スミッシング攻撃とは何ですか?また、スミッシング攻撃を防ぐ方法は何ですか?

スミッシング攻撃とは何ですか?また、スミッシング攻撃を防ぐ方法は何ですか?

スマッシング攻撃には有害なテキスト メッセージが含まれており、個人や企業が金銭やデータを失います。

サイバー攻撃者は、テキスト メッセージを信頼するユーザーの傾向を利用し、恐怖や興奮を利用してテキスト メッセージを操作し、気付かないうちに瞬く間にデータを侵害します。

これを想像してみてください。メッセージをスクロールしていると、突然グランプリを獲得したというテキストが届きます。本当であるにはあまりにも出来すぎているように思えますが、不思議なほど説得力があります。

そのテキストに記載されているリンクをクリックしたくなります。完了すると、次に、一見無害なテキストから銀行口座が流出したり、個人情報が盗まれたりしたことにショックを受けることになります。

スミッシング攻撃の世界へようこそ – 増大する脅威により、最も精通した個人さえも不意を突かれています。

実際、2021 年の最初の 6 か月間だけで、スミッシング攻撃は世界中で700% も増加しました。

したがって、こうした操作的な戦術から身を守ることが、かつてないほど緊急に迫られていることがあります。

この記事では、スミッシング攻撃とは何か、その種類、そしてスミッシング攻撃から身を守る方法について詳しく説明します。

始めましょう!

コンテンツ 表示

スミッシングとは何ですか?

スミッシングとは
スミッシングとは

「SMS フィッシング」の略称であるスミッシングは、正当に見える有害なテキスト メッセージを通じて、ユーザーの信頼、恐怖、興奮、銀行口座を食い物にするサイバー脅威です。しかし実際にはそうではありません。

これらのテキストは、人々を有害なリンクをクリックしたり、機密情報を共有したりするよう誘惑します。

スミッシング攻撃の背後にある目的は、詐欺行為のために個人情報、金銭、さらには身元情報を盗むことです。

このタイプのサイバー攻撃では、被害者は何らかの賞品を獲得したこと、またはアカウント情報を緊急に更新する必要がある可能性があることを示すテキストを受け取ります。悪意のあるリンクが含まれている可能性があります。このテキストでは、そのリンクをクリックして賞品の利用やアカウントの変更などの次のステップを実行するよう求められます。

これらは、サイバー犯罪者が人々をだまして攻撃を実行するために使用するトリックであることに注意してください。

Statista の報告によると、2021 年と 2022 年に、世界中の驚くべき76% の組織が何らかのスミッシング攻撃に直面しました。この不安を抱かせる真実は、この脅威が広範囲に及んでいる性質を浮き彫りにしています。

安全を保つことは注意することから始まります。メッセージが本物であると確信できない限り、リンクをクリックしたり、個人情報を提供したりしないでください。メッセージの送信者を確認し、間違いや奇妙なリクエストがないか注意してください。銀行などの実際の企業は、テキスト メッセージでパスワードや機密情報を要求することはないことに注意してください。

モバイル使用量の増加とスミッシング: それは懸念事項ですか?

モバイル デバイスがすべての人の生活に不可欠な部分になっているため、スミッシング攻撃が発生する可能性はさらに高まっています。これは、個人であろうと企業であろうと、誰にとっても非常に懸念されることであることは間違いありません。

増大する-スミッシングの脅威-
増大する-スミッシングの脅威-

モバイル利用の増加に伴い、サイバー犯罪者は情報と金銭を悪用する有利な機会を発見しました。 2021 年には、米国だけで約878 億件の迷惑スパム テキストが電話番号に送信されました。これにより、人々は総額 100 億ドル以上を失いました。

今日、電話は銀行取引や社交などの業務に不可欠なツールとなっています。しかし、この継続的な依存は、人々をサイバー犯罪者が採用する操作戦略にさらすことにもなります。これらの攻撃者は、人々を何も考えずに衝動的な行動に移すよう誘惑する説得力のあるメッセージを送信します。

スミッシングの結果は衝撃的であり、銀行口座が流出し、データや個人情報が盗まれる可能性があります。このため、スミッシングは迷惑なだけでなく、経済的安全や個人のプライバシーに対する深刻な脅威であることを理解することが重要です。

携帯電話は私生活でも仕事でも欠かせないものなので、使用をやめられないのは当然です。しかし、常に情報を入手し、注意を払うことはできます。リスクを理解し、警戒を続けることで、欺瞞的なスミッシング攻撃から身を守ることができます。

スミッシング攻撃の種類

さまざまなタイプのスミッシング攻撃について学ぶことで、これらの悪意のある戦術を認識し、その餌食にならないようにするための知識が得られます。

それでは、さまざまな種類のスミッシング攻撃について見てみましょう。

フィッシング スミッシング

不正リンク
不正リンク

この伝統的な形式のスミッシングは、偽の Web サイトに誘導する有害なリンクをクリックするよう誘導します。これらのサイトは、銀行のサイトなど、正規のサイトと同一に見える場合があります。ここで、機密情報の入力を求められます。攻撃者はその情報を取得し、そのデータを使用して攻撃を展開します。

ビッシング・スミッシング

これはよりパーソナライズされたアプローチです。詐欺師はテキスト メッセージとともに音声通話を使用します。アカウントの侵害や不正行為について警告するボイスメールを残したり、SMS を送信して、番号に電話するかリンクをクリックするよう求めてくる場合があります。あなたがそうすると、彼らはあなたから個人情報を抽出します。

スミッシング賞

突然何かを勝ち取ると思うと、誰でも興奮するものです。サイバー犯罪者はこれを悪用して、賞品の受賞を祝福するようなメッセージを送信します。しかし、実際にはそのようなコンテストには参加したことがありません。

このタイプのスミッシング攻撃では、攻撃者は賞品を受け取るためにあなたの個人情報または「少額の手数料」を要求します。次に、彼らは最終的にあなたのお金とデータを持ち去ってしまうため、どこにも見つかりません。

金融スミッシング

ファイナンシャル~スミッシング~
ファイナンシャル~スミッシング~

これらのメッセージは多くの場合、正規の金融機関を模倣し、アカウント上で早急な対応が必要な不審なアクティビティを主張します。これを恐れて、提供されたリンクをクリックして、知らずにアカウントにアクセスしてしまう可能性があります。

緊急アクションスミッシング

これらのメッセージは、緊迫感を利用して、即時の行動が必要な一刻を争う状況について警告します。アカウントの更新、購入の確認、取引の確認など、これらのメッセージは、何も考えずにすぐに行動できるようにすることを目的としています。

アプリスミッシング

攻撃者は、人気のあるアプリ ストアからのものであると主張するテキストを送信し、アップデートまたは新しいアプリのダウンロードを促すメッセージを送信する可能性があります。ただし、リンクは偽のサイトにつながり、デバイスにマルウェアをダウンロードします。

フレンドシップ・スミッシング

この特に欺瞞的な手法には、友人や家族を装ったサイバー犯罪者が関与します。彼らは、あなたとの関係に対する信頼を悪用して、あなたに経済的援助や機密情報を要求する可能性があります。

トラベルスミッシング

旅~スミシング~
旅~スミシング~

詐欺師は、放浪癖を利用して、特別な旅行取引や、計画していなかった旅行の予約確認に関するテキストを送信する可能性があります。リンクをクリックすると、データの盗難やマルウェアのインストールにつながる可能性があります。

チャリティースミッシング

サイバー犯罪者は、災害や支援が必要なときに偽の慈善団体からメッセージを送信して、あなたの善意を食い物にします。彼らは寄付を求めていますが、そのお金が困っている人たちに届くことはありません。

セキュリティ警告スミッシング

これらのメッセージはセキュリティ侵害に関する懸念を利用し、アカウントが侵害されたことを示します。彼らは、直ちに行動を起こすか、OTP などの機密情報を攻撃者と共有するよう求めています。そして、それを行うと、彼らはあなたの銀行口座を空にするか、不正アクセスを取得して本格的な攻撃を実行します。

スミッシング攻撃の実例とその結果

これらの攻撃の実例とその恐ろしい結果を詳しく見てみましょう。

#1. 「銀行口座侵害」

銀行口座侵害 -
銀行口座侵害 –

あなたの銀行と思われる番号から、あなたのアカウントでの不正行為について通知するテキスト メッセージを受信したと想像してください。このメッセージは、リンクをクリックして詳細を確認するよう緊急に要求します。

何の疑いも持たない被害者は、このリンクをクリックして個人情報を入力します。すぐに、攻撃者は銀行口座にアクセスできるようになります。その結果、銀行口座は空になり、金融は混乱しました。

事例: ディーキン大学スミッシング攻撃は、オーストラリアのディーキン大学で起きた注目を集めたスミッシング事件であり、約 47,000 人の現在および過去の学生の身元とデータが危険にさらされています。この侵害は、1 人の職員の資格情報が侵害された後に発生し、権限のない個人が大学が学生との通信に使用する一括 SMS メッセージング サービスにアクセスできるようになりました。

#2. 「無料ギフトカード」詐欺

被害者はギフトカードや賞品を獲得したというメッセージを受け取ります。賞品やギフトカードを受け取るために必要なのは、個人情報を提供するか、少額の送料を支払うことだけです。受信者が情報を提供するか料金を支払うと、攻撃者は姿を消し、被害者を騙して個人情報を漏洩します。

事例: 政府機関のなりすましは、ギフトカード詐欺の実際の例です。社会保障局などの政府機関を名乗る詐欺師からの電話が個人にかかってきました。

この詐欺は 2021 年に大幅に増加し、連邦取引委員会 (FTC) によると、今年最初の 9 か月間で約 4 万人の消費者が 1 億 4,800 万ドルの損失を報告しました。 2018 年のこのような詐欺による損失額の中央値は 700 ドルでしたが、2021 年には 1,000 ドルに増加しました。高齢者、特に 50 歳以上の人は、これらの詐欺に遭いやすいことが判明しました。

#3. 「偽のアプリアップデート」の手口

偽のアプリのアップデート
偽のアプリのアップデート

人気のアプリをすぐに更新するよう求めるテキスト メッセージが届く場合があります。そうなった場合は注意してください。

テキスト内にあるリンクは、マルウェアに感染した偽のアプリにつながります。この悪意のあるアプリをインストールすると、銀行口座の詳細を含む個人情報が盗まれる可能性があります。さらに、デバイスが侵害され、ハッカーに制御される可能性があります。その結果、デバイスが侵害され、データが盗まれる可能性があります。

事例: ZDNet のレポートで、システム アップデートを装ったAndroid トロイの木馬マルウェア攻撃が発見されました。ユーザーはシステムのアップデートを促すメッセージを受け取りました。ただし、この「アップデート」をダウンロードしてインストールすると、リモート アクセス トロイの木馬として機能し、攻撃者が被害者のデバイスを完全に制御できるようになります。

これにより、メッセージ、写真、さらには GPS データを含む幅広いデータをキャプチャできるようになりました。このマルウェアは洗練されており、通話を録音することもできるため、最も侵入的な Android マルウェアの 1 つとなっています。

#4. 「IRS」の脅威

人々は内国歳入庁(IRS)から、延滞した税金の即時支払いや法的影響についての警告を求めるテキストを受け取った。これを恐れた被害者は、財務情報を共有したり、要求された支払いを行ったりして応じます。その結果、経済的損失が発生し、身元が暴露されます。

事例: 2022 年 9 月、内国歳入庁 (IRS) はIRS テキスト詐欺の急増について警告しました。詐欺テキストでは、偽の新型コロナウイルス救済、税額控除、または IRS オンライン アカウントの設定支援などの主張で被害者を誘惑することがよくありました。

注目に値する事件の 1 つは、税金を滞納しているため、税金を清算するには提供されたリンクをクリックする必要があるというメッセージを受け取った納税者に関するものです。クリックすると、個人情報や銀行口座情報を収集しようとするフィッシング サイトにリダイレクトされます。

#5. 「渡航確認」詐欺

被害者は、予約していない旅行の旅行確認書であると主張するテキストを受け取りました。興味を持ったユーザーは予約をキャンセルするためのリンクをクリックし、無意識のうちにデバイスにマルウェアをダウンロードしてしまいます。

このマルウェアは個人情報を盗んだり、ログイン資格情報を盗んだり、キーストロークを記録したりする可能性があります。これによりプライバシーが侵害され、潜在的な経済的損失が発生しました。

事例: 英国ケント在住のメヴォニー・ファーガソンは、 リアル・フライト予約詐欺の被害者であると報告されています。彼女は、Infinity Global Travel という旅行代理店を名乗る詐欺師に騙されました。彼女は、ロンドン発ジャマイカのキングストン行きの正規のブリティッシュ・エアウェイズの航空券と思われるものを販売された。

BAのウェブサイトで確認番号を使用して予約を確認したところ、有効であるようでした。しかし、購入から約 2 週間後、出発の数日前に、BA のサイトから予約が消えてしまいました。航空会社に連絡したところ、彼女の名前で予約されたフライトがないことがわかりました。詐欺師は「確認済み」予約と「発券済み」予約の違いを悪用し、実際には一時的な保留であるにもかかわらず、有効な予約であるかのように見せかけていました。

#6. 「ロマンス詐欺」

出典: クリスタルブロックチェーン
ロマンス詐欺-1
ロマンス詐欺-1

一部のシナリオでは、サイバー犯罪者はロマンチックな関係に興味があるふりをして、テキストメッセージを通じて被害者と感情的なつながりを築きます。信頼を確立することに成功すると、被害者を操作して個人情報や財務情報を共有させます。これは心痛、裏切り、経済的破滅を引き起こす可能性があります。

事例: サイバー犯罪者は、女性をロマンス詐欺に誘い込むために、国家安全保障局長官で米国サイバー軍司令官であるポール・ナカソネ大将になりすました。詐欺師は将軍の身元を利用して、ソーシャルメディアプラットフォーム上で女性たちと偽の電子メールでの会話を開始した。ある例では、詐欺師はシリアに駐留していると主張し、女性に宗教的なメッセージを大量に送りつけ、Google ハングアウト経由でコミュニケーションを取るよう促した。

スミッシング攻撃に対する予防策

スミッシング攻撃の影響は金銭的なものだけではなく、信頼を打ち砕き、プライバシーを侵害し、被害者に精神的な傷を残す可能性があります。

そもそもスミッシング攻撃の発生を防ぐ効果的な方法をいくつか掘り下げてみましょう。

#1.意識向上とトレーニング

今日の相互接続されたデジタル環境では、機密情報を保護するために従業員に知識を提供することが組織にとって不可欠です。

ID Agent のレポートによると、企業はスミッシング攻撃によって平均 15,000 ドルのコストに直面しています。財務上の影響は、チームの教育が緊急に必要であることを浮き彫りにしています。

意識向上とトレーニング
意識向上とトレーニング

ステルス性のサイバー脅威に対する防御を強化するには、スミッシングに関する包括的なトレーニングを優先し、組織全体に認識を広めます。これにより、誰もがこれらの悪意のある攻撃に備え、インテリジェントに対応できるようになります。

さらに、スミッシング攻撃に関する洞察を提供する定期的なワークショップに参加することで、従業員は正当なメッセージと潜在的な詐欺を区別できるようになります。疑わしいリンク、緊急の要求、または予期せぬ要求を識別する機能をスタッフに提供することで、貴社のスタッフは、これらの悪意のある試みに対する恐るべき障壁となります。

#2.送信者の身元を確認する

詐欺メッセージが受信トレイにシームレスに溶け込む可能性がある世界では、警戒を怠らないことが防御の第一線です。早急な対応を求めるテキストや機密データを要求するテキストを受信した場合は、送信者の資格情報を少し時間を取って精査してください。

送信者の番号または電子メール アドレスを再確認し、送信先とされる機関の公式連絡先詳細と一致していることを確認してください。正当な団体は、機密情報を要求するためにテキスト メッセージに頼ることはありません。

送信者の身元を確認することで、スミッシング攻撃の標的になる可能性が大幅に減少します。

#3.テキストメッセージには注意する

SMSに関する注意事項
SMSに関する注意事項

デジタル資産を保護するには、慎重なアプローチを電子メールからテキスト メッセージに拡張することが不可欠です。サイバー犯罪者は、テキスト メッセージの利便性と親しみやすさを利用してターゲットを操作することがよくあります。

したがって、知らない人からのメールの場合と同じように、すべてのテキスト メッセージに慎重に対処してください。送信者に心当たりがない場合は、すぐにリンクをクリックしたり、コンテンツをダウンロードしたりしないでください。メッセージをよく見て、奇妙に聞こえるか、予期せぬことを要求するかどうかを確認してください。

#4.モバイルデバイスの保護

このデジタル時代では、モバイル デバイスに大量の個人情報や機密情報が保存されているため、そのセキュリティを優先することが重要です。

スミッシング攻撃に対抗するための優れた対策は、指紋や顔認識などを利用する生体認証ロックなどの高度なセキュリティ機能を実装することです。これらは追加の防御層を追加し、全体的なデータ保護を強化します。

最適なセキュリティを確保するには、最新のセキュリティ パッチやアップデートを常に最新の状態に保つことも重要です。モバイル デバイスを定期的に更新することで、潜在的なサイバー脅威に対する強力な防御を確立できます。この事前対策により、悪意のある個人が悪用する可能性のある脆弱性から保護されます。また、セキュリティ デバイスに投資して、スミッシング脅威に対する堅牢な障壁を確立します。

#5.多要素認証を活用する

多要素認証 -
多要素認証 –

デジタル データを強化するには、多要素認証 (MFA) を実装することが強力な戦略です。 MFA では、パスワードベースのセキュリティに加えて、追加の検証層が必要です。これには通常、別のデバイスに送信されるコードまたは指紋スキャンが含まれます。

この複雑なセキュリティ フレームワークを組み込むと、アカウントに侵入しようとする潜在的な攻撃者の複雑さが増す可能性があります。それは、欺瞞的な試みからあなたを守る保護シールドとして機能します。

#6.強力なパスワードを使用する

携帯電話、コンピュータ、その他のデバイスには多くの個人情報が保存されています。データを安全に保つための簡単かつ効果的な方法は、各デバイスに強力なパスワードを使用することです。

文字、数字、記号、大文字と小文字を組み合わせた強力なパスワードを作成します。これにより、ハッカーがパスワードを推測することが困難になります。これは、潜在的なスミッシング攻撃者を阻止し、全体的なデジタル セキュリティを強化するのに役立ちます。

#7。スミッシング攻撃を報告する

情報を持った責任ある個人として、サイバー犯罪者との戦いにおけるあなたの役割は極めて重要です。事件を関係当局に報告することで、警察やその他の攻撃の犯人を逮捕するのに貢献することになります。

さらに、友人、家族、同僚にこれらの出来事を知らせることが重要です。団結して行動することで、有害なメッセージの配布を防止し、すべての人の安全を確保することができます。

#8.暗号化されたメッセージング アプリを使用する

暗号化されたメッセージング アプリ
暗号化されたメッセージング アプリ

機密情報を共有する必要がある場合は、暗号化されたメッセージング アプリを利用するのが賢明な決定です。これらのアプリケーションは、高度な技術を使用して、メッセージを、目的の受信者だけが理解できる暗号化言語に変換します。これによりメッセージが保護されます。

金銭取引や個人情報のいずれについて話している場合でも、暗号化されたメッセージング アプリはプライバシーのレベルをさらに高めます。これにより、適切な人だけがロックを解除してメッセージを読むことができます。また、友人や家族にこれらのアプリを使用するように指示すると、オンラインで会話する際に全員がより安全に会話できるようになります。

最後の言葉

詐欺師は、個人を騙して個人情報を漏らしたり、危険なリンクをクリックさせたりする手段としてテキスト メッセージを使用します。このため、今日ではスミッシング攻撃に対して常に警戒を続けることが重要です。

強力な防御を構築するには、チームをトレーニングし、送信者の詳細を確認し、テキストに注意し、デバイスを保護し、多要素認証や堅牢なパスワードなどの強力なセキュリティ対策を実装します。

さらに、不審なテキストを報告し、暗号化されたメッセージング アプリを使用してセキュリティを強化します。あなたの努力は、すべての人にとってより安全なデジタル世界に貢献することで、大きな変化をもたらすことができます。

次に、一般的な WhatsApp 詐欺とその準備方法を確認してください。

「スミッシング攻撃とは何ですか?また、スミッシング攻撃を防ぐ方法は何ですか?」についてわかりやすく解説!絶対に観るべきベスト2動画

【#122】 フィッシング脅威の全容発表、日本はスミッシングについての理解が大幅に低い
SMS詐欺(スミッシング)本文リンクをクリックしたらどうなる?