スミッシングの結果送り込まれるマルウェアが進化
今回は、スミッシングに焦点を当てたいと思います。特に、最近確認されているスミッシングでは、ユーザーの操作なしに自動で起動されるアプリが配布されるという事例が確認されています。今後より注意が必要になるため、今回は、こちらをご紹介させていただきたいと思います。
1.スミッシングとは?
スミッシング(Smishing)とは、攻撃者がショートメッセージ(SMS)を使い、標的になった受信者がURLリンクをクリックするよう仕向け、個人情報を送信させたり、スマートフォンに悪質なプログラムをダウンロードさせるフィッシングの一種です。
以前からある攻撃の手法ですが、最近確認されたのは、マルウェア「MoqHao」の亜種で、これまでの「MoqHao」ではアプリのインストール後にユーザーが手動で起動する必要がありました。今回確認された亜種は、インストール後にユーザーの操作なしに自動で起動します。
Androidにおけるスミッシングの流れは以下のようになります。
①宅配便業者などを名乗るSMSを受信します。
「荷物の再配達に関してご確認ください。https://xxxx.xxx」のような内容
②URLをクリックするとアプリのインストールを求めるダイアログが表示
例)Google Chromeのアップデートや、宅配業者のアプリのようなメッセージ、iPhoneの場合、Apple ID等の入力を求めるメッセージ
③インストールすると、自動でアプリが実行され、端末の権限を取得する画面に遷移する
④権限を許可してしまうと端末情報の詐取や不正なSMSの配信などが行われてしまう
このマルウェアはバックグラウンド(画面上は動作していない状態)で動作することで、ユーザーが気が付かない間に、端末内の情報を搾取したり、不正なSMSの配信源となるため、感染に気が付かないケースもあります。
2.スミッシングの被害に合わないために
スミッシングの被害に合わないためには、何よりも「不審なSMSのリンクをクリックしない」に限ります。
特に攻撃者は、クリックさせやすいような、宅配業者などを装うケースが多く見受けられます。届くはずの荷物があるとなれば、余計にクリックしたくなるものです。ただ、宅配業者からの連絡で、アプリをインストールさせるようなことは、ほぼありません。
知っている宅配業者であれば、SMSのリンクをクリックせずに、検索サイトなどで検索し自分宛ての荷物を確認するなど、別の方法を取るべきです。SMSから誘導されるURLはクリックしないというのが、極端ではありますが最も効果的な対策となります。これは、iPhoneでもAndroidでも同様です。
また、マルウェア自体のインストールをしているのは、ユーザーです。URLをクリックしてしまっても、インストールさえしなければ、攻撃を防ぐことが可能です。誘導されたURLは、GooglePlayなどの正規のアプリストアではありませんので、正規のアプリストア以外のアプリはインストールしないといったことで感染を防止することができます。
セキュアブレインでは、モバイル端末から不正なサイトへのアクセスを検知する技術を持っています。アプリの提供側(企業)としても、セキュリティのオプションをつけることで、よりユーザーへのアピールも可能ですので、セキュリティ面で差別化をしたい企業さまは、ぜひお問い合わせください。
これから新生活シーズンで宅配業者などを利用する場面も多くなりますが、より一層注意しましょう。
