近年、いわゆるインターネットのメールを用いたフィッシング以上の勢いで増加しているのが SMS 経由のフィッシングだ。「SMSフィッシング」「スミッシング」などと呼ばれるこの手法に対し、モバイル事業者はどのように対応しようとしているのだろうか。2022 年 11 月に開催された JPAAWG 5th General Meeting の「携帯キャリアによる SMSフィッシング(スミッシング)対策の最新情報」では、主要 3 事業者が取り組みを紹介した。
●マルウェア感染によって知らぬ間に自身が加害者に?
ソフトバンクの北崎 恵凡 氏によると、SMSフィッシングの規制に関しては、国内と海外とでギャップがあるという。
海外には、たとえば電話番号体系を整備してショードコードを割り当て、SMSフィッシング・スパムのレポート窓口を公式に設けている国もある。さらに、迷惑メールが届いたら簡単にレポートできるアプリなども整備されているというが、「日本で同じことをやろうとすると、まず番号整備が必要ですし、ソフトウェアを開発して使っていただかなければならず、それなりにハードルがあります」(北崎氏)。
海外で進むもう 1 つの対策が、発信者情報の表示や詐称の禁止だ。SMS の発信者として表示される情報は、実は自由に変えられるようになっており、それがなりすましメールやスミッシングを許す要因の一つとなってきた。そこで「国によっては、事前登録を義務付けたり、ホワイトリスト化をしないと送信を許可しない制度を設けています。しかし日本にはそういった制度や仕組みがないため、なりすましのし放題となっています」と北崎氏は述べた。
ただし、通信事業者では別の観点からの対策も検討している。海外から送られてくるスミッシングを防ぐ一種のゲートウェイをキャリア間に設ける方法だ。接続協定を結んだ事業者からの SMS は通しつつ、相手先のわからないグレーゾーンのメッセージをフィルタリングし、取り締まっていくアプローチも検討しているとのことだ。
だが残念ながら、SMSフィッシングによる被害は依然として拡大中だ。たとえば、宅配通知を装った SMSメッセージを経由してアプリのダウンロードを促し、端末に感染するマルウェア「MoqHao(モクハオ)」は数年前から蔓延し続けている。脅威インテリジェンスを提供する米Team Cymru社の情報を基に感染端末の位置情報をマッピングしてみると、「日本全国にダウンロードされて、非常に多く感染した状態に見えます」(北崎氏)という。同氏が独自に行った調査でもこの結果は裏付けられているという。
難しいのは、「MogHao に感染してしまうと、利用者が知らないところで勝手に SMS が送られてしまいます。受け取った側も普通の電話番号から送信されるため、なりすましとは気付きません」(北崎氏)という点だ。この問題に対しモバイル事業者は、「SMSフィルタ機能」をはじめとする対策機能を少しずつ追加しつつある。それも、法的な整理を経て、包括同意に基づき通信の秘密に抵触しない形でだ。
その具体策を、NTTドコモの三谷 咲子 氏と KDDI の小頭 秀行 氏が続けて紹介した。
●実は海外よりも多数を占める国内からの SMSフィッシング、多層防御で対策推進
NTTドコモではこれまで、国際網経由の SMS についてはファイアウォールを持つ中継事業者を選択し、グレーな事業者は排除する対策を実施してきた。さらに「国際SMS拒否」機能によって、フィッシングも含め海外からの SMSメッセージは受信しない選択肢も用意してきた。
だが残念ながらこうした対策は、北崎氏が説明した MoqHao のように、不正アプリに感染した端末を遠隔操作して送信される SMSフィッシングには通用しない。また SMSメッセージの配信を行う A2P-SMS配信事業者側は階層構造となっており、残念ながら「悪意を持った人」が紛れ込むケースも発生しているという。
こうした実情を踏まえ、三谷氏はちょっと衝撃的な数字を公開した。「国際SMS経由の危険SMS が多いと思っている方が多いと思います。しかし実際に NTTドコモが危険SMS拒否で検知したここ 3カ月のデータによると、国際網経由は 20 %に過ぎません。ほとんどが国内ルートとなっています」(三谷氏)
原因は、前述の不正アプリだ。北崎氏が示した通り、MoqHao感染端末は全国に多数存在している。携帯電話からの SMS送信には「一日に最大 200 通まで」と通数制限が設定されているが、それでも感染端末が 1,000 台あれば 1 日に最大 20 万通の SMSフィッシングがばらまかれることになる。
※2022年8~10月に危険SMS拒否により検知した通数により算出
「具体的には申し上げられませんが、NTTドコモに来ている分だけでも少なくとも 1 日に 20 万通以上は流れています。感染者数がどれだけいるのかとなると数えたくない状況です」(三谷氏)。これでは、いくら国際SMS を規制しても意味がない。
こうした背景から NTTドコモが 2022 年 3 月に開始したのが「危険SMS拒否」機能だ。どの網から送られてきた SMS も必ず通る場所に一種のファイアウォールを設け、個人情報の取得を試みたり、フィッシングサイトへの誘導、不正アプリのダウンロードを促す危険な SMS を止めていく。
ただし、「危険SMS拒否を開始してわかったことですが、攻撃者側もどんどん手口を変えてくるため、いたちごっこの状態となっています」(三谷氏)。とはいうものの、攻撃者に手間をかけさせ、コストを上げさせる効果はあるという。
多種多様な攻撃のすり抜けに備え、NTTドコモではさらに多層防御の一環として「あんしんセキュリティ(迷惑SMS対策)」の提供も開始した。ユーザーが個別に申し込む有料のサービスになるが、よりアグレッシブに迷惑SMS のフィルタリングが行える。ほか、あんしんセキュリティでは、万一リンクをクリックしてしまったとしても Webサイトへのアクセスをブロックする危険サイト対策機能(有料)や、マルウェアの感染を防ぐウイルス対策機能(無料)などを提供する。「SMS のばらまきに対しては、二段構成で対策を提供しています」(三谷氏)
一連の対策はどの程度効果を発揮しているのだろうか。ソフトバンクの北崎氏が、今回のイベントにも登壇したフィッシングハンターらのつぶやきや、URLhaus、JPCERT/CC などの情報を元に解析した結果によると、確かに効果は出ているように見えるという。
もちろん予断を許す状況ではまったくない。だが、手を変え品を変えてユーザーをだまそうとする手口に対し、「こういった情報を使ってきちんとテイクダウンするまでの一連のプロセスがきちんと実行されているかを確認しています」と北崎氏はコメントした。
●パッシブな対応に加え、「正当な送信元」を示す SMS共通番号制度をスタート
KDDI の小頭氏は、まず SMS や RCS(Rich Communication Services)といった携帯電話番号を使ったメッセージングサービス、いわゆる「電番メッセージ」の特徴から説明した。
現在広く利用されている SMS は、携帯電話番号さえ持っていればすべての端末に届くことから、海外では特に B2C のメッセージツールとして活用されている、二段階認証はもちろん、診察予約や宅配便の連絡といった業務連絡、クーポン配信など用途は幅広く、市場規模は 2 ~ 3 兆円とも言われている。国内でも同様に活用されてはいるが、市場規模は 150 億円 ~ 200 億円といったところだ。ただ、まだまだ成長の余地はあるという。
「SMS には、良くも悪くも電話番号さえあれば送れてしまうという手軽さ、テキストだけで済み準備が不要というシンプルさ、本人性といった利便性があるため、マーケットが広がっています。だからこそ悪意ある人が SMS に着目し、詐称やスミッシングが増えていると考えています」(小頭氏)
こうした状況に対し、キャリア各社は 2 つの側面から対策を進めている。
1 つは、楽天モバイルも加えた携帯キャリア 4 事業者が共同で開始する「SMS共通番号」制度だ。申し込みのあった企業を審査し、正しいと認められた企業に 10 桁の番号を払い出すことで、「なりすましではない正当な電話番号、正当な送信元である」というお墨付きをキャリアが与える活動だ。これは、正しいメッセージをきちんと受け取ってもらうための仕組みと言える。
もう 1 つは、すでに説明のあったものも含めたさまざまな迷惑SMS対策による、悪意ある SMS を手元に届かせない活動で、KDDI も SMSフィルタを導入する予定だ。
これに関して小頭氏は、「コンシューマーのお客様であろうと、企業や自治体、団体のお客様であろうと、同意や申告があってはじめてわれわれは法的な裏付けのある形で活動できますので、何か迷惑メッセージを受信したらぜひ報告ください」と呼びかけた。ネットワーク側やアプリ側での技術的な対策に加え、迷惑SMS を送ってくる事業者に送信停止を呼びかけるビジネス的な対策を進める上でも、ぜひ申告してほしいという。
ちなみに、講演後の質疑応答において、NTTドコモの三谷氏はさらに、「企業として正規な SMS を送る場合、どういったケースでどの番号からメッセージを送るのか、そして怪しいと感じたときにアクセスすべき正式な URL はどれかといった情報を、お客様の目に触れやすい場所で提供いただきたい」と述べている。過検知を防ぐ上でもこうした情報は有効だ。
SMS は数十年前のプロトコルであり、技術的にも拡張が難しい部分がある。そこで同じく電話番号をベースにした新たな仕様として「RCS」の策定が進んだ。これをサービス化したものが「+メッセージ(プラスメッセージ)」となる。この+メッセージにおいても SMS共通番号と同様に、事前にキャリアに申請し、オーソライズされた発信元であることを示す「公式アカウント」の仕組みを用意し、企業や組織が「なりすましではないことが証明された発信元」として活用できるようにしていくという。
「シンプルで便利な SMS と、ユーザー拡大に向けて課題はあるもののリッチで便利に使え、セキュアな RCS を中心に、フィルタや対策アプリといったパッシブな対応と利便性向上も含めた拡張を 4 キャリアで進め、便利かつ安全にしていきたいと思っています」(小頭氏)
JPAAWGでは、「JPAAWG 5th General Meeting」の講演資料を公開しています。
本レポートと併せてご覧ください。
・「携帯キャリアによる SMSフィッシング(スミッシング)対策の最新情報」 講演資料
JPAAWG 5th General Meeting について
・メールに悩む今だからこそ、一堂に会してよりよい対策の議論を
・ガラパゴス的な対策から脱却し、技術的に正しい対策を推進するヒントを得る機会に
