Apple のチャットボットに扮した SMS フィッシング詐欺

「SMS は今も使われているの? しょせん、時代遅れの平文テキストメッセージではないの? まして、サイバー犯罪者が着目するようなサービスではないはず」と思われるでしょうか。

ところが SMS はまだまだ健在です。それどころか、その単純さと利便性を理由に広く使用されています。

ショートメッセージを送信する汎用的なサービスとして、SMS の右に出るものはありません。流行りのスマートフォンから格安のプリペイド携帯にいたるまで、あらゆる端末がテキストメッセージを受け取ることができます。

そのため、6 桁のログインコードや「宅配ピザのドライバーがあと 2 分で到着します」といったメッセージを送るだけの目的ならば、SMS をビジネスに使用することは極めて合理的です。

しかし残念なことに、正規のビジネスに役立つサービスは、サイバー犯罪においても同様に有効活用されています。それゆえ、SMS をフィッシングに利用する詐欺は後を断ちません。このような攻撃はスミッシング (Smishing) として知られています。

SMS が詐欺師にとって都合がいい理由はお察しの通りです。

まず、160 文字という字数制限のおかげで、不慣れな外国語で書かれた長いメールにありがちな文法ミスや奇妙な文体が露呈しにくくなります。

また、ビジネスで使用する SMS ではスペース節約のために URL 短縮サービスが使用されることも一般的 であるため、犯罪者が短縮 URL を挿入したとしても不自然ではありません。

URL 短縮サービスは、https://brandname.​example.com/​pizza-order.html?​lang=en-US のような、長くても意味が分かりやすい Web アドレスを、https://xx.test/ABXt のように、短縮された意味が分かりづらいフォーマットに変換し、その分 SMS で使用できる文字数を増やしてくれます。ただし、その代わりにリンクの遷移先が明確ではなくなります。

短縮リンクにマウスオーバーをしても、リンクは実際のアクセス先である Web サイトを表示するだけで す。リンク短縮サイトは Web サイト名の後ろに付く文字列をインデックスとして使用して (上記の例では ABXt) 実際の遷移先を調べ、HTTP 応答 301 Moved Permanently を返して、次の遷移先をブラウザに指示します。そのため、最終的にどこに遷移するのかを知るには、まずリンクをクリックして、短縮サービスのサイトを経由しなければなりません。

SMS のシステムは、URL、ともすればインターネットと関係なく機能することができます。

携帯電話の OS は、SMS のテキストを URL だと認識できさえすれば、自動的にクリック可能なテキストに変換します。

スミッシングにおいて詐欺師が短縮 URL を使用するのは、スペース節約のためではなく攻撃のためですが、それが不自然に見えることはありません。

その結果、電子メールであれば不自然に見える短い文や、SMS 以外であれば不審に思える偽装リンクが含まれたテキストメッセージも、SMS で表示されると驚くほど自然です。

そのわかりやすい例が、今週初めにソフォスが受け取ったこの SMS です。(我々はクリストファーではありませんし、北アイルランドのデリーにも住んでいません。住所が半端なところで終わっていますが、実在する住所であり、より本物らしく見せるために地図から選んできたと思われます。)

ただいまクリストファー様にお荷物を配達中です。住所:Londonderry, Ballynagard crescent
http コロン スラッシュ スラッシュ xxxxxxxx ドット com スラッシュ zzzzzzz

このメッセージは、間違った番号に送られたかのように装っており、受信者の興味を惹いてクリックさせ、「逆に確認したくなる」心理をあざとく利用して先へ進ませる仕組みになっています。

この詐欺では、まず偽の Apple 社のチャットボットが、なぜ受信者が (正確には、受信者に、なぜ「クリストファーが」) 幸運にも iPhone 12 のトライアルに選ばれたかという理由を告げ、受信者を (正確には、「クリストファーを」) トライアルに招待します。

リンクは本物のように見えますが、青字の部分はテキスト中でクリック可能な箇所を示しているだけで、リンク先の真の URL ではありません。

この時点ですでに SMS メッセージアプリではなくブラウザーに移行しているので、マウスオーバーをすれば、偽物のリンク先を調べることができます。(スマートフォンの場合は、リンク先が表示されるまでリンクをタップ & ホールドしてください。)

しかし、警戒していなければ、この「クリストファー」が実際に Apple のプレリリース企画に関与していると思いこんでしまうかもしれません。

もしクリストファーに成り代わってプロモーション受けたら

では、クリストファーを装ってクリックするべきではない理由とは何でしょうか。

1 つには、氏名と住所を入力して身元を「証明」する必要があります。しかし、当然ながら詐欺師は親切にもその情報をテキストメッセージに記載しており、この「テスト」を簡単にクリアできるようにしてあります。

次に何が起こるかはご想像のとおりです 。

上記画像の 3/5 における氏名、住所などの回答は、結果に一切関係がありません。ソフォスでは多くの異なる組み合わせで回答をしてみましたが、どの組み合わせでも通過することができました。これらの設問は、単に本来「クリストファー」宛であった SMS と繋がりがあるように、もっともらしく見せるためのものです。これはまるで、犯罪者の方が被害者に対して自身の身元を「認証」しているかのようです。

上記のようにクリックして質問に答えていくと、最終的に詐欺サイトにたどり着きます (何度も試してみた結果、いくつかの類似したバリエーションがありました)。そのサイトでは、「無料」のスマートフォンの配送料として 1 ポンドから 2 ポンドが徴収されると記載がありました。

最終的に表示されるクレジットカード支払いフォームを注意して見ると、信頼できそうな名前が記載されており、HTTPS の南京錠マークも表示されていることから、「特別オファー」用の Web サイトに見えます。

言うまでもありませんが、「少額だから」と配送料を支払おうとして情報を入力すれば、カード番号やセキュリティコードを含む個人情報を、みすみす詐欺師に渡す結果となります。

どの程度の影響があるか

ほとんどの人が最初から詐欺であると判断できるのであれば、これは果たして大きな問題なのでしょうか。

答えは「大きな問題です」です。

友人や家族の中に、詐欺を見分けられるかどうかわからない人や、「クリストファー」の名前と住所を要求するリバース認証の手法に引っかかってしまいそうな人がいる、という方も少なくないはずです (詐欺被害に遭ったことのある高リスクな親族がいる、という方もいるでしょう)。

友人であれば、その人を詐欺から救うべきです。あなたのサイバーセキュリティの知識を信頼している友人から「これをクリックしたらどうなる?」と聞かれた場合には、実際にクリックして見せるのではなく、上記の短いビデオを見せて、この詐欺の具体的な手口を教えてあげてください。

対策

  • 無料でスマートフォンがもらえることなどありません。仮にもらえるとしても、クレジットカード情報を提供し、1 ポンドを支払う必要などないはずです。タダで何かをもらえるわけでなく、こちらが何かを差し出しているのに、何ももらえない、というのが実態で、さらに犯人はその情報を悪用してきます。少しでも不審な点があれば、話に乗らないようにしましょう
  • 手掛かりに目を凝らす。今回の詐欺でも、スペルミスや視覚情報のミス が多数見受けられます。ミスを列挙して犯罪者を手助けするようなことはここではしませんが、もし仮に無料のスマートフォンがもらえると思い込んでいたとしても、不自然な点が多くあります。すべて特定することはできないかもしれませんが、詐欺を見破れるよう慎重に調べてください
  • リンクは確認してからクリックする。もしリンクが不正であるように見えたら、それはリンクが不正である、ということです。スペルミスや文法ミスが無かったとしても、詐欺師は自らの管理下にある Web サイトに被害者を誘導する必要があります。 時間をかけさえすれば、そのリンクが偽物であると判断できます。詐欺師が時間制限を表示して焦らせてきても、慌ててクリックしないでください
  • Web フィルターの導入を検討する。会社のネットワーク上にネットワーク Web フィルタリングが導入されているのは、監視のためではなく、インターネットを安全に使用するためです。攻撃者の侵入を阻止し、パスワードやペイメントカード番号といった重要な情報の漏洩を防止するのに有効です。企業 VPN (仮想プライベートネットワーク (リンク先: 英語)) をセットアップすれば、自宅からアクセスするユーザーでも社内ネットワークを通じて安全に Web を閲覧し、オフィスの LAN と同等の保護を享受することができます。