見出し画像

組織を狙うスミッシング ~本当に自分は大丈夫?~

Cyber NEXT

皆さんこんにちは。シーイーシーセキュリティオペレーションセンター(CECSOC)セキュリティアナリストの木村です。
突然ですが、皆さんはこのようなメッセージとURLが記載されたSMS(ショートメッセージ)を受信したことはないでしょうか。

「荷物の再配達はこちら。」
「先月のAmazonプライムの会費のお支払期限を過ぎています。」

これらはフィッシング詐欺の一種である「スミッシング」と呼ばれるものです。
記載されたURLは詐欺サイトや偽サイトにつながっており、そこからさまざまな情報をだまし取ろうとしてきます。この「スミッシング」は近年増加傾向にあり、さらにスミッシング起因と思われる不正送金被害も増加しています。

スミッシングとは、その目的

スミッシングとは、SMSを利用して攻撃者の用意したURLをクリックするよう仕向けるフィッシングの一種です。スマートフォンの利用拡大やSMSの一般化に伴い増加傾向にあります。
スミッシングはフィッシングと同様、被害者のさまざまな情報を狙って送信されます。大きく分類すると次の3つになります。

  1. 個人情報

  2. アカウント情報

  3. クレジットカード情報

個人情報は、成り済ましやダークウェブでの売買に悪用されます。アカウント情報はSNSの乗っ取りやさまざまなサービスへの不正ログイン、クレジットカード情報はオンラインショップでの不正購入などに悪用されるなど、さまざまな被害が報告されています。

とはいえ、スミッシングはフィッシングと同様、国や組織、SNSなどさまざまな媒体で何度も注意喚起もされており、文章なども似たようなものが多いため「自分は引っかからない」と思っている方も多いのではないでしょうか。

組織を狙うスミッシング

「Amazonプライムのお支払期限が過ぎています。http://xxx.xx....」
この文章が記載されたSMSを本物のAmazonからのお知らせだと思ってURLをクリックする人は少ないかもしれません。

では、自身が務める組織で利用しているサービスの「重要なお知らせ」をSMSで受信し、さらにそのサービスの二段階認証のワンタイムパスワードをSMSで受信したとしたら、URLをクリックしてしまうのではないでしょうか。

実際に2022年8月、米国では組織を標的にしたスミッシングによるアカウント侵害が報告されています。
攻撃の手口としては、従業員に対し何者かがIT管理者に成り済ましてSMSを送信し、業務で使用しているOkta※へログインするよう誘導するという、まさにスミッシングそのものの手口です。
※クラウドサービスの認証情報を統合的に管理できるサービス

実際の攻撃の流れ

①     攻撃者がIT管理者に成り済まし、OktaにログインするようSMSを送信
②     SMSを受け取った従業員がOktaの偽サイトへ接続、アカウント情報を入力
③     攻撃者がアカウント情報を受け取る
④     攻撃者がOktaの正規サイトへその情報を入力
⑤     正規サイトから従業員へワンタイムパスワードが記載されたSMSが送信される
⑥     従業員が偽サイトへ正規サイトのワンタイムパスワードを入力
⑦     攻撃者がワンタイムパスワードを受け取る
⑧     攻撃者が正規サイトへワンタイムパスワードを入力してログイン


実際の攻撃の流れ

ターゲットを絞ったスミッシング

このスミッシングの特徴は、「特定の組織を標的としている」というところです。
SMSの内容を確認すると、本文やURLに従業員が所属する組織名が記されていました。さらに、Oktaを利用していることを把握した上で送付されたと考えられ、環境構成をある程度把握した計画的な犯行であるように感じます。
攻撃を受けた組織では、複数人が騙されてアカウント情報が窃取されて、攻撃者によるアカウントの侵害が発生しました。


従業員へ送信されたSMSの画像

スミッシングへの意識を変える

今回ご紹介した事例のように、スミッシングは個人の資産や情報だけを狙うものではなく、組織の従業員が持っている情報を狙ってくることもあります。そのため、「自分は引っかからない」という意識を変え、有効な対策を知っておく必要があります。

・スミッシングは会社で使用するアカウントも標的にされる
・多要素認証におけるワンタイムパスワード自体が漏えいする可能性もあることを覚えておく
・SMSに記載してあるURLからログインすることを避け、公式サイトなど安全な場所からログインする

まとめ

スミッシングはすでに目新しいものではなく「よく見かける攻撃」になりましたが、改めて注意が必要ということをお伝えしました。SMSに限らず、外部から送られてくるものに記載されているURLに気軽にアクセスせず、なにか少しでも不審に感じたらそれを共有するようにしましょう。

また、組織を狙うスミッシングも発生している状況も踏まえ、組織は従業員に対してスミッシングに関する注意事項を周知しておくことも大切です。システム管理者の方は、スミッシングの被害事例を伝えることで「自分は引っかからない」という意識を変え、インシデントを未然に防ぐための意識づくりに取り組んでみて下さい。