防犯のすゝめ

スマホが危ない!スミッシング攻撃とは?

2017年に入り、携帯電話のSMS(ショートメッセージサービス)を利用したフィッシング攻撃(スミッシング攻撃)が目立つようになりました。金融機関を装った連絡がSMSに届き、慌てて記載されたURLにリンクすると被害に遭ってしまうという事案です。スマホや携帯が狙われるスミッシング攻撃とは何か、事件例も合わせて紹介します。

スミッシング攻撃とは?

モバイル機能のSMSを利用して、フィッシングサイトへと誘導するのがスミッシング攻撃です。2015年から国内での事例が出始めました。2017年になって発見されたのは、GooglePlayを装ってフィッシングサイトへと誘導するタイプです。典型的な手口ですが巧みに攻撃を仕掛けてきます。

複数のサービスを利用できる認証用アカウント情報は、サイバー攻撃を仕掛ける犯罪者にとって利用価値が高いです。Google Playだけでなく、Apple IDやYahoo!アカウント、Amazonアカウント、マイクロソフトアカウントなどを装った攻撃も危険なので注意しましょう。

スミッシング攻撃の事件例

スミッシング攻撃は、初期の事例では2015年6月に銀行アカウントが狙われたことがよく知られています。大手銀行を装って、オンラインバンキングのパスワードの有効期限が失効したなどと連絡してくるのが手口です。パスワードの更新の必要性を案内し、偽のサイトに誘導して口座情報やパスワードを盗みます。

一見したところ、URLのドメイン名が正規であると思わせるように仕組まれているのも巧妙な手口です。判断がつかずに手続きをしてしまい、被害に遭ったことに気付かずに過ごしている人も少なくありません。

架空請求のスミッシングは、2016年1月に消費者庁から注意喚起が促されています。未払いのコンテンツ閲覧料などがあり、支払いしなければ法的手続きに訴えるといった内容でSMSメッセージを送り、連絡してきたユーザーに架空請求をする手口です。大手通販サイトのギフトカードを購入させて、その番号から支払いをさせるという例もありました。

Google社を装う事件に注意

2017年3月に注意喚起が促されたのは、Google社を装ったスミッシング攻撃です。Google Playストアでアプリなどを購入するための支払い方法の登録であるかに見せかけて、フィッシングサイトに誘導します。クレジットカード情報を盗む手法で、まるで正規のサイトのような偽のサイトで個人情報を入力させます。

同じくGoogle社を装ったスミッシングでは、端末がウィルスに感染しているためウィルス除去を実行するように促すタイプが横行しました。有料のアンチウィルスソフトの購入をすすめて、クレジットカード情報を盗むのです。

一見信じてしまいそうなSMSであっても、本物なのか偽物なのかは時間をおいて冷静に考えてみることが大切です。大手企業からのお知らせだと思っても、すぐにアクションを起こさずによく確認し、怪しい場合は知人に相談してみるとよいでしょう。

この記事に関連する記事