スミッシング対策 各携帯キャリアの対応と連携（JPAAWG講演レポート）

近年、サイバー攻撃は巧妙化を続けており、アタックサーフェス、攻撃の対象となる範囲は拡大しています。スマートフォンなどモバイルの領域も例外ではなく、昨今メールを用いた従来のフィッシングに加えて猛威を揮っているのがSMS経由のフィッシングです。「スミッシング」と呼ばれるこの手法は、宅配業者や金融機関を騙ったSMSを送信して不正なサイトへ誘導した上、個人情報を窃取したり、マルウェアをダウンロードさせるものです。
この脅威に、携帯電話キャリア4社（NTTドコモ、KDDI、楽天モバイル、ソフトバンク。以下、4社と記載）はどのように対応しようとしているのでしょうか。

2024年11月に開催されたJPAAWG（Japan Anti-Abuse Working Group） 7th General Meeting の中で携帯電話キャリア主要4社よる講演が行われ、各社の取り組みや、業界としての今後の活動について紹介しました。本記事は、2024年11月11日に開催された講演「SMSフィッシング（スミッシング）対策パネル」の内容を取材したものです。

スミッシングの流行とMNOの対策（楽天モバイル）

冒頭で楽天モバイルの本田氏がスミッシングの特徴とMNOの対策について紹介しました。

4社は、情報共有や対策の検討など共同で取り組みを行っていますが、きっかけは宅配業者を偽装したSMSの流行だったといいます。本田氏は宅配偽装SMSの特徴についてこう説明します。

「宅配通知を偽装したSMSは悪い人が直接送っているわけではなくて、一般ユーザーが意図せずに送信をしてしまっています。仕組みとしては、まず一般ユーザーのスマートフォン端末が何かしらの理由でマルウェアに感染します。その感染した端末が外部サーバーから指令を受けて、端末に登録されている宛先に宅配偽装SMSを送信するのです。そのSMSを受けとった別のユーザーがSMSに記載されている偽のリンクをクリックして不正プログラムをダウンロード、インストールするとその人がまたSMSを送り始める...といったかたちでどんどんSMSを送る端末が増えていくということが起きています」

ユーザー側での対処についても難しくなっていると本田氏は言います。

「外部から指令を受けて文面は頻繁に変更されます。メッセージの一部を登録することで受信を防ぐSMSのフィルタリングサービスは従来より提供していたものの、宅配偽装SMSではパターンマッチングでのフィルタリングができません。パターンが増えすぎてしまいます。また、送信元の電話番号も多岐にわたりますので、この電話番号を受けたくないという登録もできない。ユーザー側での対処が難しくなってきました」

各社同じ悩みを抱えている中で、4社は情報共有会を発足。各社は2022年頃からフィルタリング機能の導入を進め『デフォルトON（標準設定）』で提供する方針を取りました。実現には通信事業者特有の課題があったと本田氏は話します。

「主に法的なところの課題のクリアをしていくのに非常に時間がかかりました。通信の秘密を侵害しないように、総務省と調整をし続けながら条件を整理していきました」

丁寧に議論を重ねながら、ユーザーを守るフィルタリング機能の提供を開始したと言います。

能動的な通知で被害を減らす（NTTドコモ）

続いてNTTドコモの三谷氏が自社の取り組みを紹介しました。

「不正なSMSを送信しているのがマルウェアに感染した被害者であるということで、その送信者の方に対して、『もしかしたら、マルウェアに感染しているかもしれませんよ』というお知らせをするというサービスを2024年7月から開始しています。直接的に送信されている回線に対してアプローチをかける初めての試みとなっています」

実際に本サービスを開始してから、一部攻撃の停止が見られたとも話します。

さらに、それ以上の対応も検討していると言います。

「マルウェアに感染した方の中には、デフォルトSMSの権限を全部渡してしまっている方もいらっしゃいます。このデフォルトSMS権限を渡してしまうと、そもそも受信したSMSを見ることができなくなってしまっていますので、お知らせに気づいていない方もいらっしゃいます。なので、SMSではなくてお手紙を送ったりと、別のアプローチも検討していきたいと考えています」

SMS市場とよりアクティブな対応（KDDI）

KDDIの小頭氏は冒頭、SMSの市場の発展と攻撃の関連性を語りました。

「なぜ今悪意のある攻撃者がSMSに着目しているのかというと、SMSのような電話番号を使ったメッセージングサービスが、便利な媒体として日本市場において認知されるようになったからだと考えています」

さらに、SMS配信マーケットについて、次のように解説しました。

「SMSを中心とした電話番号を使ったBtoCの市場は世界的に2,3兆円と言われていて、携帯電話、特にスマホを持つ全ての人に届くことから、海外ではメールよりもメッセージングの主媒体になっています。例えば二段階認証に利用したり、店舗の予約やクーポンの配信なんかにもSMSを活用しています。日本の市場も年率成長率でいうと3割ぐらいで成長しており、24年度も引き続き大きく成長しています」

本田氏が説明したように4社ではフィルタリング機能を『デフォルトON』で提供していますが、ほかにも実施している対策があるといいます。

「フィルタリングはどちらかというとパッシブ（受け身）な防御ですが、そういったものだけに限らず、業界的な取り組みをいくつか行っています。まず、『SMS共通番号』というSMS専用の番号を、携帯電話キャリア4社で制定して統一化しています。キャリアが利用企業を審査して番号を払い出すため、なりすましを防止することが可能です」

さらに『RCS』というSMSの次世代版というべき新たな規格も登場しているといいます「『RCS』は送信元の識別として、番号だけではなく『公式アカウント』の枠組みを利用しています。共通番号と同様にキャリアが事前に審査をして、かつアプリ上で企業ロゴやその説明文あるいはSNSでよく見るチェックマークのようなものも提示しています。このように、お客さまに見えやすいかたちで送信元が安全であることを示す試みも行っています」

「KDDIのみならず4社が連携して各種対策をしており、お客さまと企業を電話番号で安心安全につなぐというものをミッションに取り組んでいます。パッシブ的な対策としてネットワーク側でフィルタリングを行っていますが、マーケットにダイレクトにアプローチするという、よりアクティブなやり方として『SMS共通番号』や『RCS』に取り組んでいます。電話番号をキーにお客さまと企業、自治体が安心してコミュニケーションできるような世界を目指しています」

感染端末へのアプローチと業界の取り組み（ソフトバンク）

最後にソフトバンクの松崎が講演を締めくくりました。ソフトバンクもドコモのように送信元に対してのアプローチを行っていると言います。

「現在、SMSは1日に200通しか送れないことになっているのですが、1日の送信が一定数を超えたユーザーに対して『意図していない送信をしていませんか』というお知らせSMSを送信しています。まずは1カ月に1回だけ通知をするように始めていますが、データを見るとお知らせ通知が一部送信を抑制していると見られ、効果が出てきているのかなと考えています」

さらに松崎からは業界全体のルール策定についても説明がありました。

「配信する企業側としては正しくSMSを配信したいという思いがあって、キャリアとしては正しいSMSだけを通して怪しいものを止めたい。それが正しいかどうかをお客さまが判断することが困難な状況になっていますので、これを解決できるような業界ルールというのを策定していきたいと考えています。まずは、配信者の特定という観点で共通番号の利用を促進していく。2つ目は、共通番号をユーザーに開放して、この番号がどこの企業から来たのかというのが分かるようにする。あとは、例えば無償で使えるような短縮URLを利用しない、というような配信内容についても考えていきたいと思っています。今後、4社と、さらに関係者とも協議しながら決めていきたい思います」

まとめ

本講演では、スミッシング対策の現状や業界全体の協力体制が語られました。『デフォルトON』のフィルタリング機能や送信元の特定といった取り組みは、スミッシングに対する有効な手段として期待が寄せられます。

モバイルを狙う攻撃は日々巧妙化を続けており、より包括的なセキュリティ対策も重要です。ソフトバンクでは、企業向けにスミッシングをはじめとした脅威からデバイスを守るモバイルセキュリティソリューションとして『Zimperium』を提供しています。万が一キャリア側の対策をすり抜けてしまった場合でも、攻撃をリアルタイムで検知し対処することが可能です。ご興味がある方は併せてご確認ください。

関連記事リンク

関連サービス

関連セミナー・イベント

同じカテゴリーの記事をみる