重要なお知らせ 新型コロナウイルス感染拡大にともなう電話問い合わせについて

お役立ち情報 再び猛威を振るうようになったフィッシング
その最新状況と適切な対処方法を考える

すでに古典的とも言えるフィッシング詐欺
しかし最近では新たな手法も登場

フィッシング詐欺の被害が、この2年間で急増傾向にあります。フィッシング対策協議会が2020年6月に発表した「フィッシングレポート 2020」によれば、フィッシング情報の届け出件数は2018年までに比べて2019年に大きく増加。2019年下半期だけで約4万件となっており、2020年に入ってもその増加傾向は続いています。2020年8月に寄せられた報告件数は、わずか1か月で2万件を超える勢いだったのです。

すでに多くの読者はフィッシング詐欺についてご存知だとは思いますが、ここで簡単に復習しておきましょう。

フィッシング詐欺とは、銀行やECサイトなどになりすました偽メールをユーザーに送りつけ、攻撃者が用意したサイト(フィッシングサイト)へと誘導、そこでパスワードやクレジットカード番号等を入力させて窃取するというネット詐欺です(ここでマルウェアに感染させる手口もあります)。偽メールという「餌」をまき、ユーザーの重要な個人情報を「釣り上げる」イメージから、フィッシングと呼ばれています。ただし英語で表記する場合には「Fishing」ではなく「Phishing」となります。これはハッカー的なスラングであり、「F」が「Ph」になった理由については諸説あります。

フィッシング詐欺が最初に発見されたのは、2003年の米国だといわれています。日本では2004年12月に最初の被害を確認。翌年4月には経産省が「フィッシング対策協議会」を設立しています。フィッシング詐欺は意外と長い歴史を持つ脅威であることがわかります。

情報処理推進機構(IPA)が毎年発表している「情報セキュリティ10大脅威」でも、2006年には早くも第4位にランクインしています。その後は他の脅威に隠れて目立たない存在になっていきますが、2013年には第10位に返り咲き。2015〜2018年は「インターネットバンキングやクレジットカード情報の不正利用」の中に含まれる形で、常に1位をキープしています。そして2019年には再び「フィッシング」という独立した項目となり2位にランクイン。2020年版でも2位を維持しています。

このようにフィッシングは「古典的」とも言える手口ですが、最近では新たな手法も登場しています。それがSMS(ショートメッセージサービス)を利用したフィッシングです。これはメールの代わりにSMSを利用したものであり、多くの場合、通販商品を配送する運送会社や携帯キャリアを騙り、偽メッセージを送りつけます。このようなフィッシング詐欺は「スミッシング」とも呼ばれています。

メッセージの中にフィッシングサイトのURLを仕込み、そこをクリック(タップ)させることでフィッシングサイトへと誘導するという、基本的な部分には大きな違いはありません。しかし1点だけ違うところがあります。それは多くのユーザーが、SMSで送られたメッセージを信用しやすいということです。

技術的な対応が難しいスミッシング
ユーザー自身の慎重な対処が重要に

その具体的な手口については、IPAの「安心相談窓口だより」に掲載された記事※1を読むと、理解しやすいでしょう。ここで取り上げられているのは、「お客様宛にお荷物のお届けにあがりましたが不在の為持ち帰りました。配送物は下記よりご確認ください。」という不在通知を装ったSMSが送られてくるケースです。日常的に通販サイトを利用しているユーザーであれば、簡単に引っかかってしまうのではないでしょうか。この他にも、新型コロナウイルスに便乗した手口などが発見されています。このような手口のスミッシングに関する相談件数は、2018年後半から2019年末までにかけて国内だけで2,000件以上に上っているそうです。

スミッシングでは、より巧妙にユーザーを信じさせる手口も存在します。それは正規メッセージと同じ送信者IDを使って送信を行うことで、正規メッセージのスレッドの中に偽メッセージを紛れ込ませる、というものです。これは、同じ送信者IDのメッセージは同じスレッドに表示する、送信者IDは送信者が自由に設定できる、というSMSの仕様に含まれる脆弱性を突いた攻撃だといえます。正規メッセージのスレッドに紛れ込んだフィッシングSMSを的確に見つけ出し、適切に対応できると自信を持っていえる人は、決して多くはないはずです。

メッセージを電話番号に対して送るという仕様も、被害を拡大しやすい要因になっているといえるでしょう。電話番号はメールアドレスに比べて使用される文字種や桁数が少なく、実質的には9桁、数億種類しかありません。そのためランダムに発信しても、相手に届く確率が極めて高いのです。また最初の数桁で攻撃対象の国も指定できるため、より適切なメッセージを送ることも容易です。米国向けなら英語、中国向けなら中国語、そして日本向けなら日本語と、使い分けることが可能なのです。

さらには通信の秘密保持のため、第三者がメッセージ内容を閲覧できないようになっていることも、技術的な対処を難しくしています。

スミッシングによってマルウェアに感染した場合には、問題はさらに深刻になります。スミッシングで感染するマルウェアの中には、感染したスマートフォンを踏み台にし、そこから偽SMSを発信するものが存在するからです。こうなってしまうと被害者ではなく、加害者になってしまいます。

このようにメールを使ったフィッシングに比べて危険度の高いスミッシングに対して、どのように対処すべきなのでしょうか。

まずはメールと同じように、送られてきたメッセージに含まれるURLをタップしないことが重要です。正規メッセージのスレッドに含まれるメッセージも、信用してはなりません。URLが含まれるSMSを受け取った場合には、ネットでやり取りを完結させるのではなく、SMSを送ってきた業者に電話を入れ、本当にSMSを送ったのかどうかを確認すべきです。なお日本郵便やヤマト運輸、佐川急便は、自社ホームページに「SMSによる不在連絡は行っていない」と明記※2しています。

そこで是非お勧めしたいのがフィッシング・スミッシング対策です。その代表的な製品としてMobileIron社が提供する「MobileIron Threat Defense」が挙げられます。モバイルデバイスのテキストメッセージ、SMSメッセージ、インスタントメッセージなどを利用したフィッシング・スミッシング攻撃を検出し、修復を行います。もちろん慎重すぎるくらいに慎重であることが重要ですが、それと同様に重要なのはそのバックアップの仕組みを構築しておくことです。

脚注
※1 https://www.ipa.go.jp/security/anshin/mgdayori20200220.html
※2 本記事掲載時(2020.11)の情報です

MobileIronとは

MobileIronは数々の受賞歴のある統合エンドポイント管理(UEM:Unified Endpoint Management)機能を基盤とする業界初のモバイルを中心としたゼロトラスト・プラットフォームです。

iOSやAndroidデバイスに加えて、MacやWindows 10などのPCも統合管理することが可能です。さらに、ゼロ・サインオン(ZSO)、多要素認証(MFA)、モバイル脅威防御(MTD)などのゼロトラスト技術を活用しています。世界大手の金融機関、情報機関、厳しい規制の対象となる企業など、20,000社以上のお客様がMobileIronを活用し、許可されたユーザー、デバイス、アプリ、サービスのみがビジネス資産にアクセスできる、シームレスかつセキュアなユーザー体験を実現しています。

詳しくはこちら