そのSMS、開いて大丈夫？　攻撃者が「スミッシング」に目を付ける理由：詐欺メールよりも“効果的”な攻撃

　私用スマートフォンが狙われた場合でも、スミッシングは企業全体に被害を及ぼし得る攻撃手法だ。攻撃者は、侵入したスマートフォンから業務用の認証情報を抜き取ったり、スマートフォンをマルウェアに感染させて企業の社内LANへの侵入経路を設けたりする恐れがある。

　メールを使うフィッシングについては、企業のセキュリティ研修をはじめ、危険性を認識する機会がある。このような機会を通じて、メールのリンクをクリックすること自体が危険であるという意識が、従業員に根付きつつある。一方スミッシングに関しては、理解の醸成や対策はフィッシングよりも手薄であり、「迷惑SMS」は「迷惑メール」ほどの知名度がない。そのため、SMSメッセージの開封率はメールよりも高くなりやすいという見方があり、攻撃者にとっては効率的な攻撃方法となっている。

　SMSで送信可能な文字数はメールよりも少ないため、不審な点があっても気付きにくい。これも、SMSメッセージの開封率を上げる要因だ。

　スミッシングの課題は、既存のセキュリティツールでは防ぎづらいことにある。SMSメッセージは企業の社内LANを経由せず、モバイル回線を通じて送信者から受信者に直接送信されるので、社内のセキュリティツールでフィルタリングすることが困難だ。

　発生したスミッシングを検出できるツールは存在する。ツールを活用することで、従業員を標的としたスミッシングの攻撃パターンを特定し、対策を取ることは可能だ。従業員が不審なSMSメッセージを受信した際に、情報を転送できる専用の窓口を設けている企業もある。ただし、これは事後対応であるため、根本的な予防策とは言いにくい。

スミッシングを未然に防ぐ対策は？

　スミッシングを未然に防ぐためには、従業員研修で以下の内容を共有し、スミッシングとその対策に関する情報を周知することが重要だ。

スミッシングを防ぐための訓練

　テスト用のSMSメッセージを使って、従業員に訓練を実施するのも一つの策だ。

　訓練では、荷物の配送状況を追跡するための追跡番号や、パスワード再設定用のリンク、勤務先の総務部から書類が届いたという情報など、現実的な内容を含めたSMSメッセージを用意する。社内で使用しているツールや外部のサービスを使ってSMSメッセージを従業員に送信し、リンクをクリックしたかどうかを記録する。リンクをクリックした従業員には即時に通知を送信し、訓練であることを理解してもらう。

　定期的に訓練を実施し、毎回異なるフォーマットのSMSメッセージを用意することが重要だ。毎回同じような内容のSMSメッセージを送信したり、同じような時間帯に送信したりすれば、従業員はそれが訓練だと見抜いてしまう。本物と誤解してしまうSMSや訓練を組み立てることが鍵となる。

　訓練で不合格となった従業員の情報は記録しておき、どの従業員がスミッシングの被害を受けやすいか、傾向を明らかにする。これによって、訓練の内容をより効果的なものにすることが可能だ。