ミッシングとは何ですか？

電話が振動する。不審な動きを警告する銀行からの緊急通知だ。提供されたリンクは合法的なもので、1回タップするだけで、これまで何度も使ってきたものと同じログインページにたどり着く。しかし、何かがおかしい。メッセージは銀行からではなかった。サイトは本物ではなかった。そして数秒後には、あなたの認証情報は攻撃者の手に渡っている。

これはいわゆるミッシングと呼ばれるもので、認証情報を盗んだり、malwareインストールしたり、被害者を操って金融取引をさせたりするように設計された詐欺的なテキストメッセージを配信することで、モバイル通信の信頼を悪用するサイバー攻撃手法である。

伝統的な フィッシング従来のフィッシングとは異なり、ミッシングはモバイル・ユーザー向けに独自に作られているため、より危険で検知困難になっている。モバイルデバイスが金融取引、認証、日常的なコミュニケーションの主要なツールとなりつつある中、サイバー犯罪者はユーザーを操作して機密情報を漏えいさせる新たな方法を発見した。

ミッシングとは？成長するSMS フィッシング 脅威

ミッシングとは、"モバイル "と "フィッシング "の合成語である。フィッシングモバイル "と "フィッシング "の合成語で、SMSメッセージ、音声通話、メッセージングアプリを使い、被害者を騙して機密データを提供させたり、malwareダウンロードさせたりするサイバー攻撃手法である。

異なり メール フィッシングミッシングは電子メールとは異なり、スパムフィルターや企業の電子メール保護を回避し、携帯電話を通して直接被害者に届きます。これらの詐欺は銀行、宅配便、政府機関などになりすますことが多く、偽の危機感を煽り、ユーザーを即座に行動に移させようとします。

ミッシングは、認証情報を盗んだり、malwareインストールしたり、被害者を金融取引に誘導したりするように設計された詐欺的なテキストメッセージを配信することで、モバイル通信の信頼を悪用する。

詐欺を防ぐには、詐欺の手口を理解することが不可欠である。

ミッシングの仕組みは？

ミッシング攻撃は人間の心理、緊急性、欺瞞を悪用して被害者を誘い、悪意のあるリンクをクリックさせたり、機密情報を提供させたりします。攻撃は通常以下のような手順で行われます：

1. 被害者は、信頼できる送信元を装った偽のSMS、電話、メッセージを受け取る。
2. アカウント停止警告、セキュリティ警告、荷物の配達通知など、切迫感が生まれる。
3. 悪意のあるリンクから 不正なログインページに誘導され、パスワードや銀行口座情報、クレジットカード情報などの個人情報が搾取される。
4. Malware 被害者のデバイスにインストールされ、攻撃者がワンタイムパスワード（OTP）や多要素認証（MFA）コードを傍受できるようになる可能性がある。

このような詐欺は実際のやり取りを模倣しているため、被害者の多くは金銭やデータの盗難が発生するまで危険にさらされていることに気づかない。

ミッシング攻撃の一般的な発生源

ミッシング攻撃は様々な欺瞞的な手口で配信されるため、検知することは困難です。一般的な感染源は以下の通りです：

• なりすましSMSメッセージ- 攻撃者は銀行、モバイル・プロバイダ、政府機関になりすます。
• 偽の顧客サービスコール- 詐欺師が顧客サポート担当者を装い、口座の確認や支払いの詳細を尋ねてきます。
• 悪意のあるアプリとtelegramボット- 攻撃者は偽のアプリやボットを配布する フィッシング リンクを配信します。
• 悪用される通信ネットワーク- サイバー犯罪者はSMSゲートウェイを操作して送信する フィッシング メッセージを大量に送信します。

このような詐欺は合法的なコミュニケーションに酷似しているため、手遅れになるまで気づかれないことが多い。

ミッシング攻撃の種類

ミッシングはSMSに限らない フィッシング だけではありません。サイバー犯罪者は様々なモバイルベースの脆弱性を悪用するために、欺瞞的なメッセージング技術、詐欺的なQRコード、音声によるなりすまし、ネットワークベースの攻撃などを組み合わせて戦術を適応させています。これらの進化する戦略により フィッシング の検知 困難にし、ユーザーにとっても組織にとってもより危険なものとなっています。

これらは、攻撃者が被害者を操り、さまざまなチャネルで個人データを侵害するために使用する手口である：

フィッシング - SMS フィッシング

銀行、携帯電話会社、または宅配便を装ったメールが届き、リンクをクリックしたり、詳細を確認したりするよう促される。リンクは一見正当なものに見えますが、リンク先は以下のようなものです。 フィッシング フィッシングサイトに誘導されます。

フィッシング - QRコード フィッシング

攻撃者は、偽の広告、パーキングメーター、レストランのメニューなどに埋め込まれたQRコードを使い、被害者を悪意のあるサイトに誘導します。QRコードはスキャン前にURLを表示しないため、ユーザーはリンクにアクセスする前に真偽を確認する手段がありません。

フィッシング - ボイス フィッシング

カスタマーサポート担当者」からの詐欺電話により、あなたのアカウントの不審な取引について警告される。攻撃者は、パスワード、MFAコード、または銀行の詳細を要求し、機密データを明らかにするように操作します。

WiPhishing - Wi-Fi フィッシング

サイバー犯罪者は、空港、カフェ、ホテルなどに偽の公衆Wi-Fiホットスポットを設置し、ユーザーを騙して接続させ、ログイン認証情報を流出させます。接続すると、攻撃者は機密データを傍受し、デバイスにmalware 注入します。

SIMスワッピング

攻撃者は、被害者の電話番号を別のSIMカードに移すよう携帯電話会社を説得し、SMSベースのMFAコードを傍受して銀行や電子メールのアカウントを乗っ取ることを可能にする。

このような手口がより一般的かつ巧妙になる中、なぜモバイルデバイスが危険にさらされるのかを理解することは非常に重要である。

なぜミッシング攻撃が急増しているのか？

仕事、バンキング、認証にモバイル・デバイスが広く使われるようになったことで、ミッシング攻撃は非常に効果的になり、ますます一般的になっている。サイバー犯罪者がモバイル・ユーザーを標的にするのは、従来のセキュリティ対策では、SMS、QRコード、音声ベースの検知 できないためである。 フィッシング 詐欺の手口である。

モバイル機器が主要ターゲットである理由

• 画面が小さいとURLの確認が難しくなる。
• タッチベースのインターフェースは、素早く、衝動的なインタラクションを促す。
• 複数の通信プラットフォーム（SMS、WhatsApp、Telegram）により、攻撃者は新たなベクトルを悪用できる。
• BYOD（Bring Your Own Device）ポリシーは、企業にとって攻撃の機会を増やす。

モバイル フィッシング 攻撃は従来の企業のセキュリティ管理を迂回するため、企業は増大するリスクに直面している。

ミッシングが組織の脅威となっている理由

BYOD（Bring Your Own Device）ポリシーやリモートワークの台頭により、企業はネットワークのセキュリティ確保という新たな課題に直面している。従業員は個人所有のデバイスを業務に使用することが多く、その結果、以下のようなリスクが高まっています。 フィッシング SMS、QRコード、通話を介した攻撃のリスクを高めています。

最近のミッシング・キャンペーンは、クレデンシャルの盗難にとどまらず、malware 配布、ワンタイムパスワード（OTP）のハイジャック、従来の認証手段を回避するためのSIMスワッピング攻撃など、その対象を拡大しています。サイバー犯罪者はまた、モバイルメッセージングアプリ、偽のカスタマーサービスコール、悪意のある広告を悪用し、ユーザーを欺いて企業のログイン認証情報を開示させています。

従来のセキュリティ対策ではモバイルを止められない フィッシング.Vectra AIは、リアルタイムの監視と自動応答を提供します。 動作を見る

ミッシングはいかにして従来のセキュリティ対策を迂回するか

伝統的なアンチフィッシング 防御は電子メールベースの攻撃用に設計されているため、ミッシングを検知することは難しい。既存の企業セキュリティが失敗する主な理由は以下の通りである：

SMSおよび音声セキュリティフィルタリングの欠如

• ほとんどの企業はメールセキュリティフィルターを導入しているが、モバイルに特化したフィルターは導入していない フィッシング SMSや音声ベースの攻撃には対応していない。
• 攻撃者は、企業のセキュリティ・ツールを迂回する偽のテキスト・メッセージや詐欺的なカスタマーサービス電話を配信することで、このギャップを悪用する。

モバイル特有の攻撃戦術

• モバイルデバイスの小さな画面は、ユーザーが不審なURLを識別することを難しくしています。 フィッシング メッセージのやり取りを
• タッチベースのインタラクションは素早い反応を促し、クリックする前にリンクや送信者の詳細を注意深く調べる可能性を減らす。

BYOD（デバイス持ち込み）ポリシーの悪用

• 従業員はしばしば個人的な電話を会社のコミュニケーションに使用するが、ITチームはそれを完全に監視したり、保護したりすることはできない。
• 攻撃者は、保護されていないモバイル・エンドポイントを標的として、企業ネットワークに侵入し、認証情報を盗み、アカウントの乗っ取りを実行する。

クレデンシャル盗難とMFAバイパス技術

• サイバー犯罪者は、偽のログインポータルを使用して、ユーザー名、パスワード、およびワンタイム認証コードを取得します。
• SIMスワッピング攻撃は、攻撃者が電話番号をハイジャックし、MFAコードや金融認可メッセージを傍受することを可能にする。

高度な回避テクニック

• モバイル フィッシング キャンペーンは、デバイスのフィンガープリンティング、ジオロケーションベースのリダイレクト、条件付き実行パスを使用して検出を回避する。
• 攻撃者は、偽のバンキング・アラート、業務関連のセキュリティ・アップデート、緊急のパスワード・リセット・メッセージを展開し、被害者をリアルタイムで操作する。

企業にとっての財務リスクと風評リスク

シングル フィッシング 攻撃は

• 何千人もの顧客に影響を及ぼすデータ漏洩。
• コンプライアンス違反に対する規制上の罰金。
• 消費者の信頼を失い、ブランドの評判が落ちる。

モバイルを防御するために フィッシング企業は新たなセキュリティ戦略を採用しなければならない。

ミッシング攻撃から身を守るには

ミッシングを防ぐには、テクノロジー、従業員トレーニング、リアルタイムのモニタリングを組み合わせた多層的なセキュリティ・アプローチが必要です。

個人のためのベストプラクティス

1. SMSメッセージのリンクは、クリックする前に必ず確認してください。
2. SMSベースのMFAの代わりに認証アプリを使用する。
3. 未知のソースからのQRコードのスキャンは避けてください。
4. 早急な対応を求める緊急の口座アラートには懐疑的になること。

組織に不可欠なセキュリティ対策

1. AI主導 展開 フィッシング 検出ツールを導入し、モバイル脅威を監視する。
2. ゼロトラスト・セキュリティ・ポリシーを導入し、不正アクセスを制限する。
3. SMSベースの認証コードを廃止し、MFAセキュリティを強化する。

脅威インテリジェンスとSIEMソリューションの役割

• SIEMツール追跡 フィッシング SMS、音声、およびメッセージング・プラットフォーム全体にわたるフィッシングの試行を追跡します。
• 脅威インテリジェンスサービス検知 モバイルユーザーを標的にした新たな攻撃手口。

従業員の意識向上とトレーニング・プログラム

• シミュレーション フィッシング 演習は、従業員がミッシングの脅威を認識し、報告するのに役立ちます。
• 偽のSMS詐欺についてユーザーを教育するセキュリティ意識向上トレーニング フィッシング テクニックを学びます。

ミッシングについてもっと知る

ミッシングは伝統的なものとどう違うのか？ フィッシング?

電子メールとは異なります フィッシングミッシングは電子メール・フィッシングとは異なり、SMS、音声通話、QRコードを通じてモバイル・ユーザーを標的にし、企業のセキュリティ管理を迂回する。

なぜモバイル端末が狙われるのか？ フィッシング 攻撃なのか？

SMSベースのセキュリティ通知に対するモバイルユーザーの信頼を悪用するサイバー犯罪者たち フィッシング 詐欺をより成功させる。

スミッシングとは何か検知

スミッシングは、緊急性の高い、人を騙すようなテキストメッセージでユーザーを操作します。リンクをクリックする前に、必ず送信者にメッセージを確認してください。

高度なストップ フィッシング 自動脅威検知で高度なフィッシング攻撃を阻止 Vectra AIプラットフォームについて