SMSを用いたフィッシング詐欺
SMSを用いたフィッシング詐欺(2015年)
SMS(ショートメッセージサービス、ショートメール、short message service)は、携帯電話の番号がわかるだけでメッセージを送受信できる便利なサービスです。メールやメッセージアプリの普及が目立ち、SMSはひと昔前のサービスのように思われがちですが、最近では他のコミュニケーションツールとの住み分けとして、本人認証のための利用(参考:API連携送信の活用事例や、災害時の生存確認用途での利用(参考「災害に強い回線交換」など、利用者の確認の用途でも使用されるケースが増えてきました。反面、2015年に入ってからはその用途を悪用し、フィッシング詐欺の手段としてSMSが利用されてしまう事件が増加し始めています。2015年5月からSMSを用いたフィッシング詐欺行為が急増し、2015年5月25日には三菱東京UFJ銀行から、6月16日は三井住友銀行から各ウェブサイト上にて注意が喚起され、それぞれ事例付で紹介されています。
(金融犯罪にご注意ください | 三菱東京UFJ銀行)
(セキュリティ : 三井住友銀行)
また、フィッシング詐欺対策協議会より、SMSを利用した上記二行のフィッシングサイトへと誘導する手口が紹介され(参考 図1)、「他金融機関などのインターネットバンキングサービスにおいても同様の事象が発生する可能性がある」旨の警鐘が鳴らされています。
[図1 三菱東京UFJ銀行と三井住友銀行を装うSMS とその遷移先]
[画像引用元:フィッシング詐欺協議会]
7月6日には ジャパンネット銀行を装うSMSが報告され、同行からの注意喚起も行われました。
(当社を装ってログインパスワード等の入力を求めるショートメールにご注意ください|ジャパンネット銀行)
フィッシング詐欺協議会]
これまでは他のツールに比べて犯罪に利用されることが目立っていなかったSMS。本ページでは、フィッシング詐欺の内容や変遷、SMSを使用したフィッシング詐欺の手口、予防策や対応策などをご紹介いたします。
フィッシング詐欺とは?被害に合うと何が起こる?
フィッシング詐欺(Phishing)とは、オンラインバンクやクレジットカード会社からのメールやWebサイトを装って携帯電話利用者やメール利用者に連絡を取り、IDやパスワード、暗証番号やクレジットカード番号などを盗み出す詐欺の手法です。語源は諸説ありますが、「釣り」の「fishing」を元とし、「洗練されている」を意味する「sophisticated」を合わせ、「phishing」と綴るようになったと言われています。その名の示す通り、洗練された偽装手法を用いて個人情報を釣り上げるフィッシング詐欺は、利用者はもちろんのこと各種サービス事業者を悩ませる悪しき存在となっています。フィッシング詐欺の典型的なパターンとしては、下記のような流れになります。
1.金融機関やサービス提供元を装った、偽サイトへ誘導するURLを目にする
2.(その内容を信じて)偽サイトのURLをクリックする
3.(偽サイトの指示に従って)個人情報を入力する
4.悪徳業者に個人情報が渡ってしまう
送信者を詐称したメールを電子メールや携帯メールアドレス宛に不特定多数の利用者に送りつける方法が主流ですが、最近では事前に入手した個人情報を使って、本人を狙い撃ちするパーソナライズドフィッシングという手法も使われています。
流出した情報の種類にもよりますが、被害に合ってしまった場合には下記のような被害が生じる危険性があります。
・口座番号と暗証番号を盗まれた場合・・・預金口座から預金が引き出されてしまう
・クレジットカード番号と暗証番号が盗まれた場合・・・勝手に買い物をされてしまう
・SNS(ソーシャルネットワークサービス)のID/パスワードが盗まれた場合・・・Twitter、Facebook、Mixi、Google+等のSNSで勝手に書き込みがされてしまう
・電子メールのID/パスワードが盗まれた場合・・・メールを勝手に送信されてしまう、知人の電子メールアドレスが盗まれてしまう
フィッシング対策協議会(https://www.antiphishing.jp/)の発表するフィッシングレポート2014によれば、2013年度のフィッシング情報の届け出件数は15,171件となり、2012年度の828件から約17倍となっています。また2013年度のフィッシングサイトの件数は2,522件、ブランドを悪用された企業数は136件が報告されており、前年度比で約10%増となっています。
フィッシング詐欺の傾向
先述の通り、フィッシング詐欺は、電子メールや携帯メールを用いた方法が主流です。電子メールや携帯メールではさまざまな迷惑メール(スパムメール)が横行し、サイバー犯罪の一端を担っていることは、ご存知の方も多いことと思います。迷惑メールは、ウイルス感染を目的としたメールや、実際に利用されていないコンテンツ等の利用料や情報量を請求する架空請求メール、アダルト系サイトや出会い系サイトへの勧誘や誘導を行うメール、ねずみ講やマルチ商法に手をつけさせることを目的としたチェーンメールなど多種多様です。フィッシング詐欺も他のスパムメール同様、各個人のメールアドレス宛に偽サイトのURLを貼った情報を大量に送り、個人情報を入力するユーザーを待つ方法で、被害を増加させていきました。電子メールや携帯メールを用いた迷惑メールは、利用者の認知の高まりと迷惑メールフィルタリング等の性能が高まっていますが、その網目をかいくぐるように、迷惑メールが作成、配信されている状況です。
2008年以降にはSNSを用いたフィッシング詐欺が増加しはじめました。Mixiやtwitter、Facebook等のSNS利用者が増加し、利用者同士で情報をシェアすることが一般的になっていく流れを悪用したフィッシング詐欺です。電子メールでは警戒心が高まっている利用者も、「信頼している人がシェアしている内容だから」、「SNSで拡散している情報だし、大丈夫だろう」と安易にアクセスし、入力してしまいがちです。その誤った安心感と油断がつかれて偽サイトへの誘導が行われます。ロシアのコンピューターセキュリティ会社、カスペルスキー社の2014年7月の発表によると、同社の実施した独自調査の結果、フィッシング詐欺の22%はFacebookが標的となっています。(https://blog.kaspersky.co.jp/1-in-5-phishing-attacks-targets-facebook/4035/)
そして、2014年から増加しているのが、SMSを用いたフィッシング詐欺です。SMSは従来に比べて主要なコミュニケーションツールとして利用される機会が減少している一方で、先述のように本人認証・本人確認のための連絡手段としての活用が一般的になりつつあります。その傾向を悪用し、先述のようにSMSをフィッシング詐欺の手段として用いられる事例が増加しつつあるのが昨今です。
【参考URL】
SMSにおけるフィッシング詐欺対策