スマートフォンのSMSを使って個人情報を盗み取ろうとする「スミッシング」というサイバー攻撃が発生しています。昨年から確認されていた手口ですが、被害が増えているためご注意ください。
大手運送系企業を装った偽SMS
まず、大手運送系企業を装い、不在通知の偽メッセージを送って偽サイトへ誘導させます。その偽サイトにアクセスした利用者に不正アプリをインストールさせたり、Apple IDとパスワードを入力させて詐取したりする被害が発生しました。
JC3(日本サイバー犯罪対策センター)では、これまで存在していた佐川急便の偽サイトに加え、新たに日本郵便を装ったSMSと同社を装った偽サイトを確認したそうです。
スマホ端末ごとの手口一覧
SMSを受け取るスマートフォン端末によって、手口が異なるようです。
- Android端末:不審なアプリをインストールさせる
- iPhone端末:フィッシングサイトでApple IDなどを入力させる
不審な構成プロファイルをインストールさせた後、フィッシングサイトに誘導する
偽サイトのログイン画面
こちらの画面はiPhone端末で開いた偽サイトです。ロゴなどは本物に似せていますが、Apple IDの入力を促しているためおかしいと気づく方も多いと思います。ここにIDとパスワードを入力していまうと、Apple IDが搾取され、身に覚えのない請求が来るという被害が発生してしまいます。
今後日本郵便を装ったスミッシング被害が発生する可能性があります。他の企業を装った同様の手口も拡大していくと予想されますので、十分にご注意ください。
まとめ
攻撃のパターン
- SMSを利用し、偽サイトに誘導、偽のアプリをインストール・Apple ID等を入力させる
- 不正に入手した情報で決済サービス等を利用。その他さサービスへの不正アクセスを試みる
- 不正アプリのインストールによって、スマホ内の情報を搾取、スマホ画面をロックして金銭を要求、他のSMS宛にメッセージを勝手に配信するなど様々な攻撃をする
被害
- サービスの不正利用
- 情報搾取
- 身に覚えのない請求
- 不正アプリインストールによる様々な被害
対策
- SMSを利用した攻撃の手口を知る
- SMSのフィルタリング設定を見直す
- 手口や本文の内容が巧妙化しているため、少しでもおかしいと思ったらサービス提供元に確認する
- 最新の情報を得て、全社員がセキュリティに対して意識をもつ
参考:
