スマホ利用者を不正サイトへ誘導する手段の1つとしてSMSが悪用されています。サイバー犯罪者は著名な企業などを装ってもっともらしい内容のメッセージを送りつけてくるため、予備知識のないスマホ利用者はSMS内のURLリンクを開いてしまいがちです。偽装SMSの手口と対策を押さえておきましょう。
偽装SMSがスマホ利用者の脅威に
スマホ利用者を標的とするネット詐欺の勢いは増すばかりです。トレンドマイクロの調査では、不正サイトへ誘導された国内モバイル利用者数は2021年に450万件を突破しています。
図:不正サイトに誘導された国内モバイル利用者数推移
(2019年1月~2021年6月、トレンドマイクロ調べ)
不正サイトの入り口になっているのはいまやメールだけではありません。SMS(ショートメッセージサービス)もその1つです。SMSは電話番号を宛先にテキストメッセージを交換できるサービスです。確認コードの受け取りにSMSを利用している方も多いのではないでしょうか。しかし、相手の電話番号さえ知っていればメッセージをやり取りできるSMSは、サイバー犯罪者がスマホ利用者を不正サイトへ誘導する手段として悪用されがちです。電話番号の形式にしたランダムな数字を用意するだけで不特定多数に不正なメッセージをばらまくことができるためです。
サイバー犯罪者は著名な企業などを装ってもっともらしい内容のメッセージを送りつけ、受信者に不正なURLリンクを開かせようとします。その主な狙いは不正サイトへ誘い込み、情報や金銭をだまし取ることです。ここから偽装SMSの手口を見ていきましょう。
SMS内のURLリンクを開かせるテクニックは巧妙
実在する配送業者をかたり「不在のため持ち帰りました。配送物をご確認ください」などと案内する不在通知メッセージはその一例です。大手ショッピングサイトを装って「商品発送状況はこちらにてご確認ください」などと通知するものもあります。さらに、携帯電話事業者を装って「キャリア決済が不正利用された可能性があります」と告知したりする手口も確認されています。しかし、それらはデタラメで、スマホ利用者の注意をひく演出に過ぎません。
こうしたSMSによる案内を本物と信じてURLリンクを開いてしまった場合、フィッシングサイトなどの不正サイトに誘導されます。たとえば、Android端末では「セキュリティ向上のため、最新バージョンのChromeにアップデートしてください」というポップアップを表示する不正サイトに行きつく場合があります。そこで「OK」ボタンを押すと、Chromeの更新ファイルに見せかけた不正アプリのダウンロード、およびインストールを促されます。それに応じてしまえば、自身の端末から偽装SMSを拡散されたり、端末内の情報を窃取されたりするかもしれません。
また、Google Playを模した偽サイトに誘導され、公式アプリを装う偽アプリをインストールさせられるかもしれません。
iPhoneではAppleや金融機関のログインページに似せたフィッシングサイトに転送される場合があります。それらを正規のログインページと誤認してApple IDとパスワード、顧客番号やログインパスワード、暗証番号、生年月日などを入力してしまった場合、それらがサイバー犯罪者の手に渡ってしまいます。
「ネットワークセキュリティのアップグレード」を口実に不正なiOS構成プロファイルのインストールを促すWebページへ誘導されるケースも確認されました。iOS構成プロファイルは、iOSのシステムやセキュリティ関連の各種設定が記載されたファイルで、iOS端末にインストールするとその設定を一括で適用できます。もし不正なiOS構成プロファイルをインストールしてしまった場合、端末やSIMカードの固有情報、OSのバージョンや製品情報を窃取される可能性があるため注意してください。
偽装SMSによる被害を防ぐための6つの対策
1.偽装SMSなどのネット詐欺の手口と事例を知る
ネット詐欺の手口と事例を知っておけば、だまされるリスクを軽減できます。普段からセキュリティ関連団体などが発表する注意喚起情報に目を通しておきましょう。セキュリティ事業者などの公式SNSアカウントをフォローし、注意喚起情報を自動的に入手できるようにしておくのもおすすめです。
- トレンドマイクロ公式 Twitter
https://twitter.com/trendmicro_jp - トレンドマイクロ公式 Facebook
https://www.facebook.com/TrendmicroJP
2.セキュリティアプリを利用する
スマホに信用できるセキュリティアプリを入れ、それを常に最新の状態で利用しましょう。これにより、不正サイトにアクセスしたり、不正アプリをインストールしたりするリスクを軽減できます。トレンドマイクロはURLの安全性を判定するサービスを無料で提供しています。
- Site Safety Center
https://global.sitesafety.trendmicro.com/?cc=jp - ウイルスバスター チェック!
https://www.trendmicro.com/ja_jp/about/press-release/2020/pr-20200825-01.html
3.OSやアプリを最新バージョンに保つ
スマホのOSやアプリには脆弱性(セキュリティ上の弱点)がつきものです。脆弱性を放置していると、正規のアプリを不正アプリに置き換えられたり、端末を不正操作されたりするリスクが日増しに高まります。OSやアプリの開発元から更新プログラムが提供された場合は速やかに適用しましょう。
- Android OSの更新について
https://support.google.com/android/answer/7680439?hl=ja - iOSの更新について
https://support.apple.com/ja-jp/HT204204 - Androidアプリの更新について
https://support.google.com/googleplay/answer/113412?hl=ja - iOSアプリの更新について
https://support.apple.com/ja-jp/HT202180
4.SMS内のURLリンクを不用意に開かない
たとえ著名な企業が差出人でも、何らかの理由をつけてURLリンクを開かせようとするSMSは疑ってかかるべきです。そのメッセージの文言をネットで検索し、公式のメッセージかどうかを必ず確認してください。偽装SMSでは、差出人名に任意の英数字を送信者IDとして指定できる機能が悪用されている場合もあります。SMSは同じ差出人名のメッセージが同一のスレッド内に表示されるため、実在する企業などと同じ送信者IDが指定された偽装メッセージが送られてきた場合、それも公式のメッセージと同じスレッド内に並んでしまいます。偽装メッセージを公式メッセージと誤認しないよう注意してください。
5.SMSの進化版「+メッセージ」を利用する
+メッセージを利用すれば、著名な企業を装う偽メッセージを本物と誤認してしまうリスクを減らせます。+メッセージの企業の公式アカウントには携帯電話事業者3社による審査をクリアしたことを示す認証済みマークが付与され、利用者がメッセージの真偽を判断する目安にできるためです。
図:事業者のアカウントに表示される認証済みマークの例
6.アプリを入手する際は公式アプリストア、あるいは開発元の公式サイトを利用する
SMS経由でたどり着いたWebサイトからアプリをインストールしてはいけません。不正アプリ対策の基本は、Google PlayやApp Store、携帯電話事業者などが運営する公式アプリストア、開発元の公式サイト以外からアプリを入手しないことです。ただし、公式アプリストアにも不正アプリが紛れ込んでいる可能性があるため、アプリをインストールする前に著名な検索サイトでアプリ名や開発元を検索し、評判を調べることも怠らないようにしましょう。また、iPhoneで構成プロファイルのインストール画面が突然表示された場合も不用意に許可してはいけません。まずは正当性の確認を行ってください。
Copyright © 2023 Trend Micro Incorporated. All rights reserved.
