メールを中心としたメッセージングセキュリティの対策を検討・実施する国内の業界団体Japan Anti-Abuse Working Group(JPAAWG)が年次カンファレンスイベント「JPAAWG 5th General Meeting」を開催した。
ここでは11月8日に行われた、ソフトバンク株式会社の北崎恵凡氏(ソリューション運用本部)、株式会社NTTドコモの三谷咲子氏(営業本部国際サービス戦略国際サービス技術企画担当)、KDDI株式会社の小頭秀行氏(パーソナル事業本部サービス統括本部)による「携帯キャリアによるSMSフィッシング(スミッシング)対策の最新情報」の内容を紹介する。
北崎氏はスミッシングについて、宅配事業者からの連絡を装ったSMSの画面を例に紹介した。SMSは短文のメッセージなので細かい説明が行えないこともあり、スミッシングのメッセージにURLが記載されている。宅配事業者をかたるケースでは宅配業者アプリのインストールを促すが、実際の中身は「MoqHao」のようなマルウェアになる。
今回の説明で登場しているMoqHaoは日本でも多くの感染者が見つかっている遠隔操作のマルウェアの一つだ。MoqHaoは感染端末から(遠隔操作によって)SMSを送信する機能があるため、被害者が次の加害者になってしまう。
セキュリティ企業のTeam Cymruが感染者のマッピングをしたところ、日本にも多くの感染者がいたというレポートを出しているほか、北崎氏がウクライナのC&Cサーバーに接続している感染者を調査したところ、同様の傾向があることを確認しているという。
フィルタリングから見えてきたフィッシングの特徴
キャリア側の対策として、NTTドコモとソフトバンクはSMSフィルタリング機能の提供を今年から開始しているが(KDDIの小頭氏によると、2022年度中にauからも提供するという)、NTTドコモから見た実態と対応について三谷氏が説明した。
NTTドコモは「危険SMS拒否設定」を2022年3月24日から原則全てのユーザーに提供している。北崎氏は過去3カ月のフィルタリングから得られた数値として国際網からの送信は約20%、国内他網(KDDI、ソフトバンク、楽天)からが約70%、自網(NTTドコモ)が約10%と日本国内からフィッシングサイトなどへ誘導する「危険SMS」が多く送信している。(一部、意図的に送信している可能性もあるが)国内からの危険SMS送信の多くは先に紹介したMoqHaoのような遠隔操作の不正アプリに感染している端末があるためだ。
ここで言う危険SMSとはNTTドコモがフィッシングURLを入れていると判定したSMSに加え、特殊詐欺相手(偽の未払い請求や、カスタマーサポートからの連絡を偽る詐欺)と思われる電話番号を含むものと、NTTドコモ内では定義している。
NTTドコモの場合、端末から送信できるSMSを1日あたり最大200通に制限しているという。仮に1000台が感染していると20万通近い危険SMSが送信されると説明。具体的な数字は言えないとしたものの、実際に「(NTTドコモ網内からの危険SMSは)余裕で20万通(を超える数が)送信されている」とし、他キャリアからの危険SMSを含めると多くの危険SMSが国内網で送信されていると説明した。
危険SMS対策は犯罪者が手口を変えてきていたちごっこになっている一方、三谷氏は「(危険SMS対策を)包括同意でユーザーに提供しているため、かなりの規模感で止めており、攻撃者にコストを上げさせているところでは効いていると思う」と説明する。
危険SMS拒否設定によって一定の効果はあるものの、送信者側も手を変え品を変えて、対策をすり抜けようとする。このため、NTTドコモの危険SMS対策は多層防御で対応していると三谷氏は説明。
具体的にはNTTドコモが無料で提供する危険SMS拒否設定以外に「あんしんセキュリティ」のウイルス対策や迷惑SMS対策、危険サイト対策、プライバシー(個人情報がインターネットに流出したことを知らせるサービス)と有料のものも含めて紹介した。
これら全てのサービスを利用した場合、危険SMS対策をすり抜けたSMSがユーザーに到達しても、ウェブブラウザーのURLフィルターや(NTTドコモの)危険サイト対策機能の対応によって、ユーザーはフィッシングサイトにアクセスできない。URLフィルターをすり抜けた場合でも、マルウェアかどうかをウイルス対策ソフトがチェックする。偽ログインサイトによってクレデンシャル情報が盗まれ、その情報がダークウェブをはじめとするインターネット上で流出している場合にはユーザーに通知する仕組みとなっている。
三谷氏は「あんしんセキュリティで無料で提供しているウイルス対策はNTTドコモとNTTドコモ回線のMVNOを使うAndroidユーザーが利用できるので、ぜひ利用してほしい」と述べた。
なお、10月27日に提供を開始したあんしんセキュリティの迷惑SMS対策機能はネットワークでの遮断ではなく、「迷惑SMSであるか判別しにくい不審なメッセージ」をユーザー端末内のアプリケーション側で振り分けるという。このため、本当は正しいメッセージが間違って不審なメッセージとして振り分けてしまう擬陽性になるかもしれないアグレッシブな振り分けにしているが、出会い系や闇金融、偽当選通知、チェーンメッセージ、高額バイト募集などに誘導する「迷惑SMS」を強力にフィルタリングする。
日本の電番メッセージ市場の急成長に攻撃者が着目したか?
KDDIの小頭氏はSMSとRCS(Rich Communication Service:日本ではNTTドコモ、KDDI、ソフトバンクが「+メッセージ」として提供)をひっくるめた電番メッセージに関して説明した。
電番メッセージの世界的な市場規模は2~3兆円規模だが、日本は150億円市場でありまだ小さいものの、過去3年で4倍に成長しており、日本の成長度に悪意のある人が注目してスミッシングを増やしたというのが背景にあるという。
SMSは日本では主に認証や重要なお知らせなどの用途で使われているが、海外では、広告や販促のメッセージを送るB2Cコミュニケーションの手段としても定着しており、今後国内でも広告や販促へと利用が拡大するという。すでに国内4社で電話番号に変わる「共通番号」の導入が決まっており、キャリアが審査して付与される共通番号によって利用シーンの拡大が想定される。
また、国内ではNTTドコモ、KDDI、ソフトバンクがメッセージアプリ「+メッセージ」を提供しているが、同アプリはメッセージアプリにJPKI機能が加わっており、オンライン手続きでの本人確認手段に加えて、公共料金の案内や銀行の預金残高通知などの「本人限定メッセージ」に利用できるなど、電番メッセージのすみわけに関して解説した。
最後に「ユーザーとして危険SMS対策に協力できることはないか?」という質問に対し、三谷氏は一般ユーザーが不審なSMSを受信した場合は積極的に通報するよう促したほか、企業側は擬陽性対策として正当なSMSの送信元電話番号や「このような場合にSMSを送信します」という具体的な送信理由の告知を公式サイトでユーザーの目に触れやすい形で告知してほしいと回答していた。