迷惑メールやフィッシングメールへの対策は、フィルタリングなどの技術だけでも、また一社だけの努力でも実現できるものではない。メール送信側の企業やサービスプロバイダー、そして政府など、業界全体にまたがるコラボレーションが必要だ。
なりすましメールに関しては、政府や関連ベンダーの積極的なはたらきかけにより DMARC導入が増加するなど、着実に対策が進んでいるが、それに入れ替わるかのように最近急増しているのが SMS を使ったフィッシング、いわゆるスミッシングだ。宅配会社や金融機関、さらには公共機関など、実在する組織をかたった SMSメッセージを送って受信者を偽のサイトなどに誘導し、個人情報を詐取しようとする。
去る 10 月 23 日に開催された「スミッシング対策の現状と今後の展望」では、総務省の総合通信基盤局 電気通信事業部 利用環境課 課長補佐である田中 星良 氏と、メールおよびメールセキュリティに関連するプロフェッショナル集団である TwoFive がスミッシングの現状と対策について解説した。
TwoFive からは、スミッシングの特性、スミッシング増加の背景にあるサイバー攻撃の分業化などが解説され、また、海外、国内のキャリアに導入実績のある世界有数のスミッシング対策ソリューションも紹介された。
田中氏からは、総務省が取り組んでいる法的整備、迷惑SMS の通報制度などが解説され、民間の取り組みなども紹介された。
●見た目では区別できないフィッシングを見破る「DMARC」
まず TwoFive のシニアコンサルタント、桐原 健一 氏が「スミッシングの手口と海外の対策の実例紹介」と題して昨今の動向を紹介した。
あらためて説明するまでもないが、フィッシングメールとは、実在する金融機関や ECサイトなどの企業・組織の名前を騙り、もっともらしい理由を付けてユーザー名やパスワード、クレジットカード番号といった重要な個人情報を盗みとる手法だ。Webブラウザの警告機能などさまざまな対策が講じられているにもかかわらず、フィッシングの被害は増加の一途をたどっており、特にコロナ禍以降は顕著になっている。
桐原氏は「最近のフィッシングメールは非常に巧妙化しており、正当なメールと並べて表示しても、一般の方には見分けるのが困難になっています」と指摘した。
このように、見た目だけでは区別が困難なフィッシングメールを見破る手法として注目されているのが「DMARC」だ。DNS を活用し、自社をかたったなりすましメールを受け取った際の扱いをあらかじめ宣言しておき、DMARC の認証に失敗したメールについてはそのポリシーに従って処理することで、なりすましメールを見分けられるようにする技術だ。
この一年あまりで DMARC導入の機運は一気に高まった。総務省と警察庁、経済産業省の三省が連名で、クレジットカードを取り扱う企業に対し DMARC の導入を要請したほか、NISC がまとめた「政府機関等のサイバーセキュリティ対策のための統一基準群」においても DMARC対応が明記された。加えて、米Google および Yahoo! が新たなメールガイドラインを公表し、5,000 通以上の大量のメールを送信する事業者に対して DMARC設定を求めたことで、普及は加速している。
また、DMARC の次のステップとして、「BIMI」(Brand Indicators for Message Identification)にも期待が寄せられているとした。「BIMI は、DMARC で認証が成功したメールに対し、送信者の保有するロゴを表示する技術規格です。受け手にとっての視認性が高まり、フィッシングを見分けやすくなる効果が期待されています」(桐原氏)
●入れ替わりで増加してきた、マルウェア感染端末から送られるスミッシング
このようにフィッシングメールに関しては着実に対策が進んできたが、入れ替わるかのように最近急増しているのが SMS を使ったフィッシング、いわゆる「スミッシング」だ。電子メールを用いたフィッシング同様、宅配会社や金融機関、さらには公共機関など、実在する組織をかたった SMSメッセージを送って受信者を偽のサイトなどに誘導し、個人情報を詐取しようとする攻撃だ。
スミッシングの送信元は主に 3 つ挙げられる。(1)海外の SMSアグリゲーター、(2)日本よりも制限の緩い海外のスマートフォンや複数の回線が利用できる SIMボックス、そして(3)国内の端末だ。「最近主流の送信経路が、マルウェアに感染してしまった国内のスマートフォンです。国をまたいで送信されることも多く、ユーザーの申告による発見が遅れることもあります。海外への SMS送信に使われることもあり、その場合、契約者に高額の請求がなされる恐れもあります」(桐原氏)
スミッシング増加の背景には、サイバー攻撃の分業化がある。マルウェアに感染した国内のスマートフォンをボットネット化して提供する事業者や、スミッシングメッセージを送信する事業者といった具合に分業と産業化が進んでいるという。
では、なぜここに来てスミッシングが増加しているのだろうか。桐原氏はいくつかの理由を挙げた。
「一つ目は到達性の高さです。迷惑メールに対するフィルタが一般的な電子メールとは異なり、SMS はかなりの確率で手元に届く傾向にありました。また電子メールの世界では DMARC をはじめとする発信者情報の詐称を防ぐ技術がありますが、SMS では今のところ、業界全体で発信者情報の詐称を防ぐ規格はありません」(桐原氏)
加えて、国内ではキャリアをまたいでの SMS ができなかった時期があったことも相まって、電子メールに比べると、SMS ではスパムの流通が相対的に低調だった。結果として、SMS に対する利用者の信頼性が高く、警戒心が薄いことも一因だという。
さらに、電子メールでは長い戦いを通して、迷惑メールの存在や脅威をいち早く申告し、業界全体で情報を有して対策に生かす枠組みが整備されてきたのに対し、SMS ではそうした仕組み自体がまだ未整備であることも要因の一つと考えられる。
こうしたスミッシングの文面を信じてクリックしてしまうと、二つの被害が考えられる。
一つは、フィッシングサイトへの誘導による個人情報の詐取だ。このフィッシングサイトは単なる偽サイトではない。正規サイトへのプロキシとして動作し、セッション情報をそのまま転送するため、ユーザーには気付かれにくく、その一方でバックグラウンドで ID やパスワードなどの個人情報が攻撃者に盗みとられてしまう。
もう一つの攻撃手法はマルウェアのインストールだ。感染すると C2サーバ経由で攻撃者から遠隔操作が可能になってしまい、今度は自身がスミッシングを送信する立場になってしまう。「国内のパーソン ツー パーソン(P2P)ルートで送られる迷惑SMS は、こうした手法でマルウェアに感染させられた端末が踏み台になるケースが非常に多くあります」と桐原氏は警鐘を鳴らした。
しかし、対策はなかなか思うようにいっていない。まず、スミッシングはフィッシングに比べ、本文の文字数が少ない上に、メールヘッダーに相当する情報も多くはない。つまり判断材料として利用できる情報が少ないため、メッセージ検査が非常に困難であることが特徴だ。
また、SMS送信には費用がかかる。攻撃者は、経済的な利益をいっそう追求して元を取るため、攻撃の成功率を高めるために洗練されたフィッシングサイトを用意したり、多段のリダイレクトを用いて次々に URL を変更し、監視・検知機構を回避する傾向にあり、単なる広告目的の配信は非常に少ないという。
こうした特徴を持つスミッシングは、今やフィッシングと同様に危険な存在だ。一体どのように対策すべきだろうか。
「マルウェア感染端末がスミッシングのインフラとして悪用されるケースも多々あるため、多段フィルタによる防御と、悪用されているマルウェア感染端末のテイクダウン、誘導先URL情報の迅速な収集とフィルタという三つの対策が必要になります」と桐原氏は述べ、そのためにも、攻撃キャンペーンの早いタイミングで利用者からのフィードバックを受け付け、攻撃手法や経路を把握することが非常に重要になるとした。
海外では、そうしたフィードバックの枠組みが整備されつつある。たとえば米国では、キャリア横断で利用できる「7726」番を通報窓口として用意し、不正な SMS を受け取ったときにメッセージを転送し、フィードバックできる「スパムレポーティングサービス」が運用されている。特に Android端末の場合、タップするだけで 7726 にスミッシングメッセージを転送できる「レポートスパム」機能がデフォルトで備わっているほどだという。
これに対し日本国内では、スミッシング情報をフィードバックする仕組みの整備はこれからの課題だ。
TwoFive ではそうした議論を後押しするとともに、Cloudmark のコンテンツフィルタを用いてスミッシングのフィルタリングを行う「Cloudmark Security Platform for Mobile」や、攻撃者が攻撃に用いるドメインや Webサーバ、SSL証明書といったリソースを準備する段階でそれぞれ検知を行い、実際にキャンペーンが始まる前に早期検知を行う「PHISHNET/25」といったサービスを提供し、被害を未然に防ぐ取り組みを推進していくとした。
●特殊詐欺対策の一環として、いっそう強力かつ迅速な対策を政府も推進
総務省の田中氏は、「スミッシング、そしてフィッシングメールは、送られてこない日がないくらい非常にありふれたものになってきました。それに伴って被害も非常に拡大しています」と述べ、被害防止に向けた政府、そして総務省の取り組みを紹介した。
キャッシュレス決済や SNS が普及する中、オレオレ詐欺や SNS を介した投資・ロマンス詐欺など、特殊詐欺の被害は加速度的に拡大しており、2023 年の被害額は 490 億円に上った。また、SNS型投資・ロマンス詐欺被害は 450 億円、フィッシング詐欺被害は 87 億円となっている。フィッシング被害は数字こそ少ないが、増加率は高い。
こうした背景から政府の犯罪対策閣僚会議は 2024 年 6 月、4 つの柱からなる「国民を詐欺から守るための総合対策」を決定し、強力かつ迅速な対策を進める姿勢を明らかにした。迷惑メール・迷惑SNS対策は、このうち一つ目の柱である「被害に遭わせない」対策の一環という位置づけだ。
具体的には、DMARC の対応促進によるフィッシング対策、スミッシングメッセージの申告受付や周知啓発の推進、マルウェア感染端末の特定・警告といった取り組みを通した SMS の不適正利用対策などが挙げられている。特に DMARC については、当時の岸田総理自ら、送信ドメイン認証技術として DMARC の導入促進を進めていく旨の発言があったことは記憶に新しい。
●「通信の秘密」との法的関係も整理済み、いっそう積極的な DMARC対応を
政府全体のこうした方針を受け、総務省もさまざまな取り組みを進めている。
前提として田中氏は、昨今の迷惑メールの状況を紹介した。依然として迷惑メールはメール全体のうち四割程度を占めている。以前は多数を占めていた国内からのメールに代わり、最近は中国や米国発のものが多くを占め、内容は出会い系や物販の広告・宣伝が多いという。フィッシングメールも増加の一途をたどっており、特に 2023 年は、どの月も、前年度よりフィッシング報告件数が増えており、月によっては 10 倍以上になっている。
こうした状況を踏まえて総務省では、制度面、技術面、そして普及啓発など、さまざまな角度から対策に取り組んでいる。
かねてから取り組んできたのが「特定電子メールの送信の適正化に関する法律」、いわゆる特定電子メール法だ。2000 年代、一方的に送りつけられる広告・宣伝メールが問題になったことを背景に策定された法律で、原則として受信者の同意を得ることとし、拒否した場合は再送信を禁じることを求めている。
総務省はさらに、特定電子メール法に実効性を持たせるため、日本データ通信協会が運営する迷惑メール相談センターで、迷惑メールに関する相談や情報を受け付ける枠組みを整備してきた。迷惑メールの送信者には、申告に基づいて警告や報告徴収、立入検査、措置命令を講じることがある。また、電気通信事業者も、当該配信者への役務提供を拒否することが可能だ。
こうした制度面での整備と並行して、迷惑メールやフィッシングメールの危険性を周知し、注意を呼びかける広報活動にも力を入れてきた。日本データ通信協会を介した広報活動に加え、2008 年に官民連携で設立した迷惑メール対策推進協議会でも、迷惑メール白書や DMARC の導入マニュアルを発行するなど普及促進活動を展開している。
技術面で特に推進しているのが、桐原氏の講演でも触れられた DMARC だ。「DMARC は送信側と受信側が協調して認証を行い、ポリシーに基づいたアクションを実施する技術であり、フィッシングメール対策に有効ということで、さまざまな企業で取り入れられています」(田中氏)
ただ、電気通信事業者の立場からは、DMARC の導入がいわゆる「通信の秘密」を侵害する行為に当たるのではないかという懸念があった。これに対し総務省では、「大量送信される迷惑メールによって生じるサービス遅延などの支障を減少させるために実施する場合には、正当業務として認められ、違法性が阻却できる」と法的な整理を行っている。これを踏まえて田中氏は、「法的な問題点についても整理されているので、ぜひ ISP には積極的な導入を図っていただき、送り手となる企業側の方々にも DMARC技術を取り入れていっていただきたいと考えています」と呼びかけた。
田中氏は質疑応答の中でさらに、DMARC は導入したものの、監視のみにとどまる「none」というポリシーで運用している組織が 75 %に上っていることにも触れ、隔離や拒否といったより強固なポリシーにしていくことも必要だと述べた。そして、DMARC認証に成功した場合に、画面上にブランドのロゴマークを表示する BIMI についても、「このメールは正しい送り手から送られたものだと一目でわかるようになっており、こうした技術の活用も検討してほしい」とした。
●感染端末の特定とユーザーへの注意喚起によって、スミッシングを絶つ取り組みも
もう一つの課題が、桐原氏も言及したスミッシングだ。「SMS の利用は非常に増えています。電話番号がわかれば送信でき、手軽なことから、プライベートな連絡のためだけでなくビジネスでの利用もかなり普及しています」(田中氏)。そして、残念ながらそれにともなって、スミッシングによるクレジットカード番号の盗用やインターネットバンキングにおける不正送金被害といった形で、SMS の犯罪利用も増えてしまっている。
田中氏も「実は私自身もスミッシングに引っかかってしまったことがあります。配達事業者を装うショートメッセージで、土曜日の朝に受け取ったこともあり、情報を打ち込んでしまいました」と言っており、ユーザーが気をつけても引っかかってしまうほど手口が巧妙になっているのが実情だ。
総務省ではスミッシングに対し、「不適正利用に関するワーキンググループ」を設置し、特殊詐欺対策の一環である本人確認強化と、スミッシング対策の二本柱で対策を議論してきた。
桐山氏が説明したとおり、SMS の配信経路は、国内の携帯電話、国内の SMS配信事業者、そして海外の通信事業者の三つがある。「スミッシングがどこから送られてきているかを分析したところ、国内の携帯電話端末でマルウェアに感染した端末が主な発信源になっていることが明らかになってきました」(田中氏)
特に Android端末の場合はサイドローディングが可能となっており、知らず知らずのうちに誘導されてアプリをインストールしてしまい、マルウェアに感染する恐れがある。後は攻撃者の指令に従って別のユーザーに SMS が送られてしまうという具合に、「無自覚のうちに攻撃の踏み台になっています」(田中氏)
この状況を改善するため、総務省はマルウェアに感染した端末を特定し、無意識のうちにスミッシングを送信していたユーザーに注意喚起を行うことで被害を食い止める取り組みについて検討を始めている。もちろん、この方策だけですべての問題が解決するわけではないが、「これは力強い対応策になると思っています。タイムリーに介入し、マルウェアがほかの端末に広がるのを防げますし、注意喚起によってユーザーのセキュリティ意識も少しずつ高まっていくことを期待します」(田中氏)
留意したいポイントは、DMARC の場合と同様、ワーキンググループの中で、通信の秘密との関係性について法的な整理が行われていることだ。「感染端末の特定と注意喚起のプロセスは、どうしても通信の秘密に抵触してしまいます。その場合は、同意を取ることが有効であろうと考えています」(田中氏)。総務省がまとめた報告書では、具体的にどのような同意を取るべきかの要件もまとめているため、通信事業者には、こうした情報を参照し、感染端末への注意喚起を進めてほしいとした。
桐原氏も説明し、ワーキンググループでもまとめられているとおり、海外においては感染した端末を特定してマルウェア削除を進める取り組みがいくつか展開されている。イギリスやニュージーランドでは政府機関が、またアメリカでは業界団体の CTIA が主導する形で、受信した迷惑SMS やスミッシングを共通窓口に転送し、トラフィックを分析した上で悪用を阻止する枠組みが運用されてきた。また、同意の取り方に関するガイドラインの策定や、周知啓発活動も展開されている。
特に米国での「7726」への転送制度について、「『スミッシングを受け取ったら、SPAM の頭文字である 7726 という番号に転送すればいい』と、利用者が迷わない仕組みになっていると思います」と田中氏は評価している。結果として、「アメリカのベライゾンでは毎月、10 億通以上の不正メッセージをブロックしています。また、悪意あるリンクをクリックせずにフィッシングやスミッシングを報告する人が 20 %に上るという数値もあり、周知啓発が少しずつ効果をもたらしているようです」(田中氏)という。
その上で田中氏は、国内でも同様にキャリア各社と協力しながら対応を進めていくとした。
並行して、受け取った側がスミッシングと正規のメッセージの区別を付けやすくするため、SMS よりも多くの文字数や画像を送信できる「リッチコミュニケーションサービス」(RCS)や、審査を通過したアカウントに認証マークを付与できる「+メッセージ」、どの通信事業者でも同一の番号が表示され、送信元の企業・組織を認識しやすくする「キャリア共通番号」といった取り組みを推進することで、より安心してメッセージを受け取れる環境作りを進めていきたいという。
「SMS が一見して本物か偽物かがわかるようになれば、被害に遭う人も減っていくのではないかと思います。共通番号や、ブランドロゴを示す BIMI のような対策が実現でき、どこの企業から届いたメッセージかがわかり、信頼できるかどうかを判断しやすくなる仕組みが整えば、意義のあるものになると思っています」(田中氏)
そしてあらためて、ワーキンググループで策定した「マルウェア感染端末の特定・警告の推進」「スミッシングメッセージの申告受付の推進」「業界ルールの策定」「周知啓発の推進」という四本柱を通して、SMS の不適正利用を食い止めていきたいとした。
さらに質疑応答の最後には、なりすましメールを受け取る側だけでなく、自社・自組織になりすまされる側の視点でも対策に取り組む必要性を訴えた。「メールを送る際、自社がなりすまされる可能性があることを念頭に置き、『我々が個人情報の入力を求めることはありません』と Webサイトで周知したり、DMARC をはじめとするさまざまな技術やサービスを活用したりと、ぜひ対策を進めていってほしいと思います」(田中氏)
