こちらのnoteは、セキュリティ専門家松野によるニュース解説ラジオ「今日の10分セキュリティラジオ」4月12日の放送内容を一部抜粋しご紹介します

今回のトピック！
・ニュース解説「「フィッシング脅威の全容」発表、スミッシング理解が大幅に低い日本」
・メールを使ったフィッシングとどう違う？

ニュース解説

主要7カ国のフィッシングに関する調査結果が発表されており、フィッシング攻撃を受けた組織は全体の半数以上で、3分の2以上の組織がランサムウェアに感染したことがあるということです。今回はフィッシングの中でもSMSを使ったスミッシングについて詳しく説明します。

日本、アメリカ、オーストラリア、フランス、ドイツ、スペイン、イギリスの主要7カ国を対象とした第三者の調査結果と、6000万件の模擬フィッシングデータ及び1500万通のメールデータを分析した結果が報告されています。
記事によると、フィッシング攻撃された組織は2019年の55%から2020年は57%と微増しています。また、3分の2以上の組織がランサムウェア感染を経験したことがあるということですが、感染した組織の半数以上が身代金を払い、そのうち約4割の組織は追加で身代金の要求を受けたということです。
また、日本国内の調査結果として、SMSを使ったフィッシング攻撃であるスミッシングについての理解が他国と比較して低いことが報告されています。

メールを使ったフィッシングとどう違う？

SMSを使ったスミッシングとメールを使ったフィッシングの違いは、メッセージの送信方法、宛先の設定方法、迷惑メールフィルタの3点があげられます。それぞれについて説明します。

メッセージの送信方法
メールを使ったフィッシングの場合は、一部のキャリアメールを除いて、被害者が意図して受信し、メールボックスを開くことで、はじめて本文が閲覧されます。一方でSMSを使ったスミッシングの場合は、電波が届く圏内においては強制的に受信されてしまいます。メッセージを受信する環境にもよりますが、スミッシングの方が本文が閲覧されるまでのステップが短くなる場合があります。

宛先の設定方法
フィッシングの場合は、何らかの方法でメールアドレスのリストを入手して宛先として設定します。一方でスミッシングの場合は、SMSが電話番号のみで送信することができるため、電話番号の先頭を090などで固定化すれば、残りは8桁の数字を総当たりするだけで、宛先として設定することができます。スミッシングの場合は、あらかじめ宛先のリストを入手する必要がないことが特徴です。

迷惑メールフィルタ
メールに対して簡単にかけられる迷惑メールフィルタが、SMSに対しては難しいとされています。理由は、日本国憲法第21条に紐づく電気事業通信法に「通信の秘密」が定められており、迷惑SMSと判断するためであっても通信を検閲をしてはならないと明文化されているためです。よって、通信事業者はメッセージの中身を見ることなく、スミッシングであることを判断する必要があります。

このように、スミッシングはメールのフィッシングと比較して攻撃者にとって有利な状況にあり、利用者側でも高い意識をもって対応することが必要です。

放送を聴かれるかたはこちら

記 にしもと