ホーム Topics スミッシングとは スミッシング(SMSフィッシング)とは何か?
IBMのスミッシング・ソリューションの詳細はこちら セキュリティーの最新情報を購読する
雲、携帯電話、指紋、チェックマークのピクトグラムをコラージュしたイラスト。
スミッシングとは何か?

スミッシングとは、偽のモバイル・テキスト・メッセージを使って人々を騙し、マルウェアをダウンロードさせたり、機密情報を共有させたり、サイバー犯罪者に送金させたりするソーシャル・エンジニアリング攻撃です。「スミッシング」という用語は、テキスト・メッセージの背後にある技術である「SMS」―すなわち「ショート・メッセージ・サービス」―と「フィッシング」を組み合わせた造語です。

スミッシングは、サイバー犯罪行為の形態としてますます一般的になってきました。Proofpoint の2023 State of the Phishレポート (リンクは ibm.com の外にあります) によると、2022年には組織の76%がスミッシング攻撃を経験しました。

いくつかの要因がスミッシングの増加の原因となっています。まず、これらの攻撃を実行するハッカー(「スミッシャー」と呼ばれることもあります)は、被害者が他のリンクよりもテキスト・メッセージをクリックする可能性が高いことを知っています。同時に、スパム・フィルターの進歩により、メールや電話などの他の形式のフィッシングがターゲットに到達することがより困難になりました。

また、個人所有デバイスの業務使用(BYOD)やリモート・ワークの増加により、仕事でモバイル・デバイスを使用する人が増え、サイバー犯罪者が従業員の携帯電話を通じて会社のネットワークにアクセスすることがより容易になりました。
IBM Security X-Force 脅威インテリジェンス・インデックス

IBM Security X-Force Threat Intelligence Indexを使用することで、より迅速かつ効果的にサイバー攻撃に備え、対応するためのインサイトを得ることができます。
関連コンテンツ

データ侵害コストレポートに登録する
スミッシング攻撃の仕組み

スミッシング攻撃は他のタイプのフィッシング攻撃に似ており、詐欺師は偽のメッセージと悪意あるリンクを使用して人々を騙し、携帯電話、銀行口座、または個人データを侵害します。唯一の主な違いはメディアです。スミッシング攻撃では、詐欺師はメールや電話ではなく、SMS やメッセージング・アプリを使用してサイバー犯罪行為を実行します。

詐欺師はさまざまな理由から、他のタイプのフィッシング攻撃ではなくスミッシングを選択します。おそらく最も重要なことは、調査によれば、人々はテキスト・メッセージ内のリンクをクリックする可能性が高いことがわかっています。Klaviyoの報告によると、SMSのクリックスルー率は8.9 パーセントから 14.5 パーセントの間で推移しています (リンクは ibm.com の外にあります)。これに比べ、 Constant Contact によると(リンクは ibm.com の外にあります)、メールの平均クリック率はわずか1.33パーセントです。

さらに、詐欺師は、プリペイド携帯で電話番号をスプーフィングしたり、ソフトウェアを利用してメール経由でテキストを送信したりするなどの戦術を使用して、スミッシング・メッセージの発信元を隠すことがますます増えています。また、携帯電話で危険なリンクを発見するのも困難です。たとえば、コンピューターでは、ユーザーはリンクの上にカーソルを置くとそのリンク先を確認できますが、スマートフォンではそのオプションがありません。人々は、銀行やブランドがSMS経由で連絡し、テキスト・メッセージで短縮URLを受け取ることにも慣れています。

2020 年、連邦通信委員会(FCC)は、通信会社にSTIR/SHAKENプロトコルを採用することを義務付けました(リンクは ibm.com の外にあります)。これは電話の通話を認証するもので、一部の携帯電話で不審な番号からの電話がかかったときに「詐欺の可能性があります」または「スパムの可能性があります」というメッセージが表示されるのはこのためです。しかし、STIR/SHAKEN により詐欺電話の発見は容易になりましたが、テキスト・メッセージには同等の効果がなかったため、多くの詐欺師がスミッシング攻撃に重点を移しました。
スミッシング詐欺の例

他の形式のソーシャル・エンジニアリングと同様、ほとんどのタイプのスミッシング攻撃は、偽のストーリーを使用して被害者の感情を操作し、詐欺師の命令に従うように騙すことを含むプリテキスティングを利用しています。
金融機関になりすます

犯罪行為者は、被害者が利用している銀行担当者を装い、多くの場合、被害者の口座に問題があるという偽の通知で警告します。被害者がリンクをクリックすると、偽のWebサイトやアプリに誘導され、PIN、ログイン資格情報、パスワード、銀行口座やクレジット・カード情報などの機密の金融情報が盗まれる仕組みになっています。2018年には、ある犯罪行為者集団(ibm.com外部へのリンク)は、このメソッドを使用して、Fifth Third銀行の顧客から100,000米ドルを盗みました。
政府機関になりすます

犯罪行為者は、警察官、IRSの代表者、またはその他の政府関係者を装う可能性があります。 これらのスミッシングのテキストは、多くの場合、被害者が罰金を支払う義務がある、または政府の給付金を請求するために行動しなければならないと主張します。例えば、コロナ禍では、米連邦取引委員会(FTC)は、税金の軽減、無料の新型コロナウイルス検査、および同様のサービスを提供するスミッシング攻撃について警告しました(ibm.com外部へのリンク)。被害者がこれらのテキスト内のリンクをたどると、犯罪行為者社会保障番号やID盗用に使用できるその他の情報を盗みました。
カスタマー・サポートになりすます

攻撃者は、AmazonやMicrosoftなど、信頼できるブランドや小売業者、さらには被害者のワイヤレスのプロバイダーのカスタマー・サポートの担当者を装います。彼らは通常、被害者のアカウントに問題があるか、請求されていない報酬や払い戻しがあると主張します。通常、これらのテキストは被害者を偽のWebサイトに送り、クレジット・カード番号や銀行情報を盗みます。
荷主になりすます

これらのスミッシング攻撃では、FedEx、UPS、米国郵便公社などの配送会社からを装ったメッセージを送信します。メッセージでは、荷物の配送に問題があったことを伝え、「配送料」を支払うか、問題を解決するために自分のアカウントにサインインするよう指示します。その後、犯罪行為者はお金や口座情報を盗み逃げ去ります。このような手口は、多くの人が荷物を待つ休日前後でよく見られます。
上司や同僚になりすます

ビジネスを装ったテキスト詐欺(SMSメッセージ経由を除きビジネス・メール詐欺と同様)では、ハッカーは緊急のタスクで助けを必要としている上司、仕事仲間、同僚(ベンダー、弁護士など)になりすまします。これらの詐欺は多くの場合、即時アクションを要求し、被害者がハッカーに送金することで犯罪行為を完了させます。
間違った番号にテキスト送信するふりをする

詐欺師は、被害者以外の誰かに宛てたように見えるテキストを送信します。被害者が詐欺師の「間違い」を正すと、詐欺師は被害者と会話を始めます。このような間違い番号詐欺は長期にわたる傾向があり、詐欺師は数か月、場合によっては数年にわたって繰り返し接触することで被害者の友情と信頼を得ようと試みます。詐欺師は、被害者に対して恋愛感情を抱いているふりまですることもあります。最終的には、偽の投資機会、融資の要求、または同様のストーリーを通じて被害者のお金を盗むことが目的です。
アカウントからロックアウトされたふりをする

多要素認証(MFA)詐欺と呼ばれるこの詐欺では、被害者のユーザー名とパスワードをすでに知っているハッカーが、被害者のアカウントにアクセスするために必要な検証コードまたはワンタイム・パスワードを盗もうと試みます。ハッカーは被害者の友人の一人を装い、InstagramやFacebookのアカウントからロックアウトされたと主張し、被害者にコードを受け取るよう依頼する可能性があります。被害者はMFAコード(実際には自分自身のアカウント用)を取得し、それをハッカーに渡します。
無料アプリを提供するふりをする

スミッシング詐欺の中には、被害者を騙して、一見正当と思われるアプリ(ファイルマネージャー、デジタル決済アプリ、さらにはウイルス対策アプリなど)をダウンロードさせるものもありますが、これらは実際にはマルウェアまたはランサムウェアです。
スミッシング対フィッシング対ビッシング

フィッシングとは、ソーシャル・エンジニアリングを使用して被害者を騙し、金銭を支払わせたり、機密情報を渡したり、マルウェアをダウンロードさせたりするサイバー攻撃の広義の用語です。スミッシングとビッシングは、ハッカーが被害者に対して使用できるフィッシング攻撃の2種類にすぎません。

さまざまな種類のフィッシング攻撃の主な違いは、攻撃の実行に使用されるメディアです。スミッシング攻撃では、ハッカーは全くテキスト・メッセージやSMSだけを使って被害者を狙います。一方、ビッシング攻撃(「ボイスフィッシング」の略)では、ハッカーは電話やボイスメールなどの音声通信を使って正当な組織を装い、被害者を操ります。
スミッシング攻撃との戦い

多くのサイバーセキュリティー専門家は、スミッシングは今後数年間でさらに当たり前のようになるだろうと考えています。ProofpointのCISOであるLucia Milică(リンクは ibm.com の外にあります)は、マルウェア・マーケットプレイスにスミッシング・ツールが出現し、技術的に精通していない詐欺師でも悪意あるテキストを送信できるようになると考えています。

米調査会社のGartner社は、テキスト、メール、電話、その他の通信チャネルを組み合わせた「マルチチャネル」フィッシングの試みが増加すると予測しています(ibm.com外部へのリンク)。例えば、北朝鮮の支援を受けたハッカー集団であるLazarusグループは、マルチチャネル戦術を使用することで知られています。このグループは偽の LinkedInプロファイルを使用して、仮想通貨取引所の勧誘員を装いました (ibm.com外部へのリンク)。彼らは、求人について話し合うという名目で被害者に連絡し、会話をLinkedInからSMSやWhatsAppに移し、そこで騙してトロイの木馬やその他のマルウェアをダウンロードさせます。

米国連邦通信委員会(FCC)(ibm.com外部へのリンク)は、ワイヤレスのプロバイダーにスパム・テキストのブロックを義務付ける規則の施行を検討しています。しかしそれまでの間、個人や企業は自分自身を守るために必要な措置を講じることができます。

  • モバイル・サイバーセキュリティー・ソリューション:AndroidおよびiOSオペレーティング・システムには、未承認のアプリケーションをブロックしたり、不審なテキストをスパム・フォルダーに振り分けたりする保護機能が標準装備されています。組織レベルでは、会社は統合エンドポイント管理(UEM)ソリューションを使用して、モバイル・セキュリティーのコントロールとポリシーを設定できます。

  • セキュリティー意識向上トレーニング:見覚えのない電話番号、予想されるものとは異なるURL、危機感など、サイバー攻撃やスミッシング試行の警告サインを認識するためのトレーニングは、組織を保護するのに役立ちます。トレーニングでは機密データの取り扱い、支払いの承認、要求に基づいて行動する前の検証に関するルールを徹底することもできます。
関連ソリューション
モバイル・セキュリティー・ソリューション

ユーザーにスムーズなエクスペリエンスを作成し、ITチームとセキュリティー・チームの効率性を維持しながら、あらゆるデバイスでモバイル・セキュリティーの脅威を阻止します。

 モバイル・セキュリティー・ソリューションの詳細はこちら
ランサムウェアの検出と防止

IBM Security QRadar SIEMを使用すると、データが人質に取られる前にランサムウェアを検出し、情報に基づいたアクションを即座に起こして攻撃の影響を防止または最小限に抑えることができます。

 ランサムウェアの検出と防止の詳細を知る
脅威の検知と対応

統合されたアナリストのエクスペリエンスと組み込みAIおよび自動化を特徴とする最新のセキュリティー・テクノロジーであるIBM Security QRadar Suiteを使用すると、調査とアラートの優先順位を付ける能力が向上します。

 脅威の検知と対応の詳細はこちら
参考情報 フィッシングとは何か?

フィッシング詐欺は、被害者を騙して機密データを漏洩させ、マルウェアをダウンロードさせ、自分自身や組織をサイバー犯罪行為にさらします。

 ソーシャル・エンジニアリングとは何か?

ソーシャル・エンジニアリング攻撃は、技術的なハッキングではなく、人間の性質に依存して人々を操作し、個人のセキュリティーや企業ネットワークのセキュリティーを侵害するものです。

 モバイル・セキュリティーについて

モバイル・デバイスのセキュリティーとは、モバイル・コンピューターや通信ハードウェアの使用による資産やデータの損失などの危険性やリスクから保護することを意味します。
次のステップ

サイバーセキュリティーの脅威はますます高度になり、頻発しています。膨大な数のアラートやインシデントから選別しなければならないセキュリティー・アナリストの負担がますます増えています。IBM Security QRadar SIEMを使用することで、収益を維持しながら、脅威をより迅速に修復することができます。QRadar SIEMは、忠実度の高いアラートを優先して、そうでなければ見逃してしまう脅威を特定します。

 QRadar SIEMの詳細はこちら デモを予約