「SMSishing」と呼ばれる,ショート・メッセージング・サービス(SMS)を悪用するフィッシング攻撃がある。これは,口座を開いている銀行など,信用できる発信元から届いたと思わせるSMSメッセージで始まり,詳しい個人情報を教えるよう求められる(関連記事:ハッカーと銀行がモバイルで再会)。SMSishingは数年前から行われているが,筆者の同僚数人に届いた最近の事例は攻撃の手口を説明するのによい機会だ。
今回の場合,まず攻撃者は一度に大量のSMSメッセージを送信できる自動サービスを使い,以下のようなメッセージを送った。
FRM:3106******@*********.com
MSG:H*****FCU Notice: Please contact us immediately at 6366******
または
FRM:F**
SUBJ:Alert
MSG:F****** Alert. Unusual activity - Call now at 1-(888)3**-****
上記2例では,銀行の名前と電話番号を伏せ字にした。この種のメッセージはたいていどこかの銀行をかたる同じパターンに沿っており,「至急問い合わせる必要がある」といった内容が多い。記載されている電話番号に連絡すると録音メッセージが流れ,デビット決済可能なカードの番号と暗証番号など,詳細な情報を聞かれる。要求通り情報を入力すると,「ありがとうございます」と言われ電話が切れる。その後,自分の銀行口座からお金が引き出されるのに大した時間はかからないだろう。
我々が実際に試したところ,こうした情報自動収集システムのなかにはカード番号の有効性を確認しているものがあった。例えば全部「1」にしたいい加減な番号は受け付けられず,実在する番号(最初の数ケタ)と正しい確認番号(最後の1ケタ)は入力できた。
洗練されていない攻撃もある。例えば,複数の電話からダイヤルすると話し中になる電話番号があった。つまり,この電話番号は一度に1回線しか通話できないのだ。また,音声合成ソフトでテキストを読み上げたと思われる応答メッセージや,回線状況が悪くて何を求められているか理解できるまで何回もかけ直さなければならない例もあった。そのときの録音を聴いてもらおう。
この応答メッセージは24時間利用可能なテレフォン・バンキング・システムであると主張し,デビットカードの番号と有効期限,暗証番号を入力するよう求め,通話を終える。上の録音で音声が途切れている部分は,我々がカード番号を入力しているときと,システムがカード番号を復唱しているときを除き,実際に音声が途切れたのだ。
この電話番号そのものと,低い回線品質から,PBX(企業などの内線用交換機)がハッキングされたと考えられる。この電話番号に対する通話は,おそらく別の国へ転送されていたのだろう。電話番号の登録されていた住所は,米ミズーリ州ハウス・スプリングスの小さな町にある一軒家だった。
このようなメッセージが届き,契約している銀行からのものでないのなら,そのまま削除しよう。そうでなければ,自分のカードの裏に書いてある銀行の電話番号に直接電話をかける,という対応もお薦めだ。受け取ったものがSMSishing目的のメッセージなら,記載されている電話番号を使えなくする際に役立つ。
我々に届いた電話番号の一つは,しばらくしたら米連邦取引委員会(FTC)のメッセージに変わっていた。
Copyrights (C) 2009 Symantec Corporation. All rights reserved.
本記事の内容は執筆時点のものであり,含まれている情報やリンクの正確性,完全性,妥当性について保証するものではありません。
◆この記事は,シマンテックの許可を得て,米国のセキュリティ・ラボの研究員が執筆するブログSecurity Response Weblogの記事を抜粋して日本語化したものです。オリジナルの記事は,「Anatomy of a SMSishing Attack」でお読みいただけます。
