SMS狙うスミッシングに要注意 - コロナ禍で利用増加、攻撃対象に
目次を閉じる
コロナ禍でコミュニケーション手段に変化
新型コロナウイルス感染症(COVID-19)対策の在宅勤務で、テレワークの機会が増えました。その影響により、情報交換やコミュニケーションにおけるデジタルデバイスの重要性が、以前にも増して高まっています。
コミュニケーションを円滑にするため、プライベートで使い慣れた「LINE」や「Facebook Messenger」のようなサービスを利用し始めた職場もあるはずです。それとも、より本格的な「Slack」や「Microsoft Teams」といったチャットツールを導入したでしょうか。また、ビデオ会議サービス「Zoom」の利用者が急増し、打ち合わせや面接などでも使われるようになりました。
このように、電話やメールばかりだったビジネス環境のコミュニケーションが、COVID-19という想定外の事態によって、目的に合うツールで行えるようになったのは不幸中の幸いだったかもしれません。
SMS(ショートメール)の注目度が高まる
利用者が増えたのは新しいツールばかりではありません。実は、携帯電話の時代から存在していた、ショートメールとも呼ばれるSMS(ショートメッセージサービス)が注目されています。
SMSは「確実に届く」メリット
SMSは、短いテキストメッセージなどを送信できるシンプルなモバイル通信サービスです。送信先を電話番号で指定するため、相手の電話番号さえ知っていれば送れます。
新たなアプリ導入やアカウント作成は不要なので、メッセージを届ける手段として世界中で重宝されてきました。ところが、日本の携帯電話市場では、NTTドコモの「iモード」などのモバイル機器向けインターネット接続サービスが早くから普及していたため、SMSでなくメールを利用する人が多かったようです。
ただし、電話番号という情報だけで確実にメッセージを送ることができて、不達になりません。しかも、着信をプッシュ方式で知らせるので、相手に見落とされることが少なく、開封してもらえる確率が高い、という特長があります。
優れた情報伝達ツールとして再評価
近年でも2段階認証の認証コード送付などでSMSを受け取る機会は多く、扱いには慣れています。そして、信頼性の高さが評価され、メールよりも優れた情報伝達ツールと見なされるようになってきました。
COVID-19パンデミックで対面コミュニケーションが難しくなった今、SMSをマーケティングやアンケート調査に活用しようとする動きがあります。たとえば、CM.com Japanの「SMS Suite」、SMSを使ったケイスリーの情報配信サービスなど、次々と登場してきました。企業では、従業員向けの連絡網として使う動きもあります。
SMS狙う「スミッシング」に注意
ところが、SMSはサイバー攻撃の道具としても悪用されるようになってきたため、注意が必要です。特に、SMSを使ったフィッシング攻撃「スミッシング(smishing)」が問題視されています。
スミッシングとは
スミッシングとは、SMSによるフィッシングということから、SMSとphishingを組み合わせて名付けられたサイバー攻撃です。言葉巧みにSMSメッセージ内の攻撃用URLをタップさせ、フィッシング詐欺サイトに誘導します。誘導先では、個人情報やクレジットカード番号などが盗まれることもあれば、さらなる攻撃用のマルウェアを仕込まれることもあるでしょう。
攻撃の構造としては、それらしい文章で受信者をだますという点において、旧来のメールを使ったフィッシング詐欺と変わりません。
フィッシングメールよりだまされやすい
ただし、同種の攻撃であっても、スミッシングに引っかかる人はフィッシングメールより多いようです。
迷惑なスパムや危険なフィッシングに悪用され続けているメールは、セキュリティ対策が充実していて、適切に不審なメールを検出できるようになってきました。それに対しSMSは、保護策が不十分なうえ、文章がシンプルでフィッシングかどうかの判別が難しいようです。しかも、これまで詐欺メッセージが少なかったため精査せず、攻撃用サイトに誘導されやすいのでしょう。
BYODに便利だが用心を
SMSは専用アプリが不要で、特別な設定が必要なく、電話番号があれば連絡可能。とても使いやすい情報伝達手段です。突然のテレワークで環境整備が間に合わず、個人所有デバイスで仕事を進める場合のBYODにも、容易に対応できます。ゼロトラストネットワークでよく採用される2段階認証との相性もよいです。
しかし油断は禁物です。日本でも最近、モバイルキャリアや銀行、宅配業者を装って詐欺を働こうとするスミッシングが増えてきました。「ドコモ口座」で発生した不正利用問題も、SMSを悪用し提携口座の情報を得ていたとする説があります。安全と思われてきたSMSでも、これからは用心しなければなりません。
まず、個人情報を引き出そうとする不審なURLは開かないといった、基本的な対策を改めて徹底しましょう。社用スマートフォン向けセキュリティツールとしては、MDM(モバイルデバイス管理)が利用できます。BYOD端末での公私分離に対応したサービスもあり、保存領域を個人用と会社用にわけ、会社用の部分だけをコントロールできます。
利用者とともに増えるのがサイバー攻撃。改めて、モバイル端末のセキュリティを見直す必要がありそうです。
