従来、詐欺サイトやウイルス(マルウエア)配布サイトに誘導する常とう手段はメールだった。だが最近ではスマートフォンの普及を受けて、SMS(ショートメッセージサービス)を使う手口が急増している。「メールでもSMSでも変わりない。注意していれば大丈夫」と思う人は少なくないだろうが大間違いだ。SMSには知る人ぞ知る恐ろしい仕様があるからだ。
偽の不在通知が猛威に
SMSの偽メッセージでユーザーを偽サイトに誘導する手口はSMSフィッシングやスミッシングなどとも呼ばれる。
2018年以降、SMSの偽メッセージが大きな被害をもたらしている。特に多いのが宅配便の不在通知に見せかける手口である。佐川急便をかたる手口が猛威を振るい、その後ヤマト運輸や日本郵便などを名乗る手口が出現した。
今でもこの手口は盛んに使われている。例えばフィッシング対策の業界団体であるフィッシング対策協議会は2020年7月、フィッシング詐欺サイトに誘導する新たな偽SMSを報告した。コロナ禍で宅配便の利用が増えている現在、不在通知に見せかけるのは効果的だ。
偽の不在通知に限らず、今後もSMSを使った詐欺は次々と出現するだろう。というのも、SMSには恐ろしい仕様があるからだ。正規の企業から送られてきたメッセージの中に、偽のメッセージを紛れ込ませることができるのだ。
スレッドが同じでも送信者が同じとは限らない
スマートフォンなどのSMSアプリは、同じ相手からのメッセージは同じスレッド(送信者ごとの画面)内に連続して表示する。
一見、LINEなどのメッセージアプリと同じように思えるが、実は大きな違いがある。SMSアプリは、メッセージごとに設定されるある文字列を基にどのスレッドに表示するのかを決めているのだ。送信元そのものを識別しているわけではない。
この文字列は送信者IDやSender IDなどと呼ばれる。送信者IDが同じなら異なる相手からのメッセージでも同じスレッドに表示される。メッセージアプリでは発生しない現象である。
しかも送信者IDは送信者が自由に設定できる。つまり、正規の企業が使っている送信者IDと同じ文字列を設定すれば、偽メッセージをその企業のスレッドに表示させることができるのだ。
実際、この方法を使った偽メッセージによる被害が発生している。セキュリティー組織の日本サイバー犯罪対策センター(JC3)は2019年6月、注意喚起を公表した。
JC3は、正規のメッセージに混じって偽のメッセージが同じスレッド中に表示される可能性があることや、メッセージに記載されたURLに安易にアクセスしないことなどを呼びかけた。
