orangeitems’s diary

クラウドで働くインフラエンジニアの日々の感想です(ほぼ毎日更新)。

ショートメッセージサービス(SMS)がフィッシングに使われる案件が急増している背景は何か

f:id:orangeitems:20190708175607j:plain

 

はじめに 

SMS(ショートメッセージサービス)は電子メールと違って、電話番号に届くメッセージであり通知の仕方も特別なので最近は企業等から通知する手段として見直されている存在です。

メッセージ開封率も高いのですが、それを逆手にとってフィッシングサイトへの誘導に使われるシーンが急増しています。

今回は最近の事例を調査し、急増するその背景を考えてみます。

 

事例

2019/7/8 エポスカード

internet.watch.impress.co.jp

 エポスカードをかたり、フィッシングサイトに誘導する不審なSMSが確認されたとして、フィッシング対策協議会が注意を呼び掛けている。誘導先のフィッシングサイトは7月8日13時時点で稼働中だ。

 SMSの内容は、「お客様のエポスカードが不正利用の可能性があります。本人認証設定をお願いします」となっており、記載されたリンクをクリックするよう誘導する。

 

これは良くできてますね・・。誘導先のサイトは本物にとてもそっくりです。

 

2019/7/8 宅配の不在連絡

www.kochinews.co.jp

高知県内で宅配の不在連絡を装ったショートメールが多数送信されていることを受け、高知県警が注意を呼びかけています。

今月5日の県警の発表によると、ショートメールには偽サイトのURLが記載されており、悪意のあるアプリをダウンロードさせたり、アップルIDの入力を促されるフィッシングと見ています。

 

詳細は分かりにくいのですが、これも押してしまいそうになりますよね。無視するのはいいのですが、それじゃあ本物のサービスでSMSを使っていたら見分けがつくのか・・という。

 

2019/7/5 Amazon.com

japan.zdnet.com

 フィッシング対策協議会は7月5日、Amazonになりすましてフィッシングサイトへ誘導するショートメッセージ(SMS)への注意を呼び掛けた。

電子メールの事例は良く見ますが、SMSでも来てるんですね。

 

2019/6/21 SMSタップ詐欺

www.nikkan-gendai.com

タップすると、Androidの場合は本物そっくりの偽サイトに飛び、アプリのダウンロードを促す。そして、タップして不正アプリをダウンロードしてしまうと、不特定多数の電話番号に同様なSMSが送り付けられ拡散。さらに、勝手にiTunesカードなどのプリペイドカードが買われてキャリアー決済されてしまうという寸法。また、SMSで拡散されるため、問い合わせの電話が頻繁にかかってくることもある。

 被害者のスマホがiPhoneの場合、Apple IDとパスワードの入力を促される。それを入力してしまうと、同様にその情報でキャリアー決済をされてしまい被害に遭うのだ。

これはひっかかると、恐ろしく被害がでてしまうヤツですね。

電話代も地味にかかるし、iTunesカードはどこに送られるのかわかりませんが高額だし・・。あと拡散した際の電話番号が使われるので、こりゃあ電話番号が使い物にならなくなるかもですね。

ひどい。

 

SMSのメッセージ内にURLが記載されている場合はとにかく、疑ってみること。そして、スマートフォンにアプリをインストールするときは、SMSから誘導されたサイトからではなく、必ず公式のアプリストアから行うことを心がけたい。

そうなんですけど・・。もはやSMS内のURLはキャリアで勝手に削除してほしいくらいですね。

 

2019/6/20 NTTドコモ

blogos.com

NTTドコモは17日、SMS(ショートメッセージサービス)で同社を装ったフィッシングメッセージの送信が確認されているとお知らせしています。特にSMSの送信元が公式と同じ「NTTDOCOMO」などとなっているため、過去の公式SMSと同じスレッドで表示されてしまうので注意が必要となっています。

これ、ドコモ公式SMSと同じスレッドに表示されていてもフィッシングSMSの可能性がある、ということでダメじゃないかと思います。

しかも被害にあわないためには、以下の3つが重要とあります。

 

1)不安を煽るような内容のSMSはフィッシングを疑う!

2)URLへアクセスする前に、NTTドコモ公式のURLか確認!

3)万が一アクセスしたとしても、個人情報を入力しない!

 いやあ、これ対策になってないですよ。不安かどうかなんて人それぞれです。URL確かめろと言ったって、ドメイン名を似せてくる可能性もあります。リテラシーの高い人じゃないと100%見極めるのは難しい・・。

 

2019/6/16 長崎県の事例

this.kiji.is

携帯電話のIDやパスワードなどを盗むために電話番号を宛先とするショートメッセージ(SMS)を送りつけ、実在する企業の偽サイトに誘導する「フィッシング」の手口に遭ったという相談が4月以降、県警に相次いでいる。勝手にネットショッピングで高額商品を購入されたり、携帯電話番号をフィッシングメールの発信元として悪用されたりする二次的被害も発生している。

実際の被害のお話です。

フィッシングに引っかかって取られてしまった情報を通じて、いろんな買い物を決済されお金を奪われています。

フィッシングサイトで個人情報を入力しなくても、不正アプリをインストールされて個人情報を抜かれるパターンが書かれています。

 

 被害をどう防ぐのか。長崎県警は「ショートメッセージに添付されたURLをむやみに開かないでほしい」と注意喚起する。フィッシングへの対応を支援するフィッシング対策協議会(東京)は「アカウントを乗っ取られた場合は、電話番号やパスワードを早急に変更してほしい」と呼び掛けている。

電話番号を変える事態になったら、すごく大変だと思いますがいかがですか?

 

2019/6/14 セブン銀行

internet.watch.impress.co.jp

 セブン銀行をかたり、偽サイトへ誘導するSMSが確認されたとして、フィッシング対策協議会が注意を呼び掛けている。6月14日14時時点で同サイトは停止しているが、引き続き注意が必要だ。

 

これも同じだなあ・・。ドメイン名を混同しやすいものにして、URL付けとけばかなり誘導できそうな気がします。

 

2019/5/20 偽ドメインがたくさん流通している

internet.watch.impress.co.jp

宅配業者の不在通知を装い、SMS経由でフィッシングサイトに誘導する“スミッシング”が2018年以降に確認されているが、この攻撃で1500件以上の類似ドメインが取得されていたことがデジタルアーツ株式会社の調査で分かった。

 

もはやビジネスですねこうなると。宅配会社っぽいドメイン名が相当な数取引されているそうです。不正アプリをインストールされるとそこからSMSが自動発信されてしまうというのが怖い。メールサーバーで言うところのスパムの踏み台に使われるようなイメージです。しかも個人のスマホですから、個人の電話料金に全て加算されてしまう・・と。

 

SMSによるフィッシングの対策がキャリアに求められる

フィッシング対策協議会が、都度、緊急情報を出してくれています。

 

www.antiphishing.jp

 

ここ最近の事例をまとめようと思ったら、たくさんありすぎて直近2か月くらいで十分なサンプルが集まってしまいました。

このSMSという仕組み、フィッシングを誘発する脆弱な機能ではないですか?

せめてSMSでは強制的にURLを無効にするなど、キャリアは緊急対策が必要ではないでしょうか。このメッセージに含まれるURLのリンクが有効になっていることが元凶のように思いました。

SMSを受信するアプリを修正するのは急には難しくても、必ずSMSを送付するサーバーを通っているはずですから、そこでフィルタリングできると思います。

これだけの事例がそろっていますから、「URLは開かないで!」なんて言う対策が有効か疑問符が付きます。高齢者や子どもも使っているのがスマホですから・・。