攻撃と脅威
スミッシング
別称: SMS フィッシング
定義
SMS など携帯端末向けメッセージを用いたフィッシング攻撃。悪意あるリンクのクリックや偽番号への発信、情報の入力を促す。
スミッシング(SMS フィッシング)は、SMS のほか RCS、WhatsApp、iMessage などのメッセージングアプリを用いて行うソーシャルエンジニアリング攻撃です。よくある口実は不在配達通知、銀行の不正利用警告、税金還付通知、二要素認証コードの要求、有料道路の未払い詐欺などです。モバイル環境ではリンクが省略表示され、送信者 ID も詐称されやすく、ユーザーが集中しにくいなど攻撃側に有利な条件が揃っています。対策としては、通信事業者によるフィルタリング、モバイル向けアンチフィッシング製品、SMS ベースの認証ではなくアプリ認証や FIDO2 を用いた多要素認証、緊急 SMS を別経路で確認する利用者教育が有効です。
例
- 「不在のため配達できませんでした。hxxps://yubin-saihaitatsu[.]link で 200 円の再配達料を支払ってください」と称する SMS。
- 銀行を装ったメッセージで偽の不正対策窓口へ電話させ、カード情報とワンタイムコードを聞き出す。
関連用語
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
ビッシング
電話や VoIP など音声経路を利用したフィッシング攻撃。被害者から認証情報・送金・リモートアクセス権を引き出す。
スピアフィッシング
事前に収集した個人情報や業務情報をもとに、特定の個人や組織に合わせて作り込まれた標的型フィッシング攻撃。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
モバイルマルウェア
スマートフォンやタブレットを標的にし、データ窃取、通信傍受、暗号資産マイニング、金融詐欺などを行う悪意あるソフトウェア。
認証情報窃取マルウェア
感染システムやそのメモリからパスワード、ハッシュ、認証トークンを取り出すことに特化したマルウェア。