Smishing
フィッシング(Phishing)サイトは、IDやパスワード等を入力させて、入力させた情報を窃取しようとする悪質なサイトです。
Smishingとは、フィッシングサイトに誘導するリンク(URL)を記述したショートメッセージ(SMS)を送りつけて、被害者のIDやパスワード等を窃取しようとするものです。
SMS + Phishing = Smishing
こういう造語や新しい単語が、情報セキュリティの業界では日々生まれるので、覚えるのが大変ですね(苦笑)
このSmishingを使って、攻撃された事例として、佐川急便とヤマト運輸が公開し、注意喚起しています。
具体的な内容はこちらをご覧ください。
ヤマト運輸の例だと、サイトだけを見たら非常に精巧に作られており、一般の人は気付きづらくなっています。
リンクをクリックした後、不審なアプリをインストールさせようとしたり、IDやパスワード等の窃取を狙っています。
以前は、URLが「http」ではなく、「https」となっていれば比較的安心だとされていました。しかし、日経Networkの2月号(最新号)では、フィッシングサイトのうち、「https」となっているフィッシングサイトが約半数を占めていると記載されています。
(httpsは、TLSと呼ばれる接続先のWebサーバーの認証や通信の暗号化を行なっています。)
それでもまだ半数は、httpsにはなっていないので、注意すれば被害を防げるかもしれません。
なかなか対策は難しいところではありますが、日本では、フィッシング対策の協議会があり、フィッシング詐欺に対する情報提供がされていますので、怪しいかもと思ったら、こういうサイトをチェックしたりするのも良いと思います。
また、アメリカのAPWG(Anti-Phishing Working Group)という団体では、フィッシング詐欺等を撲滅しようと活動しています。