大流行する「スミッシング」 加害者にならないための“究極の対策”とは？

配達業者を装うスミッシングの事例（出典：筆者のスマートフォンに届いたSMS）

　日本において、スマートフォン間でのメッセージのやりとりは「LINE」がデファクトスタンダードになっています。SMSは1通ごとに送信料がかかることもあり、あまり使われていないとは思いますが、二要素認証のコードなどにはSMSを利用しているサービスも多く、完全に無視できないというのが現状です。

　それをうまく悪用しているのが、「スミッシング」です。日本では荷物配達や金融機関を装うことが多く、ユーザーに確認を促してURLリンクをクリックさせるフィッシング詐欺です。筆者のもとにもこうした悪意のあるSMSが日々送られてきていることからも、それなりに成功率が高い攻撃手法であることが推察されます。

　今回はスミッシングの現状と、やってはいけないこと、そして対策に関して取り上げたいと思います。

●スミッシングのよくある誤解と“やってはいけないこと”

　携帯電話事業者やセキュリティベンダー、総務省はスミッシングを大きな課題として認識し、対策を協議しています。2024年に開催されている総務省「ICTサービスの利用環境の整備に関する研究会」でも、SMSの不適切利用が議題に挙げられています。

　スミッシングで注意してほしいのはその送信元です。スミッシングの送信者はサイバー犯罪を実行する攻撃者そのもののように思われがちですが、実際は「被害者」です。

　被害者はスマートフォンに不正なアプリをインストールするなどでマルウェアに感染し、知らず知らずのうちに、勝手にSMSを送信しています。上記研究会でマクニカが公開した資料によると、スミッシングの発信源の99％はマルウェアに感染した端末だとされています。

　この他、同じく研究会に参加しているトビラシステムズからは、悪意のあるSMSを送信するマルウェアとして「MoqHao（XLOADER）」「KeepSpy」が取り上げられています。文面を見たら分かるかと思いますが、皆さんも一度はこれを受け取ったことがあるのではないでしょうか。このリンクをクリックすると、攻撃者が用意した偽のログイン画面につながり、そこから認証情報を盗む、という動きが見られるようです。

　これらのSMSは、基本的には「無視」するしかありません。一部、これらの送信者をサイバー犯罪者として断定し、SMS送信者の電話番号に連絡する方もいるようですが、恐らく電話の持ち主はSMS送信を把握していないはずで、全くの無意味です。