深夜、友人から「至急フォームを記入してほしい」とメッセージが届きます。あなたはそれに応じた。
詳細を入力した瞬間、翌日にはその友人から一切連絡が途絶える。後日、自分のアカウントがハッキングされログインできなくなっていることに気づく。そのメッセージの送信者は、その夜の友人ではありませんでした。彼らは単に友人になりすましただけで、あなたは疑うこともありませんでした。多くのスミッシング攻撃はこのようなケースです。これらのメッセージは巧妙に偽装されており、しばしば無害すぎるように見えます。
フィッシングは、メール、フォーラム、またはウェブ上で同じ戦術を使用します。攻撃者は受信者に悪意のあるリンクをクリックさせようと仕向け、罠にかけようとします。これらのメールは本物のように見えますが、信頼できる送信元から届いたものではありません。
幸い、これらの手口に引っかからない方法を解説します。本ガイドでは、SMSフィッシングとフィッシングの違いについて理解すべき全てを解明し、さらに詳細を探っていきます。
スミッシングとは?
スパム電話やテキストメッセージは、ここ数年で増加しています。犯人は悪意のあるリンクを使って被害者を陥れ、ユーザーを誘い出し、機密情報を漏洩させようとします。テキストメッセージは瞬時に届くため、本当に忙しいユーザーは受信者の身元を確認したりメッセージの履歴をチェックしたりするのを忘れ、ほんの数秒で彼らの策略に引っかかってしまいます。ハッカーは公的機関や法人を装ってメッセージを正当に見せかけ、結果として被害者の身元情報を侵害することがあります。彼らは現地の電話番号を使用して本物のテキストメッセージを送信し、被害者は疑わない場合があります。一部のハッカーは不明な番号からスミッシングメッセージを送信し、毎分10億件以上の迷惑メッセージが送信されています!スミッシングの手口とは?
スミッシングとはSMSフィッシングのことで、その手口は以下の通りです。たとえば、PayPalアカウントのパスワードをすぐに再設定する必要があるというメッセージが届いたと想像してください。あるいは、アカウントにロックがかかり、本人確認が必要になったとします。問題解決のためにリンクをクリックするよう求められ、さらにメッセージ内の指示に従う必要があると記載されたテキストを受け取ります。
ほとんどのモバイルユーザーは、これらのメッセージの真正性を判断できないため、フィッシングの手口を理解していません。
スミッシングは数百万ドル規模のデータ損失を引き起こす可能性があります。FBIサイバー犯罪苦情部門によると、2023年だけで2,800件以上のスミッシング被害が記録され、300万米ドルの損失につながりました。マカフィーの調査によると、アメリカ人の4人に1人が税務詐欺の被害に遭っています。もし、自分が要求していないのに突然、多要素認証用のコードを入力するよう求めるテキストメッセージを受け取ったことがあるなら、それはスミッシングの可能性が高いです!
SMSメッセージは、メールやその他のオンライン通信手段に比べて開封率がはるかに高いです。この特性が詐欺師やサイバー犯罪者にとって魅力的な標的となっています。フィッシングとは?
フィッシングとは、攻撃者がメールを送信し、そのメール内で公的機関などを装うサイバー攻撃の一種です。攻撃者は被害者を感情的に操作したり、緊急性を植え付けたり、心理的にガスライティングして機密情報を引き出したりします。フィッシングの恐ろしい点は、被害者が偽のメールを見抜けず本物だと信じてしまうことがあることです。その結果、悪意のあるリンクのダウンロード、不正な要求への応答、機密情報の共有といった行動を促される可能性があります。
フィッシングの手口とは?
古典的なフィッシングの手口は、団体や組織に対して大量のメールを送信するものです。一方、スピアフィッシングはより標的を絞った攻撃で、攻撃者は企業内の特定の組織や個人を狙います。例えば、企業の幹部を装うケースがあります。サイバー犯罪者はその人物になりすまし、従業員に接触を試みます。こうしたメールに気づかない新入社員は騙されやすく、真の正体を知らず、確認もせずにサイバー犯罪者とやり取りをしてしまう結果となります。
フィッシングの手口は時とともに進化するため、攻撃者は従来のメールフィルターやセキュリティ対策を回避できます。重要なセキュリティスキャナーを回避し、組織に侵入、権限昇格を行い、データ侵害を引き起こすことが可能です。必要なのは単純なメール1通だけです。音声メモを添付したり、音声メモやライブストリームリンクを介したやり取りを要求するメールも存在します。サイバー犯罪者はAIディープフェイク技術を活用し、なりすまし戦術をさらに高度化させることが可能です。
スミッシングとフィッシングの3つの決定的な違い
フィッシングとスミッシングには違いがあります。一方は電話メッセージを、もう一方はメール通信チャネルを標的として利用します。どちらも同じ考え方に基づいて動作します。感情的なやり取りでユーザーに衝撃を与え、重要な情報を漏らすように仕向けるのです。
スミッシングやフィッシングの戦術に引っかからず、それらを無視する方法を学べば、はるかに有利になります。フィッシングとスミッシングの重要な違いをいくつかご紹介します。
#1.標的となるデバイス
フィッシング攻撃は、ノートパソコン、ネットワークシステム、モバイルインフラ、タブレット、その他の電子機器を標的とすることができます。一方、スミッシングは携帯電話やスマートフォンに限定されます。ただし、脅威の攻撃者がTelegram、Discord、Slackなどのメッセージングアプリを利用してモバイルユーザーを標的にするにつれ、スミッシングも進化しています。
#2.リンクと添付ファイル
スミッシングのリンクは、ユーザーをオペレーションラインにリダイレクトしたり、攻撃者に電話をかけて会話するよう要求したりします。フィッシングは単にユーザーを偽のウェブサイトにリダイレクトするか、ウェブフォームに個人情報を入力して送信するよう要求します。フィッシングメールには通常、悪意のある添付ファイルが含まれていますが、スミッシングメッセージには悪意のあるリンクや電話番号が含まれています。
#3. 通信方法
スミッシングは携帯電話のテキストメッセージを利用します。フィッシングはメールクライアントにアクセス可能なあらゆるコンピューターやデバイスを標的とします。
スミッシングとフィッシング:主な相違点
スミッシングとフィッシングは配信方法が異なりますが、攻撃目的は類似しています。どちらも機密データやリソースへの不正アクセスを目的とします。スミッシング攻撃は電話テキストを利用し、緊急性を感じさせたり即時行動を促したりします。フィッシングは主に電子メールや偽サイト共有を通じて発生します。攻撃者は数か月かけて十分な偵察を行い、標的をプロファイリングした上で、標的型フィッシング攻撃を仕掛ける場合があります。
スミッシングとフィッシングの主な相違点は以下の通りです:
| スミッシング | フィッシング |
|---|---|
| スミッシングのテキストメッセージは、携帯電話のスパムフィルターに検出されるか、迷惑メールフォルダに振り分けられる可能性があります。 | フィッシングメールは、人間の検知やスパムフィルターを回避できる場合があります。 |
| 攻撃者は主に携帯電話、スマートフォン、モバイル端末、SMSテキストメッセージを利用するあらゆる電子通信を標的とします。 | 攻撃者はメール通信チャネルのみを通じて被害者を誘い出します。 |
| これらの詐欺は、偽の宝くじ、金融詐欺、緊急メッセージなどの形態をとる可能性があります。 | 詐欺師は、悪意のあるウェブサイトやウェブフォームへのリンクを送信し、被害者にそれらを訪問するよう要求することがあります。 |
| スミッシング攻撃の目的は、個人を特定できる情報を盗み、マルウェアを拡散することです。 | フィッシング攻撃は、企業認証情報を盗むか、組織内部でより深いレベルでのアカウント乗っ取りを試みます。 |
スミッシングとフィッシング攻撃を回避・排除する5つの方法
スミッシングとフィッシングの手口を理解した今、被害に遭わないための対策を講じましょう。フィッシングやスミッシング攻撃を回避・排除する5つの方法をご紹介します:
- 警戒心を持ち、疑い深くあること – 不審なメールには返信しないでください。オンライン上で誰かとやり取りする際は常に警戒を怠らないでください。個人情報や電話番号を開示する前に送信者の身元を確認してください。リンクや添付ファイルは絶対にクリックしないでください。
- 多要素認証(MFA)を導入する– 多要素認証を導入し、すべてのデバイスに追加のセキュリティ層を追加してください。これは二要素認証よりも優れており、サイバー攻撃者が物理的なハードウェアにアクセスできる場合に、そのハイジャックを防ぐことができます。
- 従業員を教育する – 最新のウイルス対策ソフトウェアやスパイウェア監視ソリューションをインストールするだけでは不十分です。攻撃者は技術そのものではなく、それを使用する人間を標的にします。組織内にサイバーセキュリティ意識の文化を構築し、様々なソーシャルエンジニアリング戦略について従業員を教育してください。注意すべき点や、オンライン上の不審な行動を見抜く方法を伝えましょう。
- 定期的なパッチ適用と更新 – ソフトウェアとハードウェアシステムの定期的なパッチ適用と更新は非常に重要です。モバイルデバイス、ファームウェア、アプリケーションの最新アップデートをインストールしましょう。これにより、攻撃者が発見した場合に悪用される可能性のある潜在的なバグや隠れた脆弱性を防ぐことができます。
- 脅威監視ソリューションの利用 – スミッシングやフィッシング攻撃を防ぐため、あらゆる対スミッシングツールやフィッシング対策技術ソリューションを活用できます。これらは完全無欠ではありませんが、脅威を検知・フィルタリングすることでリスクを大幅に低減します。必要な手動監視の量は大幅に減少します。
組織がスミッシングやフィッシング詐欺から身を守る必要がある理由とは?
フィッシングやスミッシング詐欺に関する世界的な認知度は非常に低いです。「フィッシングの実態」レポートによると、これらの悪意のある手口について認識していると回答したユーザーはわずか22%です。スミッシングやフィッシングの手法に関する知識の欠如は、サイバーレジリエンスを損なう可能性があります。多くのユーザーは、マルウェア関連のインシデントを自動的に識別・防止する安全対策の技術的限界を理解していません。被害者の一部は端末をロックせず放置し、多くのユーザーが生体認証ロックや4桁のPINを選択していません。セキュリティ対策が施されていない公共WiFiネットワークへの接続や、それらを介した企業データの送信は、数多くの安全リスクやデータプライバシー上の懸念をもたらします。ネットワークは決して完全に保護されておらず、サイバー犯罪者は通信経路を傍受したり、被害者を密かに調査したりすることが可能です。
スマートフォンや電子機器の使用は、若い労働者層にとって日常的な行為です。しかしミレニアル世代とは異なり、全員が最適なサイバーセキュリティ対策を理解しているわけではありません。セキュリティの自動化は有効ですが、ソーシャルエンジニアリングがそれを突破する可能性があります。携帯電話の受信テキストには従来の認証システムやスパムフィルターが存在しません。ビジネス情報と個人情報が混在するテキストは、疑念の要素を曖昧にします。モバイルユーザーは毎日数百件のテキストを受信するため、脅威アクターが情報を盗む機会をどう悪用するか判断するのは困難だ。
結論
継続的または発信中のSMSメッセージの急激な増減を確認することで、スミッシング脅威の標的となっているか判断できます。SMSゲートウェイの異常を監視し、モバイルメッセージングチャネルを保護するため、なりすまし防止メカニズムを導入してください。
脅迫メールや緊急を装ったメッセージに感情的になったり衝動的に反応したりしないでください。冷静に構え、威圧されないようにしましょう。機密情報の共有や取り扱いには時間をかけて常識的に対応してください。
自社インフラでフィッシングシミュレーションを実施し、標的とされる可能性を確認することも有効です。実施前には人事部門に確認してください。従業員にフィッシング被害の報告を促し、安心して共有できる環境を整えましょう。匿名での報告を許可するのも有効な対策です。
本ガイドがSMSフィッシングとフィッシングの違い理解の一助となれば幸いです。追加サポートが必要な場合はSentinelOneまでお問い合わせください。
"FAQs
SMSフィッシングもフィッシングも悪名高く、個人情報や金融情報を危険にさらす可能性があります。SMSフィッシングとフィッシングの両方の脅威に対抗するためには、安全対策とセキュリティ対策を同様に徹底することが極めて重要です。
"携帯電話のSMS設定を確認し、スパムフィルターを有効にしてください。不明な番号や不審な番号からの着信をブロックします。送信元不明のメッセージを自動的にブロックするフィルターをオンにしましょう。ほとんどの携帯電話ではデフォルトで利用可能です。
"送信者がGmailのような公共ドメインを使用している場合、フィッシングメールである可能性が高いです。ほとんどの企業は独自の公式ドメインを持っています。もう一つの明らかな手掛かりは、ドメイン名のスペルミスです。例えば、sentinelone.com ではなく sentinl1.com といった場合です。
メールに文法やスペルの誤りがある場合、あるいはあなたや従業員だけが内部で知っている日付や場所などの詳細に誤りがある場合も、明らかな兆候です。
"多くのウェブブラウザには、潜在的なフィッシングメールについてユーザーに警告するセキュリティ機能が組み込まれています。ある程度までフィッシングメールをフィルタリングできる無料のブラウザ拡張機能もあります。SentinelOne Singularity™ Platform は、モバイルデバイス、サーバー、エンドポイント、クラウド、ID、ユーザーを様々なフィッシング攻撃やスキームから保護する包括的なソリューションです。高度な機能を備えているため無料ではありませんが、完全に拡張性とカスタマイズ性を兼ね備えています。