ホーム

Topics

スミッシング

スミッシングとは
IBMのスミッシング・ソリューションの詳細はこちら 登録してセキュリティー関連の最新情報を受け取る
雲、携帯電話、指紋、チェックマークのピクトグラムをコラージュしたイラスト。

更新日: 2024年6月10日

投稿者: Matthew Kosinski

 

スミッシングとは

スミッシングとは、偽のテキスト・メッセージを使って人々を騙し、 マルウェアをダウンロードさせたり、機密情報を共有させたり、金銭を損失させたりする ソーシャル・エンジニアリング 攻撃のことです。「スミッシング」という用語は、「SMS」と呼ばれる「ショート・メッセージ・サービス」と「フィッシング」を組み合わせた造語です。

スミッシングは、サイバー犯罪行為の形態としてますます一般的になってきました。Proofpoint社の「2024年フィッシングの現状」レポートによると、2023年には75%の組織がスミッシング攻撃を経験していました。1

スミッシング増加の原因にはいくつかの要因があります。まず、これらの攻撃を実行するハッカーたち(別名「スミッシャー」)は、被害者が他のリンクよりもテキスト・メッセージをクリックする可能性が高いことを知っています。同時にスパム・フィルターの進歩により、Eメールや電話などの形式で届くフィッシング攻撃が、ターゲットに到達することがより困難になったことや、

個人所有デバイスの業務使用(BYOD)やリモート・ワークの増加により、仕事でモバイル・デバイスを使用する人が増え、サイバー犯罪者が従業員の携帯電話を通じて会社のネットワークにアクセスすることが容易になったことが挙げられます。

1対1でのX-Forceディスカバリー・ブリーフィングを予約する

ハッカー、レスポンダー、研究者、インテリジェンス・アナリストで構成されたX-Forceチームが、貴社のセキュリティーの課題と、IBMがどのように支援できるかをご説明します。

関連コンテンツ データ侵害のコストに関する調査に登録する
スミッシング攻撃の仕組み

スミッシング攻撃は他のタイプのフィッシング攻撃に似ており、詐欺師は偽のメッセージと悪意あるリンクを使用して人々を騙し、携帯電話、銀行口座、または個人データを侵害します。唯一の主な違いはメディアです。スミッシング攻撃では、詐欺師はメールや電話ではなく、SMS やメッセージング・アプリを使用してサイバー犯罪行為を実行します。

詐欺師はさまざまな理由から、他のタイプのフィッシング攻撃ではなくスミッシングを選択します。おそらく最も重要なことは、調査によれば、人々はテキスト・メッセージ内のリンクをクリックする可能性が高いことがわかっています。Klaviyoの報告によると、SMSのクリックスルー率は8.9 パーセントから 14.5 パーセントの間で推移しています (リンクは ibm.com の外にあります)。これに比べ、 Constant Contact によると(リンクは ibm.com の外にあります)、メールの平均クリック率はわずか1.33パーセントです。

さらに、詐欺師は、プリペイド携帯で電話番号をスプーフィングしたり、ソフトウェアを利用してメール経由でテキストを送信したりするなどの戦術を使用して、スミッシング・メッセージの発信元を隠すことがますます増えています。また、携帯電話で危険なリンクを発見するのも困難です。たとえば、コンピューターでは、ユーザーはリンクの上にカーソルを置くとそのリンク先を確認できますが、スマートフォンではそのオプションがありません。人々は、銀行やブランドがSMS経由で連絡し、テキスト・メッセージで短縮URLを受け取ることにも慣れています。

2020 年、連邦通信委員会(FCC)は、通信会社にSTIR/SHAKENプロトコルを採用することを義務付けました(リンクは ibm.com の外にあります)。これは電話の通話を認証するもので、一部の携帯電話で不審な番号からの電話がかかったときに「詐欺の可能性があります」または「スパムの可能性があります」というメッセージが表示されるのはこのためです。しかし、STIR/SHAKEN により詐欺電話の発見は容易になりましたが、テキスト・メッセージには同等の効果がなかったため、多くの詐欺師がスミッシング攻撃に重点を移しました。

スミッシング詐欺の例

他の形式のソーシャル・エンジニアリングと同様、ほとんどのタイプのスミッシング攻撃は、偽のストーリーを使用して被害者の感情を操作し、詐欺師の命令に従うように騙すことを含むプリテキスティングを使用します。

金融機関になりすます

詐欺師は、被害者が利用している銀行担当者を装い、多くの場合、被害者の口座に問題があるという偽の警告を通知します。被害者がリンクをクリックすると、偽のWebサイトやアプリに誘導され、PIN、ログイン認証情報、パスワード、銀行口座やクレジット・カード情報などの機密の金融情報が盗まれる仕組みになっています。 

連邦取引委員会(FTC)によると、銀行なりすましは最も一般的なテキスト・メッセージ詐欺で、全スミッシング・メッセージの10%を占めています4。

政府機関になりすます

詐欺師は、警察官、IRSの代表者、またはその他の政府関係者を装う可能性があります。これらのスミッシングのメッセージは、多くの場合、被害者が罰金を支払う義務がある、または政府の給付金を請求するために行動しなければならないと煽ります。

例えば、2024年4月、米連邦捜査局(FBI)は、米国のドライバーを狙ったスミッシング詐欺について警告を発しました5。詐欺師は、料金徴収機関から来たふりをして、ターゲットには未払いの道路料金があると主張するテキスト・メッセージを送信します。メッセージには、被害者の金銭や情報を盗む偽サイトへのリンクが含まれています。

カスタマー・サポートになりすます

攻撃者は、Amazon、Microsoft、さらには被害者の利用しているワイヤレス・サービス・プロバイダーなどの信頼できるブランドや小売業者のカスタマー・サポート・エージェントを装います。彼らは通常、被害者のアカウントに問題があるか、請求されていない報酬や払い戻しがあると主張します。これらのメッセージは被害者を偽のWebサイトに送り、クレジット・カード番号や銀行情報を盗み出します。

荷主になりすます

これらのスミッシング攻撃では、FedEx、UPS、米国郵便公社などの配送会社から来ているかのように装ったメッセージを送信します。荷物の配送に問題があったことを伝え、「配送料」を支払うか、問題を解決するために自分のアカウントにサインインするよう指示します。その後、詐欺師はお金や口座情報を盗み逃げ去ります。このような手口は、多くの人が荷物を待っている休日の前後でよく見られます。 

上司や同僚になりすます

ビジネスを装ったテキスト詐欺(SMSメッセージ経由を除き ビジネス・メール詐欺と同様)では、ハッカーは緊急のタスクで助けを必要としている上司、仕事仲間、同僚、ベンダー、弁護士などになりすまします。これらの詐欺は多くの場合、即時アクションを要求し、被害者がハッカーに送金することで犯罪行為を完了させます。

間違えて送信したふりをする

詐欺師は、被害者以外の誰かに宛てたように見えるテキストを送信します。被害者が詐欺師の「間違い」を正すと、詐欺師は被害者と会話を始めます。

このような間違い番号詐欺は長期にわたる傾向があり、詐欺師は数か月、場合によっては数年にわたって繰り返し接触することで被害者の友情と信頼を得ようと試みます。詐欺師は、被害者に対して恋愛感情を抱いているふりまですることもあります。目的は、偽の投資機会、融資の申し込みや同様の話を通じて被害者のお金を盗み取ることです。

アカウントがロックアウトされたふりをする

多要素認証(MFA)詐欺と呼ばれるこの詐欺では、被害者のユーザー名とパスワードをすでに知っているハッカーが、被害者のアカウントにアクセスするために必要な検証コードまたはワンタイム・パスワードを盗もうと試みます。

ハッカーは被害者の友人の一人を装い、InstagramやFacebookのアカウントからロックされたと主張し、被害者にコードを受け取るよう依頼する可能性があります。被害者はMFAコード(実際には自分自身のアカウント用)を取得し、それをハッカーに渡してしまいます。

無料アプリを提供するふりをする

スミッシング詐欺の中には、被害者を騙して、一見正当と思われるアプリ(ファイル・マネージャー、デジタル決済アプリ、さらにはウイルス対策アプリなど)をダウンロードさせようとしますが、これらは実際はマルウェアまたは ランサムウェアです。 

スミッシングvsフィッシングvsビッシング

フィッシングとは、ソーシャル・エンジニアリングを使用して被害者を騙し、金銭を支払わせたり、機密情報を渡したり、マルウェアをダウンロードさせたりするサイバー攻撃の広義の用語です。スミッシングとビッシングは、ハッカーが被害者に対して使用できるフィッシング攻撃の2種類にすぎません。 

さまざまな種類のフィッシング攻撃の主な違いは、攻撃の実行に使用されるメディアです。 スミッシング攻撃では、ハッカーはテキスト・メッセージまたはSMSを使って被害者に狙いを定めます。ビッシング攻撃(「ボイス・フィッシング」の略)では、ハッカーは電話や留守電などの音声通信を使って正当な組織を装い、被害者を操ります。

スミッシング攻撃対策  

スミッシング詐欺対策を支援するため、FCCは使用されていないまたは無効な電話番号など、不審な番号からのスパム・メールの可能性の高いメールをブロックするよう、無線プロバイダーに義務づける新しい規則を採択しました6。 

ただし、完璧なスパム・フィルターは存在せず、サイバー犯罪者はつねにこうした対策の抜け道を見つけようと狙ってきます。個人や組織はスミッシング攻撃に対する防御を強化するため、さらに次のような対策をとることができます。

モバイル・サイバーセキュリティー・ソリューション 

アンドロイドやiOSのオペレーティング・システムに、承認されていないアプリをブロックしたり、不審なメールをスパム・フォルダーに振り分けたりといった保護や機能が組み込まれています。

組織レベルでは、企業は統合エンドポイント管理(UEM)ソリューションと不正アクセス検知ツールを使って、モバイル・セキュリティー制御を設定し、セキュリティー・ポリシーを適用し、悪意のあるアクティビティを阻止できます。 

セキュリティー意識向上トレーニング 

組織は、怪しい電話番号、不明な送信者、予期していなかったURLや緊急性を強調する姿勢など、サイバー攻撃やスミッシングの警告サインを認識できるようトレーニングを従業員に受けさせることで、多くの詐欺を阻止できるようになります。

多くの組織では、従業員が新しいサイバーセキュリティー・スキルを実践できるように、スミッシング・シミュレーションを活用しています。このようなシミュレーションによって、セキュリティー・チームも、組織を詐欺にさらしてしまうようなコンピューター・システムや組織のポリシーの脆弱性を見つけられます。 

組織では、脅威検知ールと、機密データ取り扱い、決済承認、 リクエスト対応前の検証に関するポリシー を組み合わせることで、これらの脆弱性を修正できます。

関連ソリューション
モバイル脅威防御(MTD)ソリューション

IBM Security MaaS360には、統合エンドポイント管理(UEM)に対するユーザーおよびセキュリティー中心のアプローチを維持するための、 完全なモバイル脅威防御(MTD)パッケージが組み込まれています。

モバイル脅威対策ソリューションを見る
IBM Security Trusteer Pinpoint Assure

IBM Security Trusteer Pinpoint Assureは、ゲスト・ユーザーおよびデジタル・アカウント作成時のIDリスクを検出および予測するためのSaaSです。

Trusteer Pinpoint Assureの詳細はこちら
IBM® Storage FlashSystem

サイバー攻撃が発生した場合の回復力のあるデータ・ストレージ。 IBM Storage FlashSystemは、機械学習モデルを使ってすべてのI/Oから収集された統計を継続的に監視し、ランサムウェアなどの異常を1分以内に検知します。

IBM Storage FlashSystemはこちら
参考情報 X-Force Threat Intelligenceインデックス

攻撃者の戦術を理解することは、従業員やデータ、インフラストラクチャーを保護するために重要です。世界中のセキュリティー・チームが経験した課題と成功から学びましょう。

2024年のサイバーセキュリティー: 人間の攻撃対象領域の悪用およびサイバー脅威の潮流の変化

サイバー犯罪者が、「人間の攻撃対象領域」を悪用して、最も抵抗の少ない経路に狙いを移し目的を進展させている現状を解説します。

サイバーセキュリティーからサイバー・レジリエンスへの移行

このホワイト・ペーパーでは、サイバー攻撃から保護するだけでなく、サイバー攻撃が発生した際に、できるだけ早く正常な状態に戻るための復元ソリューションを導入するための、サイバー・レジリエンスの概念について説明しています。

次のステップ

IBM X-Force Red のグローバル・チームは、侵入テスト、脆弱性管理、敵対者のシミュレーションなど、あらゆるオフェンシブセキュリティーサービスを提供し、デジタルおよび物理的なエコシステム全体をカバーするセキュリティ上の欠陥の特定、優先順位付け、修復を支援します。

X-Force Redサービスの詳細はこちら