スミッシングとは?
スミッシング は、ソーシャルエンジニアリング攻撃の一種で、欺瞞、賄賂、またはその他の手法を使用して、被害者に攻撃者の望むことを実行させます。 スミッシングは、その名前(SMiShing)のソースであるSMSテキストメッセージを使用するという事実によって定義されます。
スミッシングは、モバイル デバイスの使用の増加により、サイバー攻撃手法として近年ますます蔓延しています。 多くの組織では、会社所有の電話またはデバイス持ち込み(BYOD) プログラムの下で、ビジネスでのモバイル デバイスの使用を許可しており、SMS が一般的な通信形式になっています。
さらに、金融プロバイダーやApple、Amazon、Netflixなどのブランドを含む多くの企業が、顧客とのコミュニケーションにSMSを使用することが増えています。 これは、顧客のアカウントに関する問題など、緊急のコミュニケーションに特に当てはまります。
スミッシャーはこの事実を利用して、攻撃をよりもっともらしくします。 スミミングメッセージは、通常、正規のプロバイダーからの通信を装い、ターゲットを騙して悪意のあるリンクをクリックさせるように設計されています。 このアプローチでは、次のような SMS 通信のいくつかの機能を利用します。
- リンク短縮: 多くの正規のブランドは、メッセージの長さが制限されているため、SMSメッセージでリンク短縮サービス(bit.ly など)を使用しています。 スミッシャーは、これらのサービスがユーザーから宛先 URL を隠しているという事実を利用して、ユーザーを騙してフィッシング サイトにアクセスさせることを容易にします。
- リンクマウスオーバーなし: コンピューターでは、カーソルでリンクにカーソルを合わせると、そのターゲットが表示されます。 これはモバイルデバイスには当てはまらないため、ユーザーがクリックする前にリンクを検証するのが難しくなります。
- 常時オンのメンタリティ: ほとんどの人は常に携帯電話に接続しており、SMSメッセージを即座に読んで返信することに慣れています。 この考え方は、スミッシングメッセージは、ターゲットに何も考えずに行動させる可能性が高いことを意味します。
フィッシングとは?
スミッシングと同様に、フィッシングもソーシャル エンジニアリングに基づいたサイバー攻撃です。 ただし、SMSメッセージに限定されず、さまざまなメッセージングプラットフォームを使用して悪意のあるメッセージをユーザーに配信します。
一般に、フィッシングでは 2 つの主要な手法のいずれかを使用してユーザーを騙します。 スミッシングと同様に、ユーザーの資格情報やその他の機密データを盗んだり、ユーザーのデバイスにマルウェアをインストールしたりすることを目的としたフィッシング Web サイトにターゲットを誘導する悪意のあるリンクを使用する可能性があります。 また、フィッシング メッセージには、コンピュータをマルウェアに感染させるように設計された悪意のある添付ファイルが含まれる場合があります。
フィッシングは最も一般的に電子メールと関連付けられますが、これはこのタイプの攻撃の総称です。 フィッシング攻撃には次のような形式があります。
- スミッシング: SMS メッセージを介したフィッシング。
- ビッシング:電話を介して実行されるソーシャル エンジニアリング (「音声フィッシング」)。
- スピア・フィッシング:フィッシング攻撃は、正確に個人または小規模グループをターゲットとしています。
- 捕鯨:組織内の上級幹部を標的としたスピア フィッシング攻撃。
- ビジネスメール詐欺(BEC):攻撃者が CEO またはその他の幹部になりすまし、従業員を騙して攻撃者に金銭やデータを送金させるフィッシング攻撃。
スミッシング攻撃とフィッシング攻撃の違い
スミッシングは、SMS メッセージを使用して悪意のあるコンテンツを配信する特定のタイプのフィッシング攻撃です。 フィッシングといえば有能なメールと関連付けられることが多いですが、この攻撃は、電子メール、ソーシャル メディア、Slack や SMS などの企業コミュニケーション アプリなど、あらゆるメッセージング プラットフォームを使用して実行できます。
チェック・ポイントでフィッシング・スミッシングを防止
フィッシングとスミッシングは、組織が直面する最も一般的なサイバー脅威の 2 つです。 これらの攻撃は、脆弱性を悪用するのではなく、ターゲットをだます、賄賂、または強制するなどのソーシャル エンジニアリングに依存しているため、多くの場合、攻撃者にとって実行は容易です。 その結果、サイバー犯罪者は、機密情報を盗んだり、多段階のサイバー攻撃の第一段階として、これらの攻撃を使用するのが一般的です。
従業員教育はフィッシングやスミッシングの防止に重要ですが、それだけでは十分ではありません。 フィッシング攻撃は、特に生成 AI の台頭により、ますます巧妙になってきており、最も注意深い従業員であっても、そのすべてを特定して適切に対応することはできない可能性があります。
チェック・ポイントは、悪意のあるコンテンツの送信に使用される媒体に関係なく、あらゆるフィッシング脅威から包括的に保護するように設計されたセキュリティ ソリューションを提供します。 チェック・ポイント Harmony Email and Office は、電子メールベースのフィッシング攻撃に対する強力な保護を提供し、 2023 Forrester Wave for Enterprise Email Securityのリーダーに選ばれました。 スミッシング脅威を管理するために、チェック・ポイントは、このソーシャル エンジニアリング リスクやその他のモバイルに焦点を当てた攻撃ベクトルに対処できる Harmony Mobile を提供しています。 チェック・ポイントがフィッシングやスミッシングからどのように保護できるかについて詳しく知りたい場合は、今すぐチェック・ポイント Harmony Email and OfficeおよびHarmony Mobileの無料デモにサインアップしてください。
Feedback