モバイルバンキングユーザーを狙う「スミッシング攻撃」の手口とは：SMSでの緊急を煽るメッセージにご注意

　McAfeeのセキュリティ研究機関McAfee Labsは2017年8月14日（米国時間）、携帯電話のSMS（ショートメッセージサービス）を利用したフィッシング攻撃を発見したと公式ブログで明らかにし、その手口を解説した。

　SMSを活用したフィッシング攻撃は「スミッシング（Smishing）攻撃」と称される。米国のオンラインバンキングユーザーを攻撃対象に、「銀行口座が閉鎖されてしまうため、直ちにSMSに記載されているURLから手続きをしなければならない」という偽の通知を行うことでフィッシングサイトに誘導する。

偽のSMSメッセージ。「FRM」や「MSG」の文字列が使われ、URL文字列に金融機関名を含めて「誤認させやすく」している（出典：McAfee Labs）

　McAfee Labsは、偽のメッセージに「FRM」や「MSG」の文字列が使われていることから、2016年7月末に同社が発見したiOSユーザーをターゲットとしたスミッシング攻撃に似ているとしている。今回発見された攻撃では、クリックさせるURL文字列に金融機関の名称を含めて「誤認させやすく」していることが特徴という。

　このURLをクリックすると、実在する正当なオンラインバンキングサイトを模したフィッシングサイトにアクセスする。このサイトでは、偽の顧客識別プログラム（Customer Identification Program）を模して、ユーザー名とパスワードだけでなく、社会保障番号やクレジットカード番号、ATMの暗証番号なども要求する。入力時に「IDの正当性が確認されるまでアカウントが無効になり、オンライン取引が拒否される」などとユーザーを脅迫しながら、「上記の個人情報を入力すればアカウントのロックは解除される」と示すことで情報の入力を誘う。

顧客識別プログラムを装うフィッシングページ（出典：McAfee Labs）

追加の機密情報も要求する（出典：McAfee Labs）

　さらに、二要素認証を突破するために、SMSでユーザーに送られてくる正当なワンタイムパスワードも入力するように要求するのが手口のポイントだ。二要素認証コードを入力すると金融機関の正当なWebサイトにリダイレクトされるので、ユーザーは偽の顧客識別プログラムが正当な処理として完了したと思い込んでしまう。攻撃者は正当な二要素認証コードを入力して、ユーザーの全てのネットバンキングサービスにアクセスできることになる。

二要素認証のアクセスコードも要求する（出典：McAfee Labs）

　McAfee Labsは、「これまでのスミッシング攻撃を見てみると、攻撃者は不正アクセスを行うために、あらゆるタイプのユーザーアカウントをターゲットにしていることが分かる。このような脅威から身を守るには、不明な電話番号からのSMSメッセージを常に疑うこと。不審なリンクはクリックしないように注意すること」と注意を促している。