SMSスプーフィングとは?

SMSスプーフィングとは、電話番号や連絡先名などの送信者情報を不正目的で改ざんすることです。偽のテキストは、応答したりブロックしたりすることができません。なりすましは、完全になりすましに基づいています。

知り合いと思われる人からメールが来たが、よく見ると何かおかしい。名前も携帯電話番号も、連絡先リストに登録されているものと同じではなく、似ている。

サイバーセキュリティ攻撃は急速に増加しています。フィッシングやなりすましなど類似の詐欺は、米国に報告されたサイバー犯罪の中で最も多いタイプでした。 2021年にインターネット犯罪苦情センターが約32万4千人に影響を与えました。

面白い?そうかもしれませんね。しかし、この能力は使い方を誤ると、間違いなく有害です。

SMSスプーフィングとはどのような仕組みか?

SMSのなりすましは21世紀の問題だと思うかもしれないが、その起源は何十年も前にさかのぼると考えられていることに驚かれるかもしれない。1271年、エジプトのスルタン・ベイバールという司令官が、包囲した騎士団に司令官からの偽の手紙を渡し、服従を命じて、強力なクラック・デ・シュバリエの奪取に成功した。結局、騎士たちは諦めて、その手紙が偽物であることを知った。

SMSスプーフィングとは、SMSメッセージに含まれる本当の送信者の電話番号を偽装し、別の機器から送信されたように見せかけるものです。これは2つの方法で行うことができます。

  • 被害者の携帯電話から、連絡を取りたい相手にSMSメッセージを送信することができます。これにより、受信者は友人や同僚など、あなたの知っている人からのメッセージであると勘違いするのです。
  • 他人の電話番号から、連絡を取りたい相手にSMSメッセージを送信することができます。これにより、受信者は友人や同僚など、他の誰かからのメッセージであるかのように騙すこともできます。

スミッシングとSMSスプーフィング。その違いとは?

SMSスプーフィングとスミッシングは、テキストメッセージを使用して、無防備な被害者から機密情報を取得する2つのタイプの詐欺です。どちらもソーシャルエンジニアリングの技術を使用していますが、ターゲットにする方法が異なります。

SMSスプーフィング

SMSスプーフィングとは、ハッカーが身に覚えのない番号からSMSメッセージを送信することです。このメッセージは、あなたが知っている人からのものに見えるかもしれませんし、あなたが信頼している会社や組織から来るかもしれません。このような攻撃は、お客さまをだまして返信させたり、リンクをクリックさせたりして、携帯電話やコンピュータにマルウェアをダウンロードさせることを目的としています。

スミッシング

スミッシングはSMSスプーフィングと似ていますが、ハッカーはテキストメッセージを使う代わりに、悪意のあるリンクが埋め込まれた偽のEメールを送ります。そのリンクをクリックすると、端末にマルウェアをインストールしようとしたり、偽のウェブサイトに誘導して、クレジットカード番号や社会保障番号などの個人情報の入力を求めたりします。

SMSスプーフィング攻撃ベクトルとは?

SMSスプーフィング攻撃ベクターは、信頼できる送信元からのメッセージを装い、携帯電話ユーザーを騙して個人情報を開示させるものです。この攻撃を広めるには、通常、リンクや実行可能なファイルを含む電子メール・メッセージが使用されます。ボタンが押されると同時に、攻撃者は被害者のメッセージにアクセスし、被害者に代わってメッセージを送信することができるようになります。

被害者が気軽に機密情報を提供・送信・漏洩するためには、信頼できる友人や家族と話していると思わせることが必要です。この手法は、同時受信者の数やなりすまし攻撃のベクトルによっては、同時に複数人になりすますことが可能です。

SMSのなりすましの種類

SMSのなりすましには、以下のようなさまざまな種類があります。

偽の送信者ID

最も一般的ななりすましは、本当の送信者IDを別の番号や名前に置き換えることです。これにより、詐欺師は銀行やクレジットカード会社など別の人物になりすまし、個人情報を教えたり、悪質なソフトウェアをダウンロードさせたりすることができます。また、詐欺師は 発信者番号通知偽装 を偽装することもできます。

未承諾バルクメッセージ(UBM)

UBMとは、知り合いから来たように見えるが、発信元がわからない迷惑メールのことです。これらのメッセージには、悪意のあるウェブサイトへのリンクやフィッシング攻撃など、モバイル機器から個人情報を盗むことを目的とした詐欺の手口が含まれている可能性があります。

ハラスメント

このタイプのSMSスプーフィングでは、通常、脅迫的なメッセージや不適切なメッセージを他人に送信します。これは、被害者を脅すことを目的としたストーカー、いじめっ子、ネットいじめっ子がよく使う手口です。嫌がらせをする人の中には、この方法を利用して、被害者からお金を脅し取ろうとする人もいます。

偽送金

例えば、賞金を獲得したというメールを送り、そのお金を口座に振り込んでもらい、慈善団体に寄付してもらうといったものです。また、ハッカーが当選したと言って個人情報を盗み、口座に入金するために銀行情報を聞き出そうとする、より悪質な詐欺もあります。

企業スパイ

この攻撃では、ハッカーは、悪意のあるウェブサイトへのリンクを記載したSMSメッセージをお客様の携帯電話に送信します。そのリンクをクリックすると、別のサイトにリダイレクトされ、個人情報や認証情報が盗まれます。この情報により、攻撃者は会社のリソースにアクセスしたり、お金を盗んだりすることができます。

SMSのなりすまし。合法的な使用方法とは?

SMSスプーフィングの正当な用途としては、バルクメッセージングサービス、公式メッセージ、ID保護などがあります。

バルクメッセージングサービス

SMSスプーフィングでは、一度に複数の受信者に大量のメッセージを送信することができます。これは、費用対効果の高い方法で顧客にアプローチしたい企業にとって、特に有効な手段です。

オフィシャルメッセージ

政府機関も、税金の納付期限や自然災害に関する警告など、重要な通知を送るためにSMSスプーフィングを使用しています。このようなメッセージを送る場合は、詐欺ではない正当なものであることが分かるように、公式な発信元であることが必要です。

個人情報保護

Equifaxのような企業は、この技術を使って顧客の身元を保護しています。例えば、誰かがEquifaxからのコールバック番号と偽って電話やメールをかけてきたとします。その場合、電話やインターネットで個人情報を入力するのではなく、携帯電話でその番号に電話をかければ、本物かどうか簡単に確認することができます。

SMSのなりすましから身を守るために、ユーザーがすべきこととは?

  • モバイル端末で受信した未承諾メッセージに注意し、メッセージ内のリンクは開かないでください。もしリンクを開いた場合は、ブラウザにURLを入力して、そのリンクが示す実際のウェブサイトにアクセスするようにしてください。
  • 口座番号やパスワードなどの個人情報を要求するメールには返信しない。もし、このようなメールを受信したら、返信せずにすぐに削除してください。
  • お金や個人情報を要求するSMSメッセージを受け取った場合は、携帯電話サービスプロバイダーに連絡してください。

まとめ

なりすましに対して完全に安全な方法はありません。嫌がらせやなりすましにあなたの電話番号を使用する詐欺師は、必ず通信事業者と警察に報告し、メッセージの発信元を突き止めてもらう必要があります。そうすることで、SMSのなりすましを未然に防ぐことができます。詐欺師から二度とSMSを受け取らないようにするには、SMSブロッカーのダウンロードをご利用ください。

さらに、メールスプーフィングやドメインスプーフィングなど、他のスプーフィングリスクにも注意し、防御することが必要です。当社の包括的なガイドをご覧ください。 メールスプーフィングセキュリティをご覧ください。