No131 SMSとフィッシングメール

このNoteは私が主宰しているメルマガ「がんばりすぎないセキュリティ」のバックナンバーです。
このNoteは2019年10月28日に配信したメルマガに加筆修正しています。

フィッシングメール（詐欺メール）は今も昔も変わらずあります。
最近になってSMS（ショートメッセージサービス）を使った
フィッシングメールとその被害が急増しています。

警察庁の発表資料によると、2019年7月まで月に30万円程度だった
被害額が、8月には74万円、9月には426万円と急激に増加して
います。

今回はSMSによるフィッシングメールの解説をします。

1. フィッシングメール

フィッシングメール(phishing mail)というのは造語です。
もともとはfishing mail（獲物を釣り上げるためのメール）を、
'f'と同じ発音の'ph'に入れ替えて俗語として使い始めたものの
ようです。

これは、犯罪者がホンモノと思い込むようなソックリなページを
用意して、それらしい理屈をつけてIDやパスワードを入力させる
テクニックを言います。

これはソーシャルエンジニアリングと呼ばれる騙しのテクニック
の一種です。
ソーシャルエンジニアリングでは本人に誤解をさせることで、本人
から自主的に情報を得ようとします。
人に誤解させて、何らかの行動を取らせるという点ではオレオレ
詐欺や振り込め詐欺と同様にコンピュータを介した特殊詐欺といえ
ます。

ソーシャルエンジニアリングのテクニックは、フィッシングメール
に限りません。
例えば、ＰＣ画面に張ってある付箋紙のパスワードを盗み見る、
電車での会話を盗み聞く、有用な機能を装って不正なプログラム
をインストールさせる、などもソーシャルエンジニアリングと
呼ばれます。

さて、誤解させて、情報をうまく引き出すのがフィッシングメール
の目的ですから、その文面はいかにもホンモノらしく書かれています。

例を示しましょう。（出典： https://www.jc3.or.jp)

　iCloud更新に問題が出たために、一部のAppleアカウントの情報
　が失われます。これについては非常に申し訳ありません。
　デバイスとアプリケーションを正常に使用し続けるために、
　アカウント情報のリセットをご完了ください。

文面は日本語として変なのですが、気にしなければ読めてしまう
レベルの違和感です。

この場合、iCloudを使っていない人は「なんだこりゃ？」と思う
わけで、詐欺であることがバレバレです。
ですが、たまたまメール受信の直前にiCloudの更新していた人や
設定変更を行っていた人は「あれ？何かあったっけ？」と思うこと
でしょう。

そういった人は少ないでしょうが、フィッシングメールは百万通
単位で送付しますから、上のようなタイミングで受信する人もそれ
なりにいますので、ひっかかってしまうわけです。

このフィッシングメールは今まで主にＥメール（ＰＣメールや
キャリアメール（携帯電話事業者が提供するメールアドレス）が
中心でした。

ですが、最近SMS（ショートメッセージサービス）を用いたフィッ
シングメールが頻繁に送付されるようになってきました。

2. SMS（ショートメッセージ）

ショートメッセージサービスは、携帯電話事業者が提供するサービスで
以前はショートメールと呼ばれていました。（開始は1996年）

送付先を電話番号で指定する、短い文字メッセージのみで画像など
は送れない、といった制限が結構厳しいサービスですが、インター
ネットを経由しないため、電話契約だけの携帯電でも受信できる気軽さ
が受け、それなりに使われていました。
ただ、当初は同じキャリア（ドコモとかａｕとか）の番号にしか
送付できないため、誰にでもメッセージを送れるというものではありま
せんでした。

このSMSが大きく化けたのは2014年。
この時、異なるキャリア間でも送れるようになり、さらに（専用の業者
が提供するサービスを通して）インターネットから電話番号あてにSMSを
送ることも可能となりました。

この変更により、SMSが頻繁に利用されるサービスになり、同時にSMS
を用いたフィッシングメールの素地にもなったのです。

3. スミッシング

これもまた造語です。
SMS＋フィッシング＝スミッシング、です。

要はフィッシングメールをSMSで送付することを指します。

上述の通り、SMSのインターネット連携は2014年には始まって
いましたから、やろうと思えばスミッシングはその頃からできた
はずです。

ですが、スミッシングが急激に流行しだしたのはごく最近2019年
8月以降です。

これには理由があります。

SMSをインターネットから送付するには専用の連携サービスと契約
し、１通当たり数円のコストがかかります。

犯罪者側としては身元がバレるのは避けたいわけですから、連携
サービスと契約して身元を知られたくはないわけです。
また、大量のメールを出すには、一通３円としても資金が必要です。

インターネットメールでは大量のメールを送付してもほとんど
オカネはかからないのとは随分と違います。

SMSでの発信は犯罪者にとって割が合わなかったから、これまではほとんど使われてこなかったのです。

ところが、最近になってその前提が崩れてきています。

4. ボットネットによるSMS送付

ここで活躍（いや暗躍か）するのが、数回前にも解説したボット
ネットです。

ロボット＋ネットワーク、これを略してボットネットと呼びます。

ここでいうロボットは、鉄腕アトムのような人型ロボットではなく、
コンピュータプログラムを指します。
外部から与えられた命令をロボットのように忠実に実行するという
意味なのですね。

こういったロボット（ボット）への命令指示はネットワーク経由
で行います。この命令指示を行うコンピュータのことをＣ＆Ｃ
サーバ（Command and Control Server)と呼びます。

各ボットはＣ＆Ｃサーバの指示に従い、与えられたジョブを黙々
と実行します。

このボットネットにはＰＣはもちろんですが、スマホも大量に
含まれています。
Ｃ＆ＣサーバはボットであるスマホにSMSの発信を依頼します。
ボットであるスマホは所有者の意思とは無関係に次々とあちこちの
電話番号にSMSを送り続けることになります。

SMSの送信費用はボットにされたスマホの所有者が負担します。
つまり、ボットネットを使えば犯罪者側は無料でSMSを送付でき
るわけです。

こうしてボットネット側の仕組みが整ったために、最近になって
スミッシングによる被害が急増しているというワケです。

5. スミッシング対策

基本的にはメールと同様のチェックポイントが有効です。
といいたいところなのですが、SMSはメールと違う点がいくつかあり、
同様とはいかない点があります。

例えば、メールなら本文の最初に宛名（あなたの名前）が書かれて
いないのは疑ってかかるべきですが、SMSでは文字数制限が強いため、
よく省略されます。
また、SMSではURLの多くが短縮URL（詳細は19/09/09配信の「No125
短縮URLの仕組み」をご覧ください）ですので、正しいURLかどうか
のチェックが困難です。

こういった差異も踏まえると、SMSでのチェックポイントは以下の
３つでしょう。

１）公式サイトでSMSを送る可能性の有無を確認
　　多くの銀行や証券会社では「お客様への連絡にSMSは使いません」
　　と明記されています。そのサービスが本当にSMSを使っているか
　　どうかを確認しましょう。
　　また、公式サイトではフィッシング詐欺に関する注意が記載され
　　ていることが多いので、あわせて確認しましょう。
２）送付元の電話番号を確認
　　電話番号が＋で始まっている場合、海外からのメッセージです。
　　サポートセンターが海外にあるなど、正当である可能性もゼロ
　　ではありませんが、詐欺の可能性が非常に高いです。
３）急かす内容は要注意
　　フィッシングメールに限らず、詐欺師は相手に考える時間を
　　与えないようにします。「24時間以内に」「ご対応がない場合
　　IDを廃棄します」といった急かせる内容は疑ってかかりましょう。

SMSに記載のあるURLはクリックしないようにしましょう。
間違ってクリックしたとしても、何も入力しなければ情報は漏れません。
あわてずにウィンドウや画面を閉じましょう。

対応しなくて大丈夫かどうかが不安な場合は、公式サイトの問合せ
窓口から「このようなSMSを受信しましたが、本当に貴社からの送付
ですか？」と問い合わせるのが確実です。

顧客への連絡にSMSを使うのはかなり少数派です。（二段階認証などの
多要素認証の手段にはよく使われます）
皆さんも被害にあうことがないよう、十分にご注意ください。

次回もお楽しみに。