SMSのフィッシングはあまりにも簡単にできてしまう

ネットワーク機器メーカー・Ciscoのサイト信頼性向上エンジニア(SRE)、リカルド・ベハラノ氏が、SMSを用いるとあまりにも簡単にフィッシングができてしまうと警告しています。

SMS phishing is way too easy
https://www.bejarano.io/sms-phishing/

ベハラノ氏が具体例として出したのが以下の2通のSMS。どちらもFedExからの配送通知のように見えます。しかし、実際には1通目(上)が本物、2通目(下)は偽物です。ぱっと見ではわかりにくいですが、URLが1通目は「https://www.fedex.com/en/delivery～～」、2通目は「https://fedex.delivery/～～」となっています。この「fedex.delivery」はベハラノ氏が記事を公開した時点では購入可能なドメインです。

問題は、本物・偽物がともに「FedExからのSMS」として扱われてしまっている点です。

SMSには送信者IDの欄があり、ここが同一になっているSMSが「同一発信者からのSMS」としてまとめられるのですが、送信者IDはあくまで送信者が設定するもので、本人確認はないため、誰でも任意の番号からのメッセージを装うことが可能です。

さらに、メッセージそのものには送信者の電話番号が含まれないため、SMSを受信した端末では本物のメッセージと偽物のメッセージを区別することができません。

ベハラノ氏は対策として、まず送信者IDを携帯電話キャリアと紐付けしたものにすることを挙げています。これはすでに一部の国では行われているとのこと。また、2つ目は、未確認の送信者IDは端末側が警告を出すこと。3つ目は、企業がSMSを介してURLを送るのをやめることだと指摘しています。