あなたは「偽メール」や「偽サイト」で騙されそうになったことがあるだろうか?
そんな人は一層注意しなければならない巧妙な手口が最近増加しているという。
それはSMSによる「偽メッセージ」。
本物のメッセージに紛れて送ることが可能なため、見分けることは難しいという。
「本物に紛れる」とは?
SMSとはshort message serviceの略で、iPhoneやAndroidなどのスマートフォンでは主に「メッセージ」というアプリを使い、相手と文章のやりとりをおこなうもの。
メールアドレスではなく、特定個人の電話番号に対して文章が送れるため、二段階認証や本人確認にも使われることは多くの人がご存じだろう。
SMSは、LINEやチャットのように、同じ相手とのやりとりは同じ画面に表示されるのだが、「偽メッセージ」はこの本物のメッセージに紛れて同じ画面に表示されるというのだ。
つまり、Aさんだと思って話し続けていたはずなのに、いつの間にか別人と話して騙された、みたいなことが起きてしまうのだろうか?
そんな、まさかの状況は本当にありえるのか、そして、どうやって防げばいいのか? 情報セキュリティー企業のトレンドマイクロ社に聞いてみた。
「偽メッセージ」は国内からでも送信可能
――「偽メッセージ」とはどういうもの?
国際SMSの仕組みを悪用し、偽メッセージの送信元ID(送信者名)に正規の企業名を使用することで、その企業から本当に来ているメッセージと同じスレッド上に表示する手口です。
――「偽メッセージ」の内容は?
多くの場合はフィッシング詐欺サイトなどの不正サイトのURLが本文に記載されており、クリックすると不正サイトに誘導されます。
正規企業に偽装したフィッシング詐欺サイトの場合は、IDやパスワードなど認証情報の入力を求められ、入力してしまうと情報が盗まれてしまいます。
――国際SMSってはなに?
国際SMSは、海外の通信網を使ってSMSを送信できる仕組みであり、送信者は送信者名を、英数字の中から自由に設定可能です。
また国内のSMSは送信者側にも電話番号が必要ですが、国際SMSはその制約がありません。国際SMSの配信自体は、配信事業者を通して国内からでも送信可能です。
実際に検証してみると…
では国際SMSで、実際に使われている送信者IDと同じ名称を設定したらどうなるのか?
トレンドマイクロ社は10月19日に、実在するWebサービス企業の送信者IDを真似て国際SMSを送信する検証を行った。
すると・・・
おなじ送信者IDで画面はそのまま。
正しく送られてきた本物のメッセージに続いて「偽メッセージ」が表示された。トレンドマイクロ社は、ある5社の送信者IDについて検証を行い、うち2社でこのような現象が起きたという。
それ以外は、送信者IDが別の名前になった、未送信になった、エラーになったという理由で、いずれも本物と同じ画面に「偽メッセージ」は表示されなかった。
――なぜ本物のSMSと同じ画面に表示できるの?
国際SMSの場合、送信者は送信者名を英数字の中から自由に設定可能ですが、受信側からすると送信元が「同じ文字列」のSMSメッセージは同一スレッド上に表示されてしまう仕組みになっています。
――すべてのスマホでこうなるの?
弊社で検証したスマートフォンの代表的な2機種(iPhoneとGalaxy)では、同様の現象を確認しております。世の中にあるすべての端末で同様の現象が発生するかは、検証が難しいためご回答できかねることをご了承ください。
「おかしいと思ったらメッセージ文面を検索して」
――「偽メッセージ」が見つかったのはいつ?
当社では2017年頃より確認しております。
――「偽メッセージ」による被害は出ている?
この手口に限定した被害については当社で把握しておりませんが、スマートフォンなどのモバイル端末からフィッシング詐欺サイトに誘導されている利用者数は、以下のグラフのとおりです。
――見分ける方法は?
正規企業からのSMSと同一画面に表示されるため、送信元で判別することは難しい手口です。
普段来ないような文言でメッセージが来たり、本文内のリンク(URL)に不自然な点が見られる場合は、すぐリンクをクリックするのではなく、一度メッセージ本文を検索サイトなどで調べてみることをお勧めします。同様の被害に遭っている方の書き込みやセキュリティ会社の注意喚起が見つかる可能性があります。
――そのほかに対策は?
上記の対策以外ですと、見た目上で判別することが難しい手口のため、不正サイトへのアクセスをブロックするようなセキュリティ製品の利用をお勧めします。
「偽メッセージ」は以上のような実際にある送信者を偽るものだけではなく、「Info」など一般的な文字列を使うケースもあるという。
「おかしいと思ったら要注意」「普段見ない文面に気をつけて」とは言われても、困ってしまう人も多いのではないだろうか。
今のところはっきりした基準がないようなので、今は「このような手口がある」ということを知っていただき、どうか皆さん気をつけて頂きたい。