スミッシングとは

スミッシングは、サイバー犯罪行為の形態としてますます一般的になってきました。Proofpoint社の「2024年フィッシングの現状」レポートによると、2023年には75%の組織がスミッシング攻撃を経験していました。¹

スミッシング増加の原因にはいくつかの要因があります。まず、これらの攻撃を実行するハッカーたち（別名「スミッシャー」）は、被害者が他のリンクよりもテキスト・メッセージをクリックする可能性が高いことを知っています。同時にスパム・フィルターの進歩により、Eメールや電話などの形式で届くフィッシング攻撃が、ターゲットに到達することがより困難になったことや、

個人所有デバイスの業務使用（BYOD）やリモート・ワークの増加により、仕事でモバイル・デバイスを使用する人が増え、サイバー犯罪者が従業員の携帯電話を通じて会社のネットワークにアクセスすることが容易になったことが挙げられます。

詐欺師が偽のメッセージと悪意あるリンクを使用して人々を騙し、携帯電話、銀行口座、または個人データを侵害する点で、スミッシング攻撃は他のタイプのフィッシング攻撃に似ています。その主な違いは媒体です。スミッシング攻撃では、詐欺師はEメールや電話を使用せず、携帯電話のメッセージやメッセージング・アプリケーションを利用して、犯罪活動を行います。

詐欺師が他のタイプのフィッシング攻撃ではなくスミッシングを選択するのはさまざまな理由があります。調査によれば、人々はEメール内のリンクよりも、テキスト・メッセージ内のリンクをクリックする可能性が高いことがわかっています。Klaviyo社によると、SMSでリンクをクリックする割合は8.9％から14.5％の間で推移しています^2。一方、Constant Contact社によると、Eメールの平均クリック率は2%です^3。

さらに、詐欺師はプリペイド携帯で電話番号をスプーフィングしたり、ソフトウェアを利用してEメール経由でテキストを送信したりするなどの戦術を使って、ますますスミッシング・メッセージの発信元を隠すことに長けてきています。

また、携帯電話でも危険なリンクを発見しにくくなってきています。PCでは、ユーザーはリンクの上にカーソルを置けばリンク先を確認できますが、スマートフォンではそのような選択肢はありません。また人々は、銀行やブランドからSMSで短縮URLを受け取ることにも慣れてきてしまいました。

2020年、連邦通信委員会（FCC）は通信会社にSTIR/SHAKENプロトコルの採用を義務づけました。STIR/SHAKENは通話の発信元を明らかにするもので、一部の携帯電話で不審な番号から電話がかかってきたときに「詐欺の可能性があります」または「スパムの可能性があります」というメッセージが表示されるのはこのためです。

しかし、STIR/SHAKENにより詐欺電話の発見は容易になりましたが、テキスト・メッセージには同等の効果がなかったため、多くの詐欺師がスミッシング攻撃に重点を移しました。

他の形式のソーシャル・エンジニアリングと同様、ほとんどのタイプのスミッシング攻撃は、偽のストーリーを使用して被害者の感情を操作し、詐欺師の命令に従うように騙すことを含むプリテキスティングを使用します。

詐欺師は、被害者が利用している銀行担当者を装い、多くの場合、被害者の口座に問題があるという偽の警告を通知します。被害者がリンクをクリックすると、偽のWebサイトやアプリに誘導され、PIN、ログイン認証情報、パスワード、銀行口座やクレジット・カード情報などの機密の金融情報が盗まれる仕組みになっています。

連邦取引委員会（FTC）によると、銀行なりすましは最も一般的なテキスト・メッセージ詐欺で、全スミッシング・メッセージの10％を占めています^4。

詐欺師は、警察官、IRSの代表者、またはその他の政府関係者を装う可能性があります。これらのスミッシングのメッセージは、多くの場合、被害者が罰金を支払う義務がある、または政府の給付金を請求するために行動しなければならないと煽ります。

例えば、2024年4月、米連邦捜査局（FBI）は、米国のドライバーを狙ったスミッシング詐欺について警告を発しました^5。詐欺師は、料金徴収機関から来たふりをして、ターゲットには未払いの道路料金があると主張するテキスト・メッセージを送信します。メッセージには、被害者の金銭や情報を盗む偽サイトへのリンクが含まれています。

攻撃者は、Amazon、Microsoft、さらには被害者の利用しているワイヤレス・サービス・プロバイダーなどの信頼できるブランドや小売業者のカスタマー・サポート・エージェントを装います。彼らは通常、被害者のアカウントに問題があるか、請求されていない報酬や払い戻しがあると主張します。これらのメッセージは被害者を偽のWebサイトに送り、クレジット・カード番号や銀行情報を盗み出します。

これらのスミッシング攻撃では、FedEx、UPS、米国郵便公社などの配送会社から来ているかのように装ったメッセージを送信します。荷物の配送に問題があったことを伝え、「配送料」を支払うか、問題を解決するために自分のアカウントにサインインするよう指示します。その後、詐欺師はお金や口座情報を盗み逃げ去ります。このような手口は、多くの人が荷物を待っている休日の前後でよく見られます。

ビジネスを装ったテキスト詐欺（SMSメッセージ経由を除きビジネス・メール詐欺と同様）では、ハッカーは緊急のタスクで助けを必要としている上司、仕事仲間、同僚（ベンダー、弁護士など）になりすまします。これらの詐欺は多くの場合、即時アクションを要求し、被害者がハッカーに送金することで犯罪行為を完了させます。

詐欺師は、被害者以外の誰かに宛てたように見えるテキストを送信します。被害者が詐欺師の「間違い」を正すと、詐欺師は被害者と会話を始めます。

このような間違い番号詐欺は長期にわたる傾向があり、詐欺師は数か月、場合によっては数年にわたって繰り返し接触することで被害者の友情と信頼を得ようと試みます。詐欺師は、被害者に対して恋愛感情を抱いているふりまですることもあります。目的は、偽の投資機会、融資の申し込みや同様の話を通じて被害者のお金を盗み取ることです。

多要素認証（MFA）詐欺と呼ばれるこの詐欺では、被害者のユーザー名とパスワードをすでに知っているハッカーが、被害者のアカウントにアクセスするために必要な検証コードまたはワンタイム・パスワードを盗もうと試みます。

ハッカーは被害者の友人の一人を装い、InstagramやFacebookのアカウントからロックされたと主張し、被害者にコードを受け取るよう依頼する可能性があります。被害者はMFAコード（実際には自分自身のアカウント用）を取得し、それをハッカーに渡してしまいます。

スミッシング詐欺の中には、被害者を騙して、一見正当と思われるアプリ（ファイル・マネージャー、デジタル決済アプリ、さらにはウイルス対策アプリなど）をダウンロードさせようとしますが、これらは実際はマルウェアまたはランサムウェアです。

フィッシングとは、ソーシャル・エンジニアリングを使用して被害者を騙し、金銭を支払わせたり、機密情報を渡したり、マルウェアをダウンロードさせたりするサイバー攻撃の広義の用語です。スミッシングとビッシングは、ハッカーが被害者に対して使用できるフィッシング攻撃の2種類にすぎません。

さまざまな種類のフィッシング攻撃の主な違いは、攻撃の実行に使用されるメディアです。 スミッシング攻撃では、ハッカーはテキスト・メッセージまたはSMSを使って被害者に狙いを定めます。ビッシング攻撃（「ボイス・フィッシング」の略）では、ハッカーは電話や留守電などの音声通信を使って正当な組織を装い、被害者を操ります。

スミッシング詐欺対策を支援するため、FCCは使用されていないまたは無効な電話番号など、不審な番号からのスパム・メールの可能性の高いメールをブロックするよう、無線プロバイダーに義務づける新しい規則を採択しました⁶。

ただし、完璧なスパム・フィルターは存在せず、サイバー犯罪者はつねにこうした対策の抜け道を見つけようと狙ってきます。個人や組織はスミッシング攻撃に対する防御を強化するため、さらに次のような対策をとることができます。

アンドロイドやiOSのオペレーティング・システムに、承認されていないアプリをブロックしたり、不審なメールをスパム・フォルダーに振り分けたりといった保護や機能が組み込まれています。

組織レベルでは、企業は統合エンドポイント管理（UEM）ソリューションと不正アクセス検知ツールを使って、モバイル・セキュリティー制御を設定し、セキュリティー・ポリシーを適用し、悪意のあるアクティビティを阻止できます。

組織は、怪しい電話番号、不明な送信者、予期していなかったURLや緊急性を強調する姿勢など、サイバー攻撃やスミッシングの警告サインを認識できるようトレーニングを従業員に受けさせることで、多くの詐欺を阻止できるようになります。

多くの組織では、従業員が新しいサイバーセキュリティー・スキルを実践できるように、スミッシング・シミュレーションを活用しています。このようなシミュレーションによって、セキュリティー・チームも、組織を詐欺にさらしてしまうようなコンピューター・システムや組織のポリシーの脆弱性を見つけられます。

組織では、脅威検知ールと、機密データ取り扱い、決済承認、 リクエスト対応前の検証に関するポリシー を組み合わせることで、これらの脆弱性を修正できます。