こらむ

研究ブログ【コラム】＃403

こらむ

アマゾンを装うSMS攻撃がエグいですね。対応を迫られる業者

どうも、こんにちは。

マグロ所長です。

スマートフォンのショートメッセージサービス（SMS）を使い、通販サイト「アマゾン」などを装って偽サイトに誘導する「スミッシング」攻撃が拡大しています。2021年の検知数は20年比3.1倍で端末を乗っ取るマルウエア（悪意のあるプログラム）を仕込む悪質な攻撃も目立っています。

NTTドコモなどは対策ツールを導入するようユーザーに呼びかけています。日本ではNTTドコモなどのキャリアが対応に迫られています。

「お荷物のお届けにあがりましたが、不在の為持ち帰りました。ご確認ください」。スミッシングは、スマホ利用者の電話番号宛てにこんなSMSを送り、そこに書かれた偽サイトのURLをクリックさせる攻撃です。

アマゾンによる支払い方法の変更や宅配業者の不在通知、通信事業者からの本人確認依頼などの文面を装い、IDやパスワード、クレジットカード番号を窃取するというのが手口です。

攻撃者はその情報を使い、被害者になりすまして不正利用や不正送金を行います。

近年は新型コロナウイルス禍に関連した「自治体からのワクチン接種案内」「特別定額給付金の申請」など、受け手に信じこませるよう内容が巧妙になっています。

迷惑電話などの遮断サービスを手掛けるトビラシステムズは、サービスを利用している約1300万の端末から1カ月で約1.6億件のSMSなどのメッセージを収集し、記載されているURLや文面のパターンなどからスミッシングが疑われるものを検知しています。

同社によると、20年1～6月と比べた半期ごとの件数は同7～12月は4.1倍、21年1～6月は7.8倍、同7～12月は8.1倍と膨らむ一方で通年の比較でも21年は20年に比べ3.1倍。実数は明らかにしていないが、「年間で数百万件規模で検知している」という声もあります。

とりわけ近年被害が深刻化しているのは、「マルウエア型」と呼ばれるスミッシングというものもあります。

SMSにマルウエアを感染させるURLを仕込んで標的に送信。誤ってスマホにインストールすると、端末内の情報を盗まれるほか、保存されている電話番号に対して自動的にSMSを送信されてしまうというものです。

NTTドコモは21年10月、同社を装うスミッシングで約1200人が被害に遭い、1億円近い被害が生じたと発表し、この年末年始でも被害は増えていると想定されます。

個人情報の窃取ではメールを使った「フィッシング詐欺」も引き続き流行していて、SMSはメールより標的をだましやすい点でより大きな脅威です。

将来的には未知のSMSも判別できるよう、人工知能（AI）モデルが出てくることで対策もかんたんになりますがいたちごっこが続きそうです。

以上、マグロでした。

研究ブログ