【スミッシング】偽SMSを使った攻撃と対策

LALAKO
LALAKO

こんにちは! 

LALAKOです!

スマホのSMS(ショートメッセージサービス)に楽天なんかを語ったSMSって届きませんか💦

普段使っているサービスなんで、危うくそこに書かれているURLをタップしそうになっちゃいます。でもよ~くそのURLを見てみると・・・・

このブログでは、最近増えてきた偽SMSを使った攻撃「スミッシング」について概要とその対策について説明していきます!

下の写真のようなSMSがスマホに届いたら楽天経済圏の人びっくりしませんか?

でも焦らずに、よーくURLを見てみると・・・な、なんか変じゃないですか??

https:// まではOK!

rakuitan-card.info  ん!? らくいたん?? な、なんじゃこれー!!

絶対に、このURLタップしちゃダメです!

万が一タップしても、その先のログイン画面からいつも楽天の管理画面に入る時に使っているIDとパスワードを入れちゃダメです!

このSMSを使って不正サイトに誘導する攻撃を「スミッシング」っていいます。

前置きが長くなりましたが💦、詳しく説明していきます!

目次

1.スミッシング攻撃とは

スミッシングの語源ですが、SMS phishing(SMS フィッシング)の混成語です。

SMS(ショートメッセージサービス)を用いてフィッシング詐欺を企てる類の悪質な攻撃手法のことです。

なお、フィッシングはphishingという綴りで、魚釣り(fishing)と洗練(sophisticated)から作られた造語であると言われています。(総務省「安心してインターネットを使うために 国民のための情報セキュリティサイト」より)

2.攻撃の順番

まず、攻撃者はランダムな携帯番号を用いて手あたり次第にSMSを送信します。

ちなみに、SMSの送信って3円/回かかるはずなので、攻撃者のこの攻撃による見返りは相当な金額なんでしょうね。それだけ引っかかる人が多いってことなんでしょう。

SMSで送信されるメッセージの内容は、世の中一般的に利用されている

 楽天

 Amazon

 三井住友銀行

 りそな銀行

このようなサービスや銀行を装って「サービスまたはアカウントを一時的に停止しました!ご確認ください!」といった人の弱い心理を突いて、そこに記載されているURLをタップさせ、偽サイトへ誘導します。

偽サイトに誘導させられると、そこには暗証番号やログインIDとパスワードを入力する偽のログイン画面が現れます。

誘導させられた人は焦っていつも使っている暗証番号やログインIDとパスワードを入力してしまう。

悪い人に盗み取られて、正規のログインサイトで不正にログインされる。

といった塩梅です。

3.スミッシング攻撃の対策

対策のポイントは、3つあります。

(1) スマホのSMSで拒否設定をする。

(2) 携帯キャリア(NTTドコモ、ソフトバンク、KDDI)の迷惑SMS拒否機能を利用する。

(3) 楽天、Amazon、銀行のオンラインバンクログイン画面等々、あらゆるログイン画面は全て二要素認証にする。

それでは順番に説明していきますね✨

(1) スマホのSMSで拒否設定をする。

iPhoneの標準設定で説明します。

まず、①相手先の電話番号をタップします。

次に、②情報をタップします。

最後に、③連絡先を着信拒否をタップして完了です。着信拒否したい番号をブラックリストに入れるようなイメージですね。

(2) 携帯キャリア(NTTドコモ、ソフトバンク、KDDI)の迷惑SMS拒否機能を利用する。

最近、携帯キャリア側でSMSの拒否機能を提供するサービスがリリースされています。

NTTドコモ

あわせて読みたい
SMS拒否設定 | お知らせ | NTTドコモ 迷惑メール対策「SMS拒否設定」で設定できる内容や、設定方法についてご紹介します。

Softbank

ソフトバンク
S!メール(MMS)/SMSの迷惑メール対策方法 | スマートフォン・携帯電話 | ソフトバンク S!メール(MMS)(@softbank.ne.jp)およびSMS(電話番号)の迷惑メール対策の設定方法についてご案内します。

(3) 楽天、Amazon、銀行のオンラインバンクログイン画面等々、あらゆるログイン画面は全て二要素認証にする。

偽SMSを語ったスミッシング攻撃にどんなに気を付けていても、タップしてしまうときはタップしてしまいます。また、焦っているときは不正なログイン画面からいつも利用しているIDとパスワードを入力してしまう可能性もあります💦

万が一の時を考えて、よく利用するログインサイトで二要素認証が対応していれば、積極的に取り入れていきましょう。

仮にIDとパスワードが漏洩したとしても二要素目の認証を突破しないとログインできないので、二要素認証の採用はスミッシングによる不正ログイン対策にとっても有効です。

二要素認証については以前書いた「二要素認証の二要素目の選び方」で詳しく説明しています。

ぜひ以下のページもご覧ください!!

あわせて読みたい
【認証技術】二要素認証の二要素目の選び方 LALAKO こんにちは!  LALAKOです! このブログでは、ID・パスワードと、もう一つ認証の仕掛けを加えて、セキュリティ強度を高めようとする「二要素認証」について、必...

以上です。 最後まで読んで頂きましてありがとうございました!

よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

コメント

コメントする

目次