マクニカ、SMSを悪用したフィッシング詐欺「スミッシング」の手口と対策を公開
~銀行、クレジットカード事業者、ペイメントサービス、EC事業者、運送会社等を巻き込んだ 犯罪エコシステムと対策アプローチ~
半導体、ネットワーク、サイバーセキュリティ、AI/IoTにおけるトータルサービス・ソリューションプロバイダーの株式会社マクニカ(本社:神奈川県横浜市、代表取締役社長:原 一将、以下マクニカ)は、携帯電話のショートメッセージサービス(Short Message Service、以下SMS)を悪用したフィッシング詐欺である「スミッシング」の手口と対策をまとめたレポート「スミッシングの実態と対策」を公開いたします。
スミッシングは、フィッシング(Phishing)行為の一種であり、SMS Phishingから生まれた造語です。SMSを悪用して詐欺目的のメッセージを送り、受信者を偽のWEBサイトに誘導、個人情報を盗み取る手口です。狙われるのは主に、銀行、ECサイトのアカウント情報、電子決済やクレジットカード利用に関わる情報などです。
特に昨年はクレジットカードの番号盗用による被害が年間300億円(*1) を超えるなど、経済被害が拡大しており、スミッシング対策は喫緊の重要課題と言えます。しかし、従来のIT資産を守るためのサイバーセキュリティ対策とは違う知識・理解が必要なため、各企業が対策に苦慮しているのが実情です。
本レポートでは、実際に観測されたスミッシング手口から、犯罪手口の変化を考察し、銀行、クレジットカード事業者、ペイメントサービス、EC事業者、運送会社等を巻き込んだ犯罪エコシステムと、各企業が具体的にアプローチできるスミッシング対策フレームワークを解説しています。また企業ブランドを騙る詐欺SMSの発信源・到達経路についても詳解することで、詐欺SMS抑止の手掛かりを提供します。
マクニカは、安心してインターネットの利便性を享受できる社会の実現に向けて、今後も対策強化に向けた技術支援・調査・啓発活動を継続してまいります。
【レポートのハイライト】
■攻撃者の変化、犯罪の裾野の広がり
スミッシングの背後には様々な攻撃者(詐欺師、フィッシャー)がいると推定できます。黎明期からある銀行系スミッシングは、対象となる銀行や地域の狙い方、認証を突破して不正出金する手口などに、知識・オペレーションレベルの高さ・組織性が見られました。また、スミッシングの手口傾向から、複数の集団がいると推定されていました。 最近はEC系、宅配系を中心に、クレジットカードや電子決済のための情報を狙うものが増えています。スミッシングの総量が増えていますが、同時に「偽サイトのブランドと、SMS文面のブランドが一致しない」「SMS文面の日本語が不自然 」といったスミッシングが散見されるようになりました。過去から活動している攻撃者と比べて、オペレーションレベルの低い人々が参入するようになってきたことや、分業化が起こっていることが推測されます。(図1)
*1:一般社団法人日本クレジット協会「クレジットカード不正利用被害の集計結果について(ニュースリリース)」https://www.j-credit.or.jp/information/statistics/download/toukei_03_g_220331.pdf
■スミッシング犯罪エコシステム
スミッシングに関する犯罪エコシステムの理解と考察を深めることで、犯罪の全体像に沿った対策が可能になります。これまでのフィッシング対策の中心は、フィッシングサイトの早期発見とテイクダウンまたは、アクセスブロックによる事実上の無害化でした。今後もこれらは有効ですが、さらに犯罪の上流・下流の対策も組み合わせ、一連の犯罪行為のチェーンを断ち切ることが肝要です。
図2:スミッシング犯罪エコシステムについて
■スミッシング対策フレームワーク
レポート内では、スミッシングの流れに沿ったフレームワークを定義し、企業が実行できる対策について解説しています。
図3:スミッシング対策フレームワーク
■目次
・はじめに
・スミッシングについて
・スミッシングをとりまく被害動向
・スミッシングの手順
・フィッシング行為におけるSMSの役割と特徴
・SMS配信経路とスミッシングの送信手口
・スミッシング配信経路の識別
・スミッシングの傾向と技術考察
・攻撃者の変化、犯罪の裾野の広がり
・スミッシング犯罪のエコシステム
・対策アプローチ
■レポートのダウンロード先
https://www.macnica.co.jp/business/security/2022/report_01.html
■関連セミナー
マクニカでは他にも攻撃や脆弱性、サイバーセキュリティに関する情報提供を積極的に行っています。
7月28日、29日、8月1日、2日にて、DXとサイバーセキュリティの両輪で実践的ヒントを学ぶカンファレンス「Macnica techNowledge Daye 2022(マクニカ テクナレッジデイズ 2022)」を開催します。
参加申し込み方法・開催内容はWebサイトをご覧ください。
URL:https://mnd2022.macnica.co.jp/?pcode=pressrelease_2
<ピックアップセッション>
自社サービスの不正利用からユーザーとブランドを守るには
ヤフー株式会社 コマースインフラ本部 安全対策部 部長
藤田 智子 氏
フィッシング詐欺ハンター
にゃん☆たく 氏
フィッシング対策協議会 副運営委員長
Japan Digital Design, Inc. Technology & Development Div. Head of TDD
唐沢 勇輔
サイバーセキュリティ界のビッグボスDave DeWaltが描く未来
「Future Fusion/Cyber+」とは
NightDragon
Founder and Managing Director
Dave DeWalt(デイブ デウォルト)氏
アフターコロナ時代におけるサイバーセキュリティ
~サプライチェーンリスクとライフサイクルセキュリティ~
国立研究開発法人 情報通信研究機構 主席研究員
伊東 寛 氏
※本文中に記載の社名及び製品名は、株式会社マクニカおよび各社の商標または登録商標です。
※ニュースリリースに掲載されている情報(製品価格、仕様等を含む)は、発表日現在の情報です。 その後予告なしに変更されることがありますので、あらかじめご承知ください。
【株式会社マクニカについて】
マクニカは、1972 年の設立以来、最先端の半導体、電子デバイス、ネットワーク、サイバーセキュリティ商品に技術的付加価値を加えて提供してきました。従来からの強みであるグローバルにおける最先端テクノロジーのソーシング力と技術企画力をベースに、AI/IoT、自動運転、ロボットなどの分野で新たなビジネスを展開しています。「Co.Tomorrowing」をスローガンに、最先端のテクノロジーとマクニカが持つインテリジェンスをつなぎ、ユニークなサービス・ソリューションを提供する存在として、社会的価値を生み出し未来社会の発展へ貢献していきます。当社は、横浜に本社を構え、世界24ヶ国80拠点をベースにグローバルなビジネスを展開しています。詳細はWebサイト(https://www.macnica.co.jp)をご覧ください。
