全2631文字
PR

 従来、詐欺サイトやウイルス(マルウエア)配布サイトに誘導する常とう手段はメールだった。だが最近ではスマートフォンの普及に伴い、SMS(ショートメッセージサービス)を使う手口が急増している。「メールでもSMSでも変わりない。注意していれば大丈夫」と思う人は少なくないだろうが大間違いだ。SMSには知る人ぞ知る「危険な仕様」があるからだ。

偽の不在通知が猛威に

 SMSの偽メッセージでユーザーを偽サイトに誘導する手口はSMSフィッシングやスミッシングなどとも呼ばれる。

 2018年以降、SMSの偽メッセージが大きな被害をもたらしている。特に多いのが宅配便の不在通知に見せかける手口である(図1)。佐川急便をかたる手口が猛威を振るい、その後ヤマト運輸や日本郵便などを名乗る手口が次々と出現した。

図1●偽サイトに誘導するSMSメッセージが急増
図1●偽サイトに誘導するSMSメッセージが急増
偽メッセージの例。宅配便などの不在通知を装うケースが多い。メッセージ中のURLをクリックすると、正規の企業などを名乗る偽サイトに誘導される。
[画像のクリックで拡大表示]

 今でもこの手口は盛んに使われている。例えばフィッシング対策の業界団体であるフィッシング対策協議会は2020年7月、フィッシング詐欺サイトに誘導する新たな偽SMSを報告した。コロナ禍で宅配便の利用が増えている現在、不在通知に見せかけるのは効果的と考えられる。

 不在通知に見せかける偽メッセージの多くは、スマホの機種によって手口を変える(図2)。というのも、iPhoneはAndroidスマホに比べてウイルスを感染させるのが難しいためだ。iPhoneでは公式ストアであるApp Store以外からはアプリをダウンロードできない。このため攻撃者が用意したウイルスを送り込むことができない。

図2●スマホの機種によって手口を変える
図2●スマホの機種によって手口を変える
偽サイトはアクセス元の機種を判別し、iPhoneの場合にはフィッシングサイト、Androidスマホの場合にはウイルス配布サイトに誘導する。(画像はすべて筆者提供)
[画像のクリックで拡大表示]

 そこで偽サイトにアクセスした機種がiPhoneの場合には、個人情報を入力させるようなフィッシングサイトを表示させる。

 Androidスマホの場合には、設定を変更させれば公式ストア以外からもアプリをダウンロードできる。そこで偽サイトは設定変更の案内を表示するとともに、正規のアプリに見せかけたウイルスをインストールさせようとする。