JC3(日本サイバー犯罪対策センター)が2019年6月14日に、SMSを用いたフィッシング詐欺「スミッシング」に新しい手法が確認されたという注意喚起の記事を掲載しました。
>JC3(日本サイバー犯罪対策センター)「通信事業者を騙るスミッシング詐欺の手法に係る注意喚起」
どういうことかと言いますと、
その内容は、正規通信事業者からのメッセージスレッドの中に、悪意ある第三者が「あたかもその通信事業者からの正しいお知らせを装って」メッセージを潜り込ませることができる、という手法です。
本体であれば、SMSはメッセージの発信者ごとにスレッドができるので、知らない相手からのメッセージは新たなスレッドになるので警戒でき、ユーザー側でも、「見知らぬスレッド内のリンクをクリックしない」、「見知らぬスレッドは廃棄する」など、対策できたのですが、今回確認された手法では、それを困難にするものです。
新手法のイメージ図(JC3当該記事より画像転載)
上のイメージ図をご覧ください。
このように正規通信事業者からのメッセージスレッドの中に、詐欺メッセージを表示させることができるので、ユーザーにとっては「怪しい相手からのメッセージは警戒し、リンクをクリックしない」、「スレッドを破棄する」といった対応がしづらくってしまいます。
JC3では、こういう手法が登場してしまった以上、それぞれのメッセージの中にあるリンク先アドレスが、本当にその通信事業者のドメインのURLかどうか、を確認するように、という注意を促しています。
ところがひとつ困ったことがあります。
通信事業者の中には、誘導したいリンク先のURLが長くなりすぎてしまうことを嫌って、「BITLINKS」などの短縮URL作成サービスを利用し、オリジナルURLを短くした短縮URLをリンク先としてメッセージに掲載するところもあるのです。
こうなると、ユーザーにはその短縮URLのリンク先が、本当にその通信事業者のアドレスなのかどうかの判断が全くできなくなってしまうのです。
今回のこの「スレッド潜り込み」手法が、SMSアプリ側のアップデートなどで排除されるまで、メッセージを配信する事業者側でも短縮URLを使用しない、などの対応が必要になるでしょう。