サイバー犯罪者は常に個人情報を狙っています。個人情報を入手すると、サイバー犯罪者は被害者のアイデンティティを盗み出し、お金を使い、信用を傷つけることができます。ダンプスターダイビングなどの手法は、機密情報の収集にいまだに使用されていますが、サイバー犯罪者はより高度な戦術を採用しています。フィッシングは、有名な企業を装って詐欺メールを送信し、人をだまして個人情報を提供させる行為で、この手口はますます広がりを見せています。
現在使用されているフィッシング攻撃の一種にスミッシング(SMSフィッシング)があります。スミッシング攻撃は、Eメールフィッシング攻撃の戦術を採用し、それをテキストに変換します。ソーシャルエンジニアリングを使用することで、サイバー犯罪者は、スミッシング攻撃により個人から機密情報を提供するよう促すことができます。
受信したテキストがスミッシング攻撃の可能性を示す兆候があります。また、こうした攻撃を適切に防ぎ、対応する方法があります。正しい知識を持てば、スミッシング攻撃やその他のソーシャルエンジニアリング攻撃から身を守ることができます。
2024年版クラウドストライクグローバル脅威レポート
クラウドストライクのCounter Adversary Operationsチームによる最前線の調査に基づき、クラウドストライク2024年版グローバル脅威レポートではサイバー脅威の状況全体にわたる注目すべきテーマ、トレンド、イベントを取り上げています。
今すぐダウンロードスミッシングとは
各種フィッシング攻撃には、情報を獲得するために攻撃で使用される手段に応じて名前が付けられ定義されています。フィッシングメール、フィッシングビデオ(ビッシングと呼ばれる戦略)、スミッシングテキストを作成する戦略は類似していますが、標的へのメッセージがうまく機能するようにそれぞれが調整されています。どれも恐怖を煽るソーシャルエンジニアリング戦略を使用していますが、サイバー犯罪者はスミッシングなどの特定のフィッシング攻撃を使用して、他の戦術の影響を受けにくいユーザーを標的にします。
スミッシングの定義
スミッシングとは、個人をだましてパスワード、ユーザー名、クレジットカード番号などの機密データを共有させるように意図された不正なテキストメッセージを送信する行為です。スミッシング攻撃では、サイバー犯罪者が、ユーザーが使用している銀行や配送サービスになりすますことがあります。こうした攻撃の目標は、自分の情報が脆弱になっていることを被害者に気づかせないように、被害者をだまして個人情報を提供させることです。攻撃者は、ソーシャルエンジニアリングを介してこれを効果的に実現します。
スミッシングとソーシャルエンジニアリング
ソーシャルエンジニアリング攻撃として、スミッシングは多くの場合、極度に感情的な反応を引き出せる恐怖、愛情、金銭を標的にします。欲望を満たすことを提供したり、恐怖を利用したりすることで、スミッシング攻撃は被害者にその危険性を考えさせずに機密情報を提供させることができます。
サイバー犯罪者はスミッシングを使用して、一度に多くの攻撃を実行できます。この戦術の論理的根拠は、リンクをたどった幸運な当選者に100万ドルを進呈するというテキストを100件送信すれば、1人や2人はクリックするかもしれないというものです。ソーシャルエンジニアリングを使用すると、スミッシング攻撃により被害者は知らぬ間に情報を盗まれ、気づいたときには手遅れになっています。
詳細情報
フィッシングメールを見つけ出したいですか?次の投稿を読んで自分の知識をテストしてみましょう。フィッシングメールを見つける方法
スミッシング攻撃の仕組み
ほとんどの人は、通常のEメールフィッシング攻撃の危険性を知っています。リンクをクリックするよう求めるEメールは危険な傾向があります。高度なフィッシング攻撃は、疑われないように正規のものに見せかけようとします。スミッシング攻撃も同じ方法に従いますが、一般的なユーザーはテキストメッセージやその他のメッセージングアプリについてはあまり気にしない傾向があります。
スミッシング攻撃の始まり方と広がり方
スミッシング攻撃は、サイバー犯罪者が電話番号にアクセスすると開始されます。これは、現在のほとんどの携帯電話でテキストメッセージを送受信できることを考えると驚くほど簡単です。広範なスミッシング攻撃として実行され、可能な限り多くの人々にメッセージが送信されます。サイバー犯罪者は、特定の標的がある場合、スピアフィッシングやホエーリングフィッシングと同等のスミッシングを使用します。これらの攻撃の効果を上げるには、テキストメッセージの受信者やその人口統計を知る必要があります。
スミッシング攻撃は、最初に信頼を得ることで機能します。正規の組織や企業を装うことで、標的から怪しまれないようにします。スミッシングメールは、実際にはより個人的な内容になる傾向があるため、毎日受信していると思われるスパムメールのメッセージより疑いのしきい値は低くなります。
感情に訴えたり、荷物の配達などのよくある通知を利用したりして、サイバー犯罪者はソーシャルエンジニアリングを使用し、標的のガードを緩めます。メッセージングアプリでのこのような根拠のない自信により、スミッシング攻撃は検知されずに広がります。日中は電話を持ち歩く人が多いため、サイバー犯罪者は人が忙しくしている可能性のある時間帯を利用し、より油断している状態になっているところを狙って攻撃します。
スミッシング攻撃が効果的な理由
被害者が判断を誤り、パスワードを入力したり、不正なリンクをクリックしたりすると、スミッシング攻撃が開始されます。リンクでは、使用しているスマートフォンの個人情報が共有されるか、デバイスにマルウェアがインストールされるそおれがあります。入力されたパスワードはユーザーが変更しない限り安全ではなく、サイバー犯罪者は、アクセスすることでアカウントを乗っ取ったり、さらに情報を盗み出したりし始めます。
スミッシング攻撃が機能するには、1人の標的が判断を誤り、リンクをクリックするか、積極的に情報を提供すればよいのです。これが、ユーザーがEメールよりテキストを信頼する傾向があることから、サイバー犯罪者がスミッシングを採用している理由です。どのようなことに注意すればよいのかを把握するために、スミッシング攻撃の成功例をいくつか示します。
スミッシング攻撃の種類
スミッシング攻撃はソーシャルエンジニアリング戦術を使用するため、主に4つの攻撃のカテゴリーに分類されます。1つ目は有名ブランドからの偽のメッセージです。新製品を発売するときやセールスを始めるときに、組織では、メッセージを送信することが奨励されます。つまり、ブランドからのメッセージを確認することがよくあるか、予想されるということです。ブランドを装ったり、セールスのリンクを提供したりすることは、スミッシング攻撃の一種です。
別の広範なタイプのスミッシング攻撃には、緊急メッセージがあります。こうしたメッセージは、銀行や地方自治体から送信されたように見える場合があります。サイバー犯罪者のなりすまし先に関わらず、メッセージで、すぐに行動するよう促すか、そうしないと何か問題が発生したり、よくないことが起きたりすることを知らせます。このタイプのスミッシングに関係するのは、偽の当選通知です。自分を当選者だと思ってリンクをたどった人は、個人情報を差し出すことになるだけです。
4つ目のタイプのスミッシング攻撃は、偽のアンケートのリンクです。これは、単独ではそれほど一般的ではありません。登録していないアンケートには答える可能性が低いためです。それでも、ギフトカードやキャッシュバックなどの魅力的なインセンティブがあると、このスミッシング攻撃は効果を発揮する可能性があります。
スミッシングメッセージの特徴
4種類すべてのスミッシング攻撃は、実行中の攻撃を特定するのに役立つ特徴を共有しています。注意深く落ち着いてテキストを読めば、多くの場合、スミッシング攻撃であることを見極められます。文法上の誤りや誤字脱字は、フィッシング攻撃の場合と同様にスミッシング攻撃でもよくあります。
通常、スミッシング攻撃はメッセージが短く、悪意のあるリンクが含まれています。一見、正規のものに見えるリンクを慎重に調べると、攻撃であることを特定できます。スミッシング攻撃は、相手の感情にも作用します。テキストの内容に対してパニックになるか、すぐに行動を起こしたくなる場合は、スミッシング攻撃の兆候と考えられます。
よくあるスミッシング詐欺の例
スミッシング攻撃は、サイバースパイ活動を行うために企業の従業員に対して、またはアイデンティティを盗むために個人に対して使用されます。スミッシング攻撃は基本的に4つのカテゴリーに分類され、それらを特定できる特徴を共有しています。スミッシング攻撃の普及に伴い、サイバー犯罪者がスミッシング攻撃を使用する方法や、信頼を得るためのなりすまし先について、そのパターンがわかってきています。
一部のスミッシング詐欺は、サイバー犯罪者のなりすます組織が広く利用されているか、知られているため、効果が上がります。こうしたスミッシング攻撃は信ぴょう性があるため、より効果を発揮します。スミッシング攻撃でのなりすましの多い組織を以下に示します。
- 配送サービス:UPS、FedEx、米国郵政公社など。荷物の配達の遅れ、再配達、確認の必要性を通知し、リンクも含まれているテキストは、ほとんどの人にとって重要な内容です。なりすました会社から配送中の荷物があり、それが標的にとってすぐに必要な場合、リンクをクリックして配達を確認する可能性が高くなります。
- Amazon。配送サービスであり同様に影響を受けやすく、スミッシング攻撃でAmazonの購入やパスワードを標的にすることもできます。サイバー犯罪者は、パスワードにアクセスすると、保存されたクレジットカード情報、メールアドレス、その他の個人情報を見つけ出せます。
- PayPal、Apple Pay、銀行などの金融サービス。お金や銀行の認証情報を失うことは、恐怖を煽りやすく、直ちに対処しようすとするため、このようなスミッシング攻撃は効果的です。PayPalや銀行から口座に問題が発生していると知らされると、警告として受け止めます。
スミッシング攻撃の防御方法
スミッシングなどのフィッシング詐欺を防ぐには、自分やビジネスが損害を受けないようにすることが最善策です。仕事にスマートフォンなどの個人用デバイスを使用している人が多いため、スミッシング攻撃により個人情報だけでなく仕事の認証情報も危険にさらされます。冷静に時間をかけてスミッシング詐欺の可能性を調査すれば、攻撃を防ぐことができます。
スミッシング詐欺を防ぐ第一段階は、テキストを返信したり、関連する番号に電話をかけたりしないことです。返答すると、さらに多くのスパムメッセージが届くことになります。サイバー犯罪者は、かけてきた電話番号を返答する人物のものとして販売したり、スミッシング戦術を変更して再度だまそうとする可能性があります。また、疑わしいテキストメッセージ内のリンクは絶対にクリックしないでください。
疑わしいテキストメッセージを受信した場合は、時間をかけて送信者を検証できます。検証は、ウェブを検索したり、テキストの送信元と思われる会社に直接問い合わせたりして行います。自分の口座がある銀行から、口座がリスクにさらされていることを知らせるメッセージが届いた場合は、返信せずに銀行に電話で問い合わせてください。
スミッシング攻撃への対応方法
スミッシング詐欺の疑いがあるSMSメッセージを受信した場合は、連邦取引委員会(FTC)に報告する必要があります。FTCは、メッセージに記載させている電話番号と名前、日時、およびサイバー犯罪者が要求した情報を求めています。テキストに返信しないことや、記載されたリンクをクリックしないことが重要です。
すでにスミッシング攻撃の被害者になっている場合は、詐欺について最初にFTCに報告してから、盗まれた情報を使用している可能性のある組織に知らせてください。この場合、パスワードの変更、金融機関への電話、認証情報を使用した不正行為が行われる可能性があることなどを警告します。迅速に対応することで、サイバー犯罪者が盗んだ情報に起因する被害の一部を防ぐことができます。
ソーシャルエンジニアリング攻撃から身を守る
スミッシングなどのソーシャルエンジニアリング攻撃は、人の感情を利用し、個人情報を提供させるよう設計されています。多くのメッセージングサービスが持つ本質的な信頼性とともに、恐怖や欲望を利用することで、サイバー犯罪者はアイデンティティを盗むことができます。
ソーシャルエンジニアリング攻撃から身を守るには、個人情報を求められている場合や、リンクのクリックを求められている場合に常に警戒し、注意を怠らないようにする必要があります。予防策を講じることで、自分自身だけでなく、場合によってはビジネスもスミッシング攻撃から守ることができます。
クラウドストライクは、ソーシャルエンジニアリング攻撃やその他のサイバー犯罪活動の知識を深めて安全な状態を維持するための情報やサービスを提供します。詳しくはこちらをご覧ください。
