メニュー

NTTドコモとソフトバンクの迷惑SMS拒否機能メモ

2022年1月22日 - phishing
NTTドコモとソフトバンクの迷惑SMS拒否機能メモ

■概要

ショートメッセージ(以下、SMS)を悪用し、偽サイトや詐欺サイトにユーザを誘導し、ID、パスワードや個人情報などを入力させたり、不正なアプリをインストールさせようとする、いわゆる、フィッシング(Phishing)攻撃が増加していることを受けてNTTドコモとソフトバンクが2022年1月13日にこれらのSMSを拒否する機能を提供すると発表されました(ボクはかなりこれらの機能に期待しています)。SMSの拒否に関してはこれまで全く拒否する機能がなかったわけではないのですが、特定の番号のみを許可、拒否するといったものや、国際SMSを拒否するといったものなど、ややざっくりとしたもののみでした。(*1) このメモでは、それぞれの拒否機能がどういったものなのか。また、この拒否機能によってSMSによるフィッシングが減った場合、どのような状況になるのかということを考えてみたいと思います。

 

■NTTドコモのSMS拒否機能( 危険SMS拒否設定 )

以下は、報道発表資料より引用です。
本機能は、不正なアプリをインストールするよう誘導したり、個人情報を盗み出そうとするサイトへ誘導したりするSMSを判定し、お客さまが受信しないようにするものです。お客さまがSMSを受信する前に、送信元情報や本文内容に基づいてドコモのネットワーク上でフィッシングSMSを自動判定します。 ~ 略 ~ 不正なアプリをインストールするよう誘導したり、個人情報を盗み出そうとするサイトへ誘導したり、金銭や個人情報をだまし取る詐欺電話番号へ誘導したりするようなフィッシングSMSを拒否します。
フィッシングSMSの判定は、公的機関(警察庁、日本サイバー犯罪対策センターなど)と連携して得た情報および、お客さまや企業からのご申告などドコモが収集した情報をもとに行います。

「危険SMS拒否設定」概要は以下の通りです。

対象 NTTドコモ(ahamoを含む)回線に契約したユーザ
提供時期 2022年3月中旬(予定)
料金 無料
設定方法 申し込みは不要で自動適用。

ただし、当該機能提供開始時点で「SMS拒否設定」にて「SMS一括拒
否」または「個別番号受信」を設定している場合は、自動適用されず提
供開始時点の設定内容が維持されるため注意。

設定変更は「My docomo」の「SMS拒否設定」から。

 

■ソフトバンクのSMS拒否機能

以下は、報道発表資料より引用です。

迷惑SMS対策として「なりすましSMSの拒否」、「URLリンク付きSMSの拒否」および「迷惑SMSフィルター」の新機能の提供を、2022年春頃に開始します。また、これまで提供してきた「電話番号メール拒否・許可」に、アルファベットでの入力指定を追加します。

ソフトバンクは4つのSMS拒否機能の提供を予定しています。それぞれは下表の通りです。

なりすましSMSの拒否 差出人をソフトバンクなどと詐称したSMSを拒否
URLリンク付きSMSの拒否 携帯電話番号から送信されるSMSのうち、本文にURLが含まれるものを拒否
迷惑SMSフィルター 機械学習による分析で悪意のあるウェブサイトへ誘導するようなSMSを識別し、自動的に拒否
電話番号メール拒否・許可 従来の電話番号での拒否指定方法に加えて、新たにアルファベットでの拒否指定方法を追加

 

概要は以下の通りです。

対象 ソフトバンク、ワイモバイル、LINEMOのユーザー
提供時期 2022年春頃
料金 無料
設定方法 「なりすましSMSの拒否」と「迷惑SMSフィルター」は申し込み不要で自動適用。
その他の機能の有効化、指定及び、設定変更は
「My SoftBank」「My Y!mobile」「My menu」または「法人コンシェル」から。

 

■コメント

皆さんもご存じの通り、SMSを通じた手法はフィッシングの常套手段となっております。フィッシング対策協議会から月次でリリースされているフィッシング報告状況の12月度の総評には以下のように書かれていました。

モバイルキャリアをかたりフィッシングサイトへ誘導する SMS (スミッシング)の報告が 11 月と比較すると約 3 倍に増えました。

その他の月においても具体的なSMSの件数や割合は示されてはいないものの増加していることを感じさせます。今回、NTTドコモとソフトバンクが拒否機能を提供するということは、これまではフィッシングSMSがユーザにデリバリーされることに対して有効な対策がなかったとも言えます。更に言うとフィッシングを行う攻撃者にとってはユーザに届く前でブロック、フィルタリングされず、デリバリーしやすい美味しい経路であったと言えます。フィッシングの経路はSMS以外にはメールやTwitterやInstagramといったSNSが挙げられます。もし、今回の2社のSMS拒否機能が功を奏しユーザへのデリバリーを大きく制限することに成功した場合は、攻撃経路は、メールやSNSに戻るのでしょうか。はたまた、なんとか拒否機能をすり抜けるような取り組みをするのでしょうか。どうなるかは実際にこれらの機能が提供されてみないことには分かりませんが、もしかしたら、新たな経路が現われるのかもしれません。

例えばLINEはどうでしょうか。LINEは今やインフラとなっており様々なサービスが提供され、様々な企業もLINEを通じたユーザへのアプローチを行っています。攻撃者がそのようなサービスを模倣し、様々なユーザを電話番号で追加しメッセージを送りつけてくることもあるかもしれません。実際にそのようなことをするとどうなるかというテストをしてみました。(言うまでもないかもしれませんが、どのような攻撃が考えられるかの検証であり攻撃を助長するものではございません。)

 

●一斉送信するには

攻撃者がユーザを追加するには電話番号やユーザIDのリストが必要です。これはSMSの送信と同じですので攻撃者は容易に、もしくは既に入手済みですね。多くのユーザにデリバリーすればするほど成功数は増えると考えられるので送信数が命と言えます。LINEで一斉送信する際によく用いられる方法の1つとして、「Keep」でメモを作成しておき、それを登録済みユーザを選択し送信(アプリ内では転送と表現)するというものでしょう。

 

左図のように送信側で「Keep」でメモを作成し、転送を選択して、右図のように送信するユーザを選択しました。(送信先はボク自身と知人です。知人にはテスト送信をするための許可をいただいております)そして、右図右上の転送ボタンを押すと「Keep」の内容が選択したユーザに送信されます。そのメッセージを受信したユーザ側のLINEは下図の通りです。

●受信したメッセージ

受信メッセージをタップすると下図のようなメッセージの確認画面になります。

メッセージ内に記述されているURLは有効でタップでアクセスすることが可能でした。しかし、どうでしょうか。今回のテストではアイコンと名前は実在する組織(風)のものを用いていますが、いきなり友達追加されて、送られてきたメッセージで、アカウント名の横にはプレミアムアカウントのアイコンも認証済みアカウントのアイコンもありません。何より、公式のものはこのような見た目でもありません。怪しさ満点ですよね。ボクもそう思います。しかし、それは今までのフィッシングにも言えたことかと思います。ある種のツッコミどころがあるものの被害はなくなりませんでした。公式からはSMSは送信しないと言っている宅配業者を装ったSMSフィッシングに引っかかってしまった方は多数いたはずです。自分は大丈夫でも、自分の父や母、祖父や祖母はどうかと考えてみてはいかがでしょうか。実際にこうしたメッセージが送られてみないことには結果は分かりませんが騙されてしまう人がいる可能性は考慮しないといけないと思っています。

 

●一斉送信の上限

ただ、このブログを書きながら気になったことがあったので追加で調べてみたことがあります。それは何件まで一斉送信できるのか。ということです。ユーザをどんどん選択していった結果下図のようなメッセージが途中で表示されました。

これはかなり攻撃をする側としては効率が悪いですね。

ボクはそれほどLINEを使い込んでいるわけではなかったので、こうしたテストをするまでは、それなりに有効な手段なのではないかと思っていたのですが実際にやってみると見えてくるものがあるものですね。当たり前のことに気付くいいきっかけになりました。とはいえ、これが手法として使われないとは限らないので、こうした手法への対策を掲載し終わりにしたいと思います。

 

●対策

見知らぬアカウントに自分を追加されることを防ぐことになります。

以下の2つの設定をしておくことで電話番号、IDから登録されることを防ぐことができます。

① 友達自動追加のオフ

② ID検索による友だちの追加をオフ

 

上記それぞれの設定項目は以下のように辿ることでアクセスしオフ(許可しない設定)にすることができます。

①「ホーム」→上部の歯車マーク(設定)→「友だち」→「友だちへの追加を許可」

 

②「ホーム」→上部の歯車マーク(設定)→「プライバシー」→「IDによる友だち追加を許可」

また、追加は許可しておきたいが、友だち以外からのメッセージは受信拒否したいという場合もあるかもしれません。その場合は、②と同じく設定の「プライバシー管理」から「メッセージ受信拒否」をオン(拒否する設定)にします。

同じようなことを私の家族や知人がされた場合にひっかからないとは言い切れないのでこの設定をオススメしてみようかと思いました。

 

 


(*1)SMS拒否設定 | お知らせ | NTTドコモ

S!メール(MMS)/SMSの迷惑メール対策方法 | スマートフォン・携帯電話 | ソフトバンク 

 

■更新履歴

・2022年01月22日 初版公開