの開封証明通知の機能をあらかじめOFFにしておいても良いかもしれません。

4.スマホアプリはダウンロードしない

スミッシングでは、なぞのアプリをダウンロードさせようとするケースもあります。
ただ、公式なアプリであればアプリストアで検索してインストールできるはずですし、そうでないのであれば基本安全性は担保されていないと判断すべきです。
SMSでアプリのインストールを促されたりした場合は無視しましょう。

まとめ

今回は今話題の攻撃手法「スミッシング」についてご紹介しました。
対策を見てもわかる通り、スミッシングへの最大の防御は「とにかく無視」です。

BYODが普及した現在では、スミッシングは個人に対する被害にとどまらず会社にとってもリスクになり得ます。
情報セキュリティ教育を行う、セキュリティルールを設定するなどして従業者をリスクから守ることで、結果的に会社のリスクを軽減することにもつながります。

参考資料

Author: 石濱 雄基
  • はてなブックマークに追加
  • ツイートする
  • facebookでシェアする
  • LINEでシェアする