KnowBe4の同僚がSMSフィッシングメッセージ(スミッシング)を受信しました。
同僚はすぐにソーシャルエンジニアリング攻撃だと気づき、社内の情報共有チャネルで共有されました。
ここ数ヶ月、私のもとにも同様のスミッシングが増えてきています。攻撃者の狙いは、Gemini、Gmail、Microsoft、Instagramなど、さまざまなアカウントが「今、不正アクセスされようとしている」と思わせ、今すぐ対処しなければとユーザーを焦らせることです。
私の場合、Gmailの警告を装ったメッセージが多く届きます。
典型的なスミッシング攻撃の内容は、ハッカーが被害者のアカウントへのログインするために、パスワードの再設定や認証コードの入力を試みているというものが多く見られます。
不安を煽り、被害者が攻撃者に繋がる偽の電話番号にかけるように誘導しています。
こうしたスミッシングメッセージは、実際のサービスから送られる通知と似た形式で届きますが、以下のようないくつかの決定的な違いがあります:
- アカウントのリセット操作を自分で行っていない(これが最大の手がかりです)
- 見覚えのない電話番号から届く(これだけでは不審とは言い切れません)
- メッセージ元の番号と、記載されている折り返し先の電話番号が一致しない(正規の通知は短縮番号で届くことが多い)
- 「今すぐ対応しないと被害が出る」といった強い緊急性がある
さらに、実際のパスワードリセットの通知は、電話番号ではなく正規ドメインのURLが記載されていることがほとんどです。また、実際のメッセージには通常記載のない「参照コード」がスミッシングメッセージには記載されていることもあります。これは攻撃者による、メッセージを“それっぽく”見せるための試みの可能性が高いです。
ただし、正規のパスワードリセットの通知であっても、電話番号だけが記載されている場合も稀にあります。安全性を確認するためには、私自身でパスワードのリセットを行い、この通知を待っていたか、もしくは電話番号を検索した際に正規のWebサイトに掲載されているかを必ず確認しています。
一方で、スミッシングメッセージに記載されている電話番号を調べると、正規のWebサイトには載っていないことがほとんどで、偽サイトや迷惑電話関連のページが多く表示されます。
パスワードリセットの通知に不安を感じた場合は、必ず公式サイトからログインして確認してください。認証情報に実際問題がある場合は、正規サイトにログインすればその旨が表示されます。SMSだけで終わるような通知はありません。
そして最も重要なのは、メッセージに書かれている電話番号には絶対にかけてはいけないことです。スミッシングの場合でも、正規サービス並の丁寧な対応をする偽のサポート窓口につながります。場合によっては、企業名を連呼する保留音まで流れることがありますが、信用してはなりません。
スミッシングを疑い、メッセージに書かれている電話番号をネットで調べるのは間違いではありません。ただ、一つ注意すべき点があります。偽の電話番号であっても、攻撃者による操作などで、正規の企業名のものとして誤って表示されることもあります。本当に疑わしいと感じたら、公式サイトに掲載されている連絡先から問い合わせましょう。
ちなみに、私のところには利用していないサービスからのパスワードリセット通知が届くこともあります。以下のようなものです:
おっと。。これは、思わぬ誤解を招きかねない内容ですね。
このようなことが起こる理由としては、攻撃者が「多くのSMSを送ったら、そのうちにはサービスを使っている人がいるだろう」という思いで、手当たり次第にメッセージを送っているようです。
迷惑メッセージとしてスパム報告機能を使って通報するのも良い対応です。
SMSを悪用した攻撃の統計はかなり深刻です。世界中で1分間に10億件以上の迷惑メッセージが送られており、そのうち少なくとも100万件は悪意ある内容だとされています。TechJuryのデータによると、受信者の8.9%〜14.5%が、こうしたメッセージのリンクをクリックしていることが判明しました。
つまり、およそ9〜15%の人が、悪意のあるSMSや電話番号によって、被害に遭うリスクがあるということです。
ご自身だけでなく、ご家族や職場の同僚にも注意喚起し、親しい方々が被害者にならないように、しっかりと対策を取りましょう。
原典:Roger Grimes著 2025年6月6日発信 https://blog.knowbe4.com/fake-mfa-reset-warning-message