昨年(2019年)に発生した事案ですが、SMSの発展を願う筆者を震撼させる怖いニュースがありますので紹介します。
NTTドコモかたる不審なSMSに注意、公式SMSと同じスレッドに表示される可能性
https://internet.watch.impress.co.jp/docs/news/1191600.html
このニュースによるとdocomoからSMSで送られてきた人が、SMSに記載のURL(docomo公式サイトのURLとして記載されていたらしい)にアクセスしたところフィッシングサイトにアクセスしてしまったそうです。
通常、フィッシングサイトは送信元が怪しかったりする時点で気づくことも多いですが、この事案ではそのあたりが巧妙になっていたようで、見破る事が出来なかったようです。
一体どのような方法でそれを実現したのでしょうか。筆者なりの調査結果を書いていきたいと思います。
状況:docomoが送信元だった
ユーザーはdocomoからきたSMSの中に書いてあるURLをクリックしたという事なので、送信元がdocomoだったという事になります。
また、以前からdocomoからのSMSを受け取っており、過去送られていたSMSは本物のdocomoからのものであり、途中から偽物のdocomoにすり替わったという事になります。
※画像はわかりやすく加工した例であり、実際に送信されたものではありません。
docomo公式見解はこちら
調査結果1:SMSの送信元表示は、アルファベットの場合と電話番号の場合の2種類ある
手元のスマホからスマホにSMSを送信してみたところ、送信元はdocomoではなく電話番号となりました。
一方で、GoogleやAmazonのアカウント作成時に来るようなSMSは、送信元がGoogleだったりAmazonだったりと、アルファベットでした。
また、GoogleやAmazonからSMSが来る場合は認証の目的であることが多い印象を持ちました。
調査結果2:SMSの送り方は2種類あった
SMSの送り方には2種類ある事が調査(Google検索)により分かりました。
1つは、端末から端末に送る場合。個人が個人に送る場合はこのパターン。
もう1つは、企業がサーバーを経由して個人のユーザーに送るパターン一斉配信
この『企業が一斉配信する場合』は、送信元はスマホではなくサーバーになり、このパターンの時に送信元がアルファベット表記になるという事が分かりました。
調査結果3:サーバー経由のSMS配信は国内ルートと海外ルートの2種類!
企業がSMSを送る場合、SMS配信を代行する業者を使うことが多い。
SMSの配信代行の業者は国内にも海外にもある。1通あたりの価格は国内に比べると海外の業者の方が安い傾向にあります。
国内業者と海外業者の違いは、SMS配信時に辿る通信経路が違う点があります。
国内業者なら国内のサーバーを通信経路に利用することが多く、海外業者なら海外の通信経路を利用することが多いです。
また、契約する上では国内業者も海外業者もどちらも自由に契約できる事が分かりました。
調査結果4:国内業者と海外業者の違い
国内業者:送信元は業者指定の電話番号になる
海外業者:送信元を自由なアルファベット表記にできる
ここまで調べた時点で、
もしかしたら海外の業者を選択することで送信元表記をdocomoにすることができるのではないかと考えました。
調査結果5:海外業者に送信元をdocomoにできるのか確認した
これまでの調査結果を踏まえて、実際に海外の業者に問い合わせを行い送信元の表記をdocomoやAmazonにできるのかを確認したところ、
可能か不可能かで言えば可能であるという回答を得ました。
しかし、実在する企業名を送信元に設定してSMSを送る事はモラル的にも法律的にも許されないことであり、見つけ次第配信を止めるという事でした。
裏を返せば、悪意を持っていればできてしまう可能性があるということになります。
なお国内の業者は送信元を変更できない設定の業者が多く、また、仮にできたとしてもdocomoをかたることは業者側が許さないはずなので事実上できない印象をもちました。
調査結果6:仮にdocomoを送信元にできた場合、受け取る側にはどのように見えるのか確認
各業者に確認したところ、仮にdocomoを送信元にしてSMSを送った場合、
送信元の名称が一致するスレッドに表示されてしまうという事が分かりました。
つまり、
本物のdocomoが使っている送信元が『docomo』だったとして、1通のSMSをユーザーに送った状態で
偽物のdocomoが送信元に『docomo』を設定した状態で上記ユーザーに1通のSMSを送った場合、
受け取った側のSMS表示はどうなるかというと、
本物から来たSMS1通の表示の下に続いて偽物からのSMSが表示されるという事になります。
※画像はわかりやすく加工した例であり、実際に送信されたものではありません。
結論
SMSを受け取った側からしてみると、スマホの表示上で本物から来たSMSと偽物から来たSMSが連続して表示されることになり、
見分けがつかなくなるという事になります。
今回の事件は偽docomoから来たSMSが本物docomoとのやり取り上に連続して表示されてしまったことにより、
偽物docomoが送ったURL(フィッシングサイトへの誘導)を気づかないままユーザーがアクセスしてしまった(そして騙された)という事であると考えます。
対策はあるのか
これは案外よく見るとわかると思います。
仮に偽サイトにアクセスしてしまったとしても、アクセス先のサイトのURLをよく見てください。
URLの表記の中にdocomoという文字が無かったり、dokomoになっていたりします。またはランダムの英数字のドメインだったりすることもあります。
サイトの見た目はとても巧妙に作られている事が多く、見ても分からないことが多いです。。
URLやドメインは本物とは少し違うので、よく見る事をお勧めします。
アイコールの取り組み
アイコールのSMS配信サービスでは、申込時に審査を行っておりますので、故意かどうかは関係なく実在の企業名や団体名を連想させるような名前を送信元に設定しないように注意喚起をするとともに、SMS配信の公序良俗を保つ配信をするように努力をしております。
お申込みは こちら