テキスト メッセージは、ブランドやサービスに関する情報収集手段として今や一般化しており、電子メールよりも好まれる傾向にあります。これに伴い、詐欺師もテキスト メッセージ (によるスミッシング) を多用するようになっており、従来の電子メールによるフィッシング攻撃に代わり、ショートコードを介してテキスト メッセージで詐欺行為を働き始めています。

ショートコードとは何か

企業各社は、主に顧客とのテキスト メッセージのやりとりにショートコードを使用しています。たとえば、FedEx からショートコード「46339」を用いた配送情報を受け取ったことがある方もいらっしゃるでしょう。また、ショートコードのその他の用途例として、航空会社による予約確認、ID 認証、ルーティン化されたアカウント アラートなどが挙げられます。ショートコードは米国では通常 4~6 桁ですが、フォーマットや数字の指定は国によって異なります。

ショートコードのメリットは極めて明白です。テキスト メッセージは速くて便利ですし、顧客はリンクへのアクセスやブランドまたはサービスとのやりとりをより簡単に行うことができます。ただし、重大な欠点として、SMS を利用したフィッシング攻撃 (すなわち「スミッシング」攻撃) による詐欺被害に遭う可能性があります (サイバーセキュリティ界では複合造語がよく使われることからも想像がつくかと思いますが、スミッシングは「SMS」と「フィッシング」を組み合わせてできた言葉です)。

猛威を振るうフィッシング攻撃と、人々の認識不足

最もあからさまなスミッシング攻撃の例として、モバイル マルウェアへのリンクを含むテキスト メッセージがあります。この種のリンクを誤ってクリックすると、悪質なアプリがスマートフォンにインストールされてしまうことがあります。インストールが実行された場合、モバイル マルウェアはキーストロークを記録したり、身元情報を窃取、あるいは重要なファイルを人質に取って身代金を要求するなどの目的で使用されます。未知の送信者からの電子メールや添付ファイルを開くことに伴う従来の脅威の多くは、スミッシング攻撃においても同様です。ただし、この種の攻撃に人々はあまり馴染みがないため、警戒を怠りがちです。 

 

寄付金を狙ったスミッシング

ショートコードに伴うもう 1 つのリスクは、1 単語での返信によってトランザクションが実行され、携帯電話会社からの請求書にその料金が記載されるという点です。自然災害が起きると、大抵は慈善団体がショートコードを提示し、これによって救助活動のための義援金の寄付が驚くほど簡単にできます。たとえば、「PREVENT」というテキストをショートコード 90999 に送信すると、米国赤十字社の災害救済基金 (American Red Cross Disaster Relief Fund) に $10 (米ドル) を寄付できます。

しかし、詐欺師がこれを悪用すれば、正当な組織を装って何らかのショートコードに「MONSOON」というテキストを送信させることも驚くほど簡単にできてしまいます。このようなスミッシング詐欺によって、携帯電話のユーザーには虚偽の高額料金が請求され、支援団体が一般市民の慎重さに頼って正当な寄付を集めることも困難になります。米国内におけるショートコードの信頼性を見極めるには、U.S. Short Code Directory が有用です。このサイトでは、さまざまなブランドが使用しているショートコードを、ブランド名から、またはショートコードから検索できます。

 

スミッシング攻撃に対する自己防衛

信頼できるモバイル セキュリティ アプリを使用すれば、さまざまなモバイル脅威から身を守る助けにはなりますが、スミッシング攻撃を回避するには、サイバー関連の十分な知識が必要です。未知の送信者からのテキスト メッセージには、疑いを抱いてください。送信者が誰なのかがはっきりしている、あるいはメッセージが届くことがわかっていた場合以外は、必ずリスクを想定する必要があります。また、そのときどきの状況も非常に重要です。連絡先リスト内の携帯電話の紛失または盗難時には、その人物になりすましたメッセージが届くかもしれません。その人物からのメッセージとして不自然な点がないかどうかを必ず確認してください。

 

Webroot Japan

About the Author

Webroot Japan

Webroot Japan

ウェブルートブログは企業や個人ユーザーのサイバーセキュリティ対策に役立つな最新の脅威インテリジェンスやサイバー脅威の対策など様々な情報をお届けさせていただきます。

Facebook Comments Box