目次
Threats

スミッシングとは何ですか?

目次

SMS(ショートメッセージングサービス)と フィッシングを組み合わせたもので、攻撃者が個人情報や機密情報を得るために送信するテキストメッセージを指します。スピアフィッシングと同様に、スミッシング攻撃は、ユーザーを騙してリンクをクリックさせ、ターゲットシステムへのアクセスや マルウェアの寄託に使用される ログイン認証 情報などの機密情報を提供させることに依存しています。

エンドポイント保護に必要な10の要件についてご紹介します。.

この攻撃方法は、電話番号の収集のしやすさ、スマートフォンの普及、従来の電子メールよりもテキストメッセージの方が信頼性が高いと推測されることなどから、最近人気が高まっています。電子メールには任意の数の文字や特殊文字を含めることができますが、世界中の電話番号は、米国の3-4-3の10桁パターンなど、特定のパターンに従っており、攻撃者はさまざまな組み合わせを試したり、特定の範囲に発信したりすることができます。さらに、電話番号はソーシャルメディアと関連付けられていることが多いため、見つけやすいと同時に、攻撃者にとってはスミッシングの試みをよりパーソナライズしたものにするための情報源となります。

詐欺師もまた、ユーザーと携帯電話の関係によって成功しています。外出中であれ、他のことに気を取られているときであれ、ユーザーはスマートフォンを信用したり、メッセージを注意深く読むよりもざっと読んだりする傾向があります。スミッシングや一般的なフィッシング詐欺から身を守るには、電話番号を精査し、メッセージを注意深く読み、見慣れないリンクを決してクリックしないことが重要です。

フィッシングについてもっと知る

 

スミッシングを見破る方法

残念ながら、どのようなデバイスに対してもフィッシング攻撃は後を絶ちません。サイバー犯罪者がクレジットカードやログイン情報などの機密情報を狙っているにせよ、SMSフィッシングはモバイルユーザーにとって備えが必要な脅威です。

よくあるスミッシング攻撃は、銀行サービスを狙ったものです。正規の金融機関を装ったこのようなテキストメッセージは、被害者がよく考えずにログインするよう促すため、時間的な余裕があるように見せかけることがあります。

被害者に警告するテキストメッセージの例
図1:被害者にアカウント侵害を警告し、提供されたリンクからサインインするよう促すテキストメッセージのサンプル

この種のメッセージに対処する最善の方法は、リンクをバイパスして直接銀行にアクセスすることです。銀行のウェブサイトにアクセスするか、アプリにログインするか、あるいは最寄りの支店に電話して、銀行口座に問題がないかどうか確認してください。

スミッシング攻撃のもう1つの例は、多要素認証(MFA)を利用したものです。攻撃者はユーザーにクレデンシャル・テキスト・メッセージを送り、サインインを促します。ハッカーはこれらのページを、ユーザーが慣れ親しんでいる 本物のクレデンシャル・サイトの ように見せかけます。

被害者を励ますメールのサンプル
図2:本人確認を行うため、提供されたリンクからサインインするよう被害者に促すテキストメッセージのサンプル。

このような攻撃では、ユーザーは慎重に考えなければなりません。最近何かにサインインしましたか?これが本人確認の通常の方法なのでしょうか?銀行と同様、直接問い合わせて確認するのが一番です。一部の攻撃者がMFAを利用している一方で、MFAの追加セキュリティは依然としてサイバー犯罪に対する非常に重要な防御であることに注意することが重要です。

図3は、ある社員が受け取ったスミッシング・メッセージに基づいた現実的な例です。

スミッシング未遂のスクリーンショット
図3:見知らぬ番号と不正なリンクが強調表示されたスミッシング未遂のスクリーンショット

 

スミッシュされない方法

前述したように、スマッシュされないための最善のテクニックの一つは、受信したテキストメッセージに批判的であることです。見慣れないリンクは決してクリックせず、見知らぬ番号からの変なメールに返信する義務も感じないでください。米国でスミッシングのメールを受け取った場合は、 reportfraud.ftc.govに報告することができます。

セキュリティ専門家にとって、ユーザー教育を実装することは重要です。フィッシングやスミッシングの見分け方をトレーニングし、テストすることで、フィッシングが成功する可能性を大幅に減らすことができます。

さらに一歩進んで、このパズルのもうひとつの重要なピースは、組織全体で ゼロ・トラスト・ スタンスを採用することです。暗黙のうちに信頼されるべきものは何もないということを理解した上で、自分の環境を監視することが重要です。 エンドポイントの検知と対応(EDR)の ような製品は、広範な可視化と 機械学習(ML)ベースの検知を提供し、リアルタイムの脅威分析を実現します。EDR製品は、自動化ベースの脅威対応のための セキュリティ・オーケストレーション、自動化、および対応(SOAR) プラットフォームと組み合わせることができます。

エンドポイントセキュリティとネットワークセキュリティの連携について詳しくはこちらをご覧ください。

Sign up for a Cortexのデモに 申し込んで、XDRと XSOARが お客様のセキュリティ体制をどのように改善できるかをご確認ください。

関連コンテンツ

  • フィッシングとは?

    フィッシングは、今日の脅威の状況で人気のある攻撃です。

  • エンドポイントセキュリティとは?

    エンドポイントとは何か、エンドポイントをどのように保護するのが最善なのかを探ります。

  • Cortex搭載XDR

    セキュリティチームがCortex XDRのパワーでどのように効率的にインシデントをトリアージし、バックログに対処しているかをご覧ください。

  • セキュリティ・オーケストレーションの理解

    セキュリティ・オーケストレーションの基本、基本的なニーズ、ベストプラクティス、ユースケース、SOCの成長を促進する主要トレンドについて学びます。

最新ニュース、イベント情報、脅威アラートを配信