1 月 13 日、株式会社NTTドコモとソフトバンク株式会社は、フィッシング詐欺などを目的とした SMS(ショートメッセージ)への本格的対策を今春を目途に開始するとそれぞれ発表しました。
同日、一般財団法人日本サイバー犯罪対策センター(JC3)は、警察庁長官官房サイバーセキュリティ・情報化審議官主催の私的懇談会である「サイバーセキュリティ政策会議」の議論を踏まえ、フィッシングサイトに関する情報提供を NTTドコモに対して行い、同社のスミッシング対策に協力すると公表しています。
近年、なりすましや危険なサイトへの誘導など、SMS を利用したフィッシング詐欺等が増加しています。一方で憲法に定められた通信の秘密など法的な壁も存在し、対策は容易ではない現状があります。
日本を代表するメッセージングとメールセキュリティの専門企業 株式会社TwoFive は、こうした現状に対し、誰かひとりのプレイヤーの頑張りではなく、政府やキャリア、セキュリティ業界が一枚岩となって協力する対策の必要性を訴え続けてきました。
TwoFive 代表の末政延浩さんに、スミッシングの脅威実態と、対策が難しいポイント、そして海外の先進的な対策事例について話を聞きました。
●確実に増加している SMS を利用したフィッシング「スミッシング」
「荷物をお届けにあがりましたが不在でしたので持ち帰りました。下記よりご確認ください」——携帯電話のショートメッセージサービス(SMS)でこんなメッセージが届き、URL をクリックするとそれと知らずに偽サイトに誘導され、不正なアプリのインストールを促される——この 2 ~ 3 年というもの、こうした手口のサイバー攻撃が増加している。いわゆる「スミッシング」だ。
実在する企業やサービスの名前をかたってメールを送信し、本物そっくりに作った偽サイトに誘導して個人情報の登録を促したり、マルウェアのインストールを試みる「フィッシング」は、もはや不正アクセスの常套手段と言っていいだろう。今もなお、ランサムウェアや標的型攻撃のトリガーとして、また他の不正アクセスの足がかりとなるクレデンシャル情報を詐取する手段として広く使われている。
スミッシングは、これをインターネットの SMTPメールや携帯電話のキャリアメールではなく、SMS で展開する「モバイルのフィッシング」だ。
たとえば、フィッシング対策協議会の最新の報告によると、モバイルキャリアをかたりフィッシングサイトへ誘導するスミッシングの報告は、2021 年 11 月に比べ約 3 倍に増加しているという。こうした事態を受け、JPCERTコーディネーションセンターでは、「モバイル端末を狙うマルウェアへの対応FAQ」をまとめ、注意喚起するに至っている。
長年メールセキュリティに携わってきた TwoFive は、PC 向けのフィッシングと比例するように、SMS を使ったスミッシングが増加していると指摘している。それも単調な増加ではなく、サイバー犯罪者側がキャンペーンを仕掛けるタイミングでスパイク的に急増しては収束し、また別のスパイクが来る、といった、特徴的な傾向が見られるという。
しかもバリエーションも増加している。宅配会社の名前をかたるパターンにはじまり、携帯キャリアの名前をかたるもの、有名 ECサイトの名前や金融機関をかたるものなど、さまざまな手口が報告されている。最近はパスワードだけに頼る認証だけでは不十分だとして、SMS を用いた二段階認証を採用する Webサービスが増えているが、それを逆手に取る手口もあるという。
●日本で猛威を振るう「MoqHao」、少しずつバージョンアップの形跡も
中でも、日本で多数報告されている攻撃が「MoqHao」とその亜種だ。宅配アプリなどを装って不正なアプリのインストールを試みる手口で、もしインストールしてしまうと、電話帳の情報を攻撃者が操る C2サーバに送信したり、フィッシングサイトを表示してさらなる被害を招こうとする。中には、感染した端末を踏み台にして、さらにスミッシングのメッセージを勝手に送信するケースも報告されている。
MoqHao は 2018 年の登場以来、バックドア機能を通じて、ブログや Instagram などに記されたアドレスを読み取って攻撃者がコントロールする C2サーバと通信し、情報を盗み取ったりするという基本的な部分は変化していない。ただ、画面キャプチャをはじめより多くの情報を取得できる機能が追加されたり、セキュリティ研究者による解析や検知を困難にする難読化が高度化するなど、マイナーバージョンアップは継続的に行われている模様だ。また当初は Android向けの Chromeブラウザを偽装していたが、最近では宅配業者やコミュニケーションアプリなど、ローカライズされたアプリを偽装する手口も見られるという。
TwoFive だけでなく海外で攻撃を監視しているセキュリティリサーチャーからも、日本・韓国・中国など主にアジア地域で MoqHao が活発に活動していることが報告されている。なお、マルウェアを解析すると中国語の表記が含まれていることから、攻撃者が中国語話者の可能性は高いと考えられる。
ちなみに、ヨーロッパやニュージーランドでは「FluBot」という、同じように SMS経由で Android に拡散するボットが報告されている一方で、米国ではそれほどではない、という具合に、リージョンごとに異なる傾向が見られるという。ここは、Emotet や Locky といった特定のマルウェアがグローバルに拡散する PC のマルウェアの世界とはちょっと異なる点だ。
●SMTP とは異なる SMS の特質に起因する、スミッシング対策の困難さ
増減を繰り返しながらも基本的には右肩上がりの傾向にあるスミッシングへの対策は待ったなしの状況だ。ただ TwoFive によると、単純に「こんなソリューションを導入すれば解決できる」といった類いのものではないという。
まず、スミッシングでダウンロードされてくるマルウェアが、どんな通信先と、どんな通信を行っているかをキャプチャして解析しようにも、携帯キャリアが提供する SMS経由で通信が行われるため、法的な側面も含めて困難がつきまとう。
また、SMTP のメールならば、メールヘッダーにさまざまな情報が含まれているため、それを元にしてフィルタリングすることができるが、SMS ではヘッダーやエンベロープ情報が非常に少なく、情報量は通常のメールの 100 分の 1 程度にとどまるため、本当の送り主をたどるのが難しい。当然ながら、DMARC をはじめとする送信ドメイン認証技術も適用が難しい。MoqHao に感染したスマートフォン端末が踏み台となってさらにスミッシングを送信する場合も、送信元に基づくフィルタリングは困難だ。
その上、SMS は本文が短く、その分、受け取った側が嘘を見破る手がかりも少なくなる。粗雑な作りで一見して偽メールと見破れるメールもないわけではないが、フィッシングメール同様、巧妙に作り込まれ、専門家でもなかなか見分けが付かないものも少なくない。その上送信元の詐称も可能なため、エンドユーザーに「不審なメッセージに注意してください」「ドメイン名をよく確認して見分けてください」と呼びかけるだけでは限界がある。
現実的な選択肢として、既存のテクノロジをある程度流用しながら、通信事業者(キャリア)側や OS側で SMS のフィルタリングを行うことが落とし所ではないかと TwoFive は提言する。
●自助だけでなく、業界全体での情報共有を通した「共助」が対策の鍵に
SMSフィルタリングを実現するには、技術的なソリューションだけでなく、業界全体で新たな枠組み作りに取り組む必要がある。どのようなスミッシングが流通しているかを把握しなければ、不審なメッセージをきちんと見分け、止めていくことはできない。そのために、まずユーザーの協力を得てフィードバックを集める必要がある、というわけだ。
すでにその前例がある。たとえば米国では、不審な SMSメッセージがユーザーの手元に届いたら専用の番号(特番)に転送してもらい、フィンガープリントを収集して事業者によるフィルタリングやブロッキングに活用するエコシステムが整備されている。またニュージーランドでは同様の枠組みを政府が主導して整備し、対策に取り組んでいるという。
これには、日本のように SMTP をベースとしたキャリアメールではなく、以前から SMS が携帯電話のメッセージングとして広く使われてきた海外特有の事情もあるだろう。
日本では携帯電話の普及期から、SMS よりも、SMTP をベースにしたキャリアメールが広く使われてきた。このため迷惑メールもまずキャリアメールを狙い、だからこそキャリアや ISP、セキュリティ事業者が協力してキャリアメールでの対策を進めてきた歴史がある。
一方、SMS での対策となるとまだこれからという状況だ。ただ少なくとも、事業者それぞれの努力だけに頼るのではなく、業界全体で情報を共有し、対策を推進していくことが、安心してメッセージングを使える世界の実現には欠かせないということだけは明らかだ。
すでに、メールのセキュリティに関するコミュニティである JPAAWG では、スミッシングに関する情報共有を実験的に進められないかという議論が、いくつかの通信事業者を交えて始まっている。また NTTドコモとソフトバンクでは 2022 年春に、危険なサイトの URL などを含んだ迷惑SMS の受信を拒否する機能の提供を開始することを発表するなど、少しずつ歩みが始まっている。
これまでメッセージングのセキュリティは、自助も重要だが、業界全体にまたがる共助を通して実現されてきた側面が大きい。同じことがスミッシング対策についても言えるだろう。法律面の整理など議論すべき論点は残るものの、業界全体が一体となって進み出すことに期待したい。
TwoFive セミナー情報
・最新のマルウェア情報をセキュリティベンダーのリサーチャーが解説
・世界の状況やEmotet,Moqhao,FluBotなど国内でも猛威を奮っているマルウェアの実態を解説
日時:2022年3月3日(木)11:00~12:00
会場: Webセミナー形式(Zoom)
https://www.twofive25.com/seminar/20220303_latest_malware_information.html
