プルーフポイントのリサーチャーは、年末セールをテーマにした携帯電話のSMS(ショートメッセージサービス)を用いてフィッシング攻撃をおこなうスミッシングが、世界的に大規模に増加していることを確認しました。スミッシング攻撃は昨年同時期の約2倍となっています。世界中で送信されるSMSメッセージの3分の2以上は、何らかの形で注文した商品の配送のお知らせやショッピングサイトのブランドに関連しています。ブラックフライデーや年末商戦が繰り広げられる中、携帯電話ユーザーは、購入した商品やギフトの配送、小売店の特別キャンペーン、配送の遅延や注文の異常に関する警告など、さまざまなSMSメッセージを受け取っていますが、警戒する必要があります。
サイバー犯罪者は、有名なショッピングサイトやeコマースブランド、宅配便業者などを装ったスミッシング攻撃で、モバイルユーザーを標的にしています。これらの攻撃は、無防備なターゲットから個人情報を盗み出そうとするものです。
このようなメッセージの多くは、商品の購入や配送に関連する問題を解決するために、クレジットカード情報を要求します。また、魅力的なURLやランディングページを使って個人情報を盗み出そうとするケースもあります。
例えば、以下の「Early Bird Black Friday」という商品配送のスミッシング攻撃では、ランディングページに本物そっくりのパッケージ通知が表示されます。この偽装配送に関連する複数のページに続いて、ウェブサイトでは被害者の名前、郵便番号、電子メールアドレスなどの個人情報の入力を要求します。
特に、企業が携帯電話を主要なコミュニケーションチャネルとして利用するようになってから、このような携帯電話のメッセージ機能を用いた脅威が急増しており、注意が必要です。
携帯電話への依存
Eメールのユーザーは、見知らぬ人からの添付ファイルを開いたり、怪しげなリンクをクリックしたり、何度もリダイレクトされるウェブページにアクセスしたりすることは、危険な行為であることを徐々に理解しつつあります。しかし、それに比べてモバイルユーザは、それほど慎重ではありません。新型コロナウイルスの感染拡大の影響で、企業がテレワークとオフィスでの勤務の両方を維持するハイブリット環境に移行するにつれ、携帯電話を用いてコミュニケーションをすることも多くなりました。携帯電話は確かに便利ではありますが、以下の調査の結果をみると、環境の変化に応じたセキュリティ教育が行き届いていないことが分かります。
SMS(ショートメッセージサービス)に関するデータ:
- SMSのテキストメッセージの開封率は 98パーセント であり、 90パーセント は3分以内に開封される
- SMSのテキストメッセージは、Eメールと比較して8倍もCTR(クリックスルーレート)が高い
*CTR (クリックスルーレート):表示回数に対するクリック回数の割合
モバイル脅威への認識の低さ
このように急速に成長している通信チャネルは、攻撃者に悪用される可能性が高くなります。消費者が携帯電話に依存していることを背景に、世界中でスミッシング攻撃が急激に増加しています。その一方で、ユーザーのセキュリティに関する認識不足も問題となっています。いまだ携帯電話のSMSを経由した攻撃への認知度が低いことを、攻撃者は悪用しているのです。
プルーフポイントの調査によると、世界の69%の人々 はスミッシングについて知らない、あるいは正確に理解をしていないことが判明しています。SMSテキストメッセージの開封率が98%であり、Eメールと比較して8倍もクリックレートが高いことを鑑みると、モバイル・マルウェアがもたらす被害の大きさを理解することができます。
ビジネスの変化
人々がEメールからモバイルコミュニケーションへと移行するにつれ、企業のマーケティングキャンペーンもそれに追随するようになりました。モバイルメッセージは、今や最も急速に成長し、最も信頼されているマーケティングチャネルとなっています。Eメールマーケティングのキャンペーン担当者は、ますますテキストメッセージに焦点をあてるようになってきています。消費者もまた、キャンペーンや配送などの通知をテキストメッセージで受け取ることに慣れてきています。
プルーフポイントの調査によると、2020年には世界の61%の企業、アメリカ企業の81%、日本の企業の56%がスミッシング攻撃を受けていました。しかし、冒頭で述べた通り、この1年間で、SMSを利用した攻撃は飛躍的に増加しました。これは、どのような通信チャネルにおいても、犯罪者はお金になるチャンスを狙っており、携帯電話のSMSテキストメッセージが消費者から受け入れられており、成功率が高いことを発見したためです。
モバイルユーザーのベスト・プラクティス
モバイルユーザーは、予期しない、あるいは要求していない魅力的な提案 (ディスカウントやプレゼント、価格、特別キャンペーン)に注意し、疑うことが必要です。荷物の配送通知に関しても同様です。モバイルユーザーは、以下のSMSテキストメッセージについてのベスト・プラクティスを守る必要があります。
おこなってほしいこと
- 不審なテキストメッセージに気をつけてください。犯罪者は、モバイルメッセージングやSMSフィッシング(スミッシング)を攻撃の手段として利用するケースが増えています。
- 携帯電話番号を企業などの営利団体に提供する場合は、慎重に検討してください。
- WebサイトへのURLリンクを含むアラートメッセージや、荷物の配送通知などのメッセージを受け取った場合は、テキストメッセージに記載されているリンクを使用しないでください。代わりに、デバイスのブラウザを用いて、該当のWebサイトに直接アクセスするか、その企業ブランドのアプリがデバイスにインストールされている場合はそれを使用してください。特別キャンペーンなどのオファーコードを受け取った場合も同様に、ブラウザから送信者のWebサイトに訪問してください。
- お使いの携帯電話に、フィッシングやスパムの報告機能がある場合はそれを利用し報告してください。
- 携帯電話に新しいソフトウェアをダウンロードし、インストールする場合には注意が必要です。特にアプリケーションが要求するデータアクセスや権利に関する情報については、インストール時の説明文をよく読んでください。
やってはいけないこと
- 身に覚えのないベンダーや企業からの未承諾の企業からのメッセージには、一切反応しないでください。反応することにより、攻撃者にはその携帯電話番号が生きており、かつあなたが "本物の人間 "であることが確認できることが多いためです。
- Apple App Store や Google Playなどモバイルネットワークオペレーターが提供する正規のアプリストア以外からアプリをインストールしないでください。
モバイルメッセージのためのセキュリティプラットフォームであるCloudmarkについての詳細についてはぜひ https://www.cloudmark.com/ja をご参考ください。