Vectra AIプラットフォーム
リスクを低減し、攻撃を阻止し、セキュリティ態勢を強化するAI駆動型プラットフォーム
Vectra AI vs その他のすべて
比較ガイド
セキュリティ運用のユースケース
最新のアタックハブ
産業
セキュリティ運用のユースケース
すべてのユースケースを見る
毎日、世界中のモバイル端末に何十億通ものテキストメッセージが届いています。攻撃者はこの事実を熟知しており、人々がSMSに抱く信頼を悪用して、組織が長年にわたり構築してきた電子メールのセキュリティ対策を迂回しています。「Verizon 2025年データ侵害調査報告書」によると、データ侵害の16%は フィッシング から始まり、60%が人間の行動を伴っており、ソーシャルエンジニアリングはサイバーセキュリティにおいて最も根強い初期侵入経路となっています。スミッシング—— フィッシング )は、モバイルを標的とした攻撃の主要な経路へと急増しており、FTCによると、2024年だけで4億7000万ドルの消費者被害をもたらしました。セキュリティチームにとって、スミッシングはもはや単なる消費者の迷惑ではありません。それは、多層的な防御戦略を必要とする企業レベルの脅威なのです。
スミッシングとは、犯罪者がSMS、RCS、またはiMessageを通じて偽のテキストメッセージを送信し、受信者をだまして悪意のあるリンクをクリックさせたり、機密情報を開示させたり、マルウェアをインストールさせたりするソーシャルエンジニアリング攻撃のことです マルウェアをインストールさせる手口です。この用語は「SMS」と「フィッシング」を組み合わせた造語であり、このモバイルを主戦場とする攻撃手法を表しています。
スミッシングは、Zimperiumがモバイル端末を標的としたすべての フィッシング 攻撃を指す総称であり、ボイス フィッシング (バイシング)やQRコード フィッシング (クィッシング)など、さまざまな「ミッシング」攻撃が存在します。あらゆるミッシング攻撃の種類の中で、スミッシングが圧倒的に最も多く見られます。Zimperiumの「2025年グローバル・モバイル脅威レポート」によると、モバイルを標的とした フィッシング 攻撃の69.3%がSMSを介したものである。
この問題の規模は急速に拡大しています。Zimperiumの調査によると、2025年のスミッシング被害件数は前年比22%増加しました。また、組織におけるスミッシングの蔓延状況に関する最新の年次調査データであるProofpointの「2024年フィッシング被害実態レポート」によると、2023年には75%の組織がスミッシング攻撃を受けています。
スミッシングがこれほど効果的な理由は単純です。人々はテキストメッセージを信用しているからです。SMSのクリック率は8.9%から14.5%の範囲ですが、メールの場合はおよそ2%にとどまります フィッシング。メッセージは、企業のセキュリティ対策が施されていない可能性のある個人の端末に届き、画面が小さいため、タップする前にURLを精査するのが難しくなる。
企業にとってその影響は甚大です。2022年8月のTwilioへの侵入、2022年9月のUberへの侵害、そして2023年9月のMGMリゾーツへの攻撃は、いずれもSMSやモバイルを悪用したソーシャルエンジニアリングを最初の侵入経路として始まりました。これらは単なる消費者向け詐欺ではありません。高度な手口を持つ攻撃者による組織的な攻撃であり、その結果、数百件のアカウントが侵害され、社内システムへのアクセス権が奪われ、1億ドルを超える損害が発生しました。
スミッシング攻撃は予測可能な一連の流れをたどりますが、 フィッシング-as-a-service(PhaaS)プラットフォームや生成AIの台頭に伴い、各段階の巧妙さは劇的に高まっています。
攻撃の流れ:
いくつかの新たな手口により、スミッシングは検知しにくくなっています。AppleのiMessageでは、デフォルトで送信元が不明なリンクは無効化されていますが、攻撃者は現在、受信者に「Yと返信する」よう指示してリンクを再有効化させています。これはBleepingComputerによって報告された手口であり、Appleの組み込み機能を事実上回避するものです フィッシング 対策を事実上無効化する手法だ。英国では、当局が車載型SMSブロードキャスターを使用していた人物を逮捕した。これは、携帯電話基地局を模倣して近くの携帯電話に直接スミッシングメッセージを送信し、通信事業者のフィルタリングを完全に回避する物理的な装置である(SecurityWeek)。また、Sekoiaの研究者らは、脆弱なルーターAPI(MilesightルーターのCVE-2023-43261)を悪用し、デバイス所有者の知らぬ間にメッセージを送信する「サイレント・スミッシング」キャンペーンについても報告している(Sekoia)。
テキストメッセージに返信するだけでハッキングされることはあるのでしょうか?多くの場合、その通りです。スミッシングメッセージに返信するだけで、その電話番号が有効であることを確認することになり、さらなる標的となる可能性があります。iMessageの「Reply Y」のケースでは、直接返信することでセキュリティ機能が無効化され、ユーザーが悪意のあるリンクにさらされることになります。
スミッシングの動向における最も大きな変化は、 フィッシング-as-a-service(PhaaS)プラットフォームの登場です。これらは産業規模で犯罪インフラをターンキー方式で提供します。Darcula、Lucid、Lighthouseといったプラットフォームは、メッセージテンプレート、認証情報収集ページ、配信インフラ、追跡ダッシュボードなどを含む既製のスミッシングキットを、Oak Tel(Resecurity)などのサービスを通じて、1,000通あたりわずか8ドルという低価格で提供しています。
その数字は驚くべきものだ。Unit 42の調査によると、2024年1月以降、中国を拠点とするSMSフィッシング(スミッシング)攻撃に関連する悪意のあるドメインが194,345件確認されており、約600の犯罪グループがこのインフラを利用している。わずか7か月の間に、これらのプラットフォームだけで約88万4,000枚の決済カード情報が盗まれた(Infosecurity Magazine)。
生成AIの統合により、これらのプラットフォームはさらに危険なものとなっています。2025年4月、Darculaは自動多言語 フィッシング フォーム生成機能(The Hacker News)を追加し、オペレーターが人間の翻訳を介さずに、あらゆる言語で説得力のある餌を作成できるようにした。研究によると、LLMが生成したSMSフィッシング(スミッシング)メッセージは、人間が作成したものよりも24%効果的であり、AIを活用したフィッシングキャンペーンの参入障壁をさらに低くしている。
2025年後半、GoogleはDarculaとLighthouseの運営者に対してRICO法に基づく訴訟を提起した(NBCニュース)。これは、PaaSインフラに対する法的措置がエスカレートしていることを示唆している。しかし、これらのプラットフォームが分散型であるため、サイト閉鎖による持続的な効果は限定的である。
スミッシング攻撃は、手口や標的に応じて様々に変化します。以下の表は、セキュリティ研究者が実際に確認した実例に基づいた、最も一般的な攻撃の分類をまとめたものです。
一般的なスミッシング攻撃の手口とその特徴:
金融機関や政府機関を装う手口は、依然として最も一般的な手口です。後述する2025年のFBIによる「通話料請求」キャンペーンは、政府機関を装う手口が大規模に展開された典型例です。IT部門や雇用主を装う攻撃は、SSO(シングルサインオン)の認証情報を標的とし、組織全体に影響を及ぼすデータ漏洩に直結する可能性があるため、企業にとって最も高いリスクをもたらします。
標的型スミッシング攻撃は、 フィッシング多くの戦術を共有しており、LinkedInでの情報収集や、信頼性を高めるための個人に合わせた餌を利用しています。その違いは配信チャネルにあり、SMSの方がクリック率が高いという点です。
スミッシングと フィッシング、およびヴィッシングの違いを理解することは、包括的な防御体制を構築する上で極めて重要です。これら3つはすべてソーシャルエンジニアリング攻撃ですが、攻撃の経路、有効性、およびそれらを検知するために必要な対策において違いがあります。
比較 フィッシング、スミッシング、およびヴィッシングの攻撃経路の比較:
最も重要な傾向は、手法の融合です。現代の攻撃者は、単一のチャネルに依存することはほとんどありません。「Scattered Spider 、組織的なキャンペーンにおいてスミッシングとヴィッシングを組み合わせています。また、2026年1月から2月にかけて行われた「ShinyHunters」の攻撃では、ヴィッシングとソーシャルエンジニアリングを用いて15以上の組織に侵入し、5,000万件以上の記録が流出しました(Help Net Security)。スミッシングや フィッシング、およびバイシングを別々の問題として扱う防御担当者は、マルチチャネル攻撃の連鎖を見逃すことになるでしょう。
以下の事例は、スミッシングが単なる一般消費者にとっての迷惑行為ではなく、企業レベルでの初期侵入経路となっている理由を明らかにしています。
Twilioのセキュリティ侵害(2022年8月)。 Scattered Spider 、Twilioの現職および元従業員に対し、IT部門を装い、パスワードの有効期限が切れたとScattered Spider 。リンクをクリックした従業員は、偽のSSOポータルにリダイレクトされた。その結果、209件の顧客アカウントと93件のAuthyエンドユーザーアカウントが侵害された。教訓:SMSを利用した認証情報の収集は、顧客基盤全体を危険にさらす可能性がある(The Hacker News)。
UberにおけるMFA疲労攻撃(2022年9月)。攻撃者は盗まれたUber社員の認証情報を購入し、WhatsAppを通じて当該社員に連絡を取り、MFAのプッシュ通知を執拗に送り続けた結果、社員が苛立ちから1件を承認してしまった。これにより、攻撃者はG-Suite、Slack、および社内ツールへのアクセス権を獲得した。この事件から得られる教訓は、SMSやプッシュ通知ベースのMFAだけでは不十分であり、組織は番号照合型のMFAとプッシュ通知の試行回数制限を導入する必要があるということだ(UpGuard)。
MGMリゾーツとシーザーズ(2023年9月)。 Scattered Spider 、LinkedInでの情報収集とヘルプデスクへのソーシャルエンジニアリングScattered Spider 、パスワードや多要素認証(MFA)のリセット情報を不正に入手した。MGMは第3四半期に1億ドルの損失を被った。シーザーズは約1,500万ドルの身代金を支払った。教訓:ソーシャルエンジニアリングは、人的プロセスを標的とすることで技術的な制御を迂回する。したがって、ヘルプデスクにおける本人確認プロセスの強化が不可欠である(CISA勧告 AA23-320A)。
FBIによる通行料関連のスミッシング詐欺キャンペーン(2025年3月)。FBIには、10以上の州で、州の道路通行料徴収機関を装ったスミッシングメッセージに関する2,000件以上の苦情が寄せられた。パロアルト・ネットワークスは、これらの詐欺のために登録された10,000以上のドメインを特定し、それらが中国のサイバー犯罪グループと関連していることを突き止めた(FBIアトランタ支局)。このキャンペーンは、PaaS(Pay-as-a-Service)インフラが、政府機関へのなりすましをどの程度の規模で可能にしているかを示している。
ShinyHuntersによるマルチチャネル攻撃キャンペーン(2026年1月~2月)。ShinyHuntersは、フィッシングとソーシャルエンジニアリングを組み合わせて15以上の組織に侵入し、5,000万件以上の記録を流出させた。このキャンペーンは、スマッシング、フィッシング、ソーシャルエンジニアリングが、もはや孤立した戦術ではなく、連携したキルチェーンとして機能するようになったという融合の傾向を如実に示している。
これらの事案はいずれも、モバイル端末を起点とした侵害や、初期アクセス後に発生する横方向の移動を想定したインシデント対応計画の必要性を浮き彫りにしている。
スミッシングを見抜くには、文法ミスだけを見ていてはいけません。AIが生成したメッセージは、ますます洗練され、誤りがなくなっています。その代わりに、次のような「振る舞い に注目してください:
組織レベルで脅威を効果的に検知するには、ユーザーの意識向上だけでは不十分です。振る舞い ソリューションは、初期のメッセージが傍受されなかった場合でも、認証パターンの異常、不審なアクセス試行、およびスミッシング攻撃の成功に伴う認証情報の悪用を特定することができます。
「不審なリンクはクリックしない」といった一般ユーザー向けのアドバイスは必要ですが、企業のセキュリティ対策としては不十分です。組織には、攻撃のライフサイクル全体にわたってスミッシングに対処できる多層的な防御アーキテクチャが必要です。
フィッシング(MFA)。SMSベースのワンタイムパスワードを、FIDO2/WebAuthn対応のハードウェアセキュリティキーまたは生体認証に置き換えてください。NIST SP 800-63では、連邦政府システムにおけるSMSベースの認証が制限されており、CISAが2024年12月に発表した「モバイル通信に関するベストプラクティスガイダンス」では、SMSベースのMFAを明示的に推奨していません。これはもはや任意の指針ではなく、セキュリティの基準となっています。 2026年1月に発行されたGSAのCIO-IT Security-21-112 Rev 1では、以下を義務付けています フィッシング耐性のある多要素認証を義務付けています。
モバイル脅威防御(MTD)。 CIS Controls Mobile Companion Guideの推奨に従い、企業のモバイル端末にMTDソリューションを導入し、悪意のあるリンクをリアルタイムで検知・ブロックします。
MDM/MAMによるセキュリティ対策。モバイルデバイス管理(MDM)およびモバイルアプリケーション管理(MAM)は、セキュリティポリシーを適用し、不正なアプリのインストールを制限し、侵害されたデバイスに対してリモートワイプを実行できるようにします。
スミッシング模擬訓練。拡大 フィッシング シミュレーションプログラムを拡張し、SMSを活用した演習を含める。メールへの注意喚起のみをテストしている組織は、クリック率が4~7倍高いチャネルを見逃していることになる(Hoxhunt)。
ヘルプデスクのセキュリティ強化。MGMおよびシーザーズでの情報漏洩事件は、ソーシャルエンジニアリングが人的プロセスを標的とすることで、技術的な制御を迂回することを示しました。CISA勧告AA23-320Aで推奨されている通り、すべての認証情報リセットにおいて、多層的な本人確認を実施してください。
SIEM 統合。モバイル脅威のアラートを既存のSOC運用ワークフローと統合します。スミッシングによる侵害は、他の初期侵入経路と同様に、アクセス後の行動(認証情報の悪用、権限の昇格、横方向の移動)を引き起こします。SOCには、すべてのチャネルにわたる可視性が必要です。
スミッシングを MITRE ATT&CK フレームワークにマッピングすることで、検知エンジニアリングチームはターゲットを絞った分析を構築し、コンプライアンスチームは対応範囲を文書化できるようになります。現在、主要な競合他社でこのマッピングを提供しているところはありませんが、これは企業のセキュリティ運用において基礎となるものです。
スミッシング攻撃に関連MITRE ATT&CK :
企業のスミッシング対策は、確立されたコンプライアンス・フレームワークと直接対応しています:
セキュリティ業界は、スミッシングへの対応を「予防のみ」から「検知と対応」へと進化させている。 2025年から2026年にかけての調査結果によると、AIを活用した検知モデルは現在、スミッシングの検知率96.2%を達成しているのに対し、従来の商用フィルタリングツールの検知率は25~35%にとどまっている。この差は、SMS、RCS、iMessageといった複数のチャネルを通じて同時に配信される、AI生成の多言語による誘引メッセージに対処する際、ルールベースやシグネチャベースのアプローチには限界があることを浮き彫りにしている。
振る舞い 、企業レベルでのスミッシング対策において極めて重要な役割を果たします。悪意のあるテキストメッセージをすべてブロックしようとする(これはますます困難になっている)のではなく、組織は、スミッシング攻撃が成功した後に見られる侵害後の行動――異常な認証情報の使用、ネットワークやクラウド環境を横断するラテラルムーブメント、権限の昇格、データの持ち出し――を検知することで、大きなメリットを得ることができます。 ネットワーク、ID、クラウド、SaaSといった攻撃対象領域全体にわたる統合的な検知により、初期のアクセス経路にかかわらず、スミッシングを起点とした侵害を確実に捕捉することができます。
マネージド・ディテクション・アンド・レスポンス(MDR)やネットワーク・ディテクション・アンド・レスポンス(NDR)ソリューションの導入を検討している組織は、それらのソリューションが、SMSの配信そのものだけでなく、スミッシングによって引き起こされる侵害後の活動連鎖についても可視化できるかどうかを評価すべきである。
スミッシングは、多くの場合、多段階攻撃の最初のステップです。Vectra AI の攻撃シグナルインテリジェンスは、オンプレミス、クラウド、ID、SaaS 環境を含む最新のネットワーク全体で、スミッシング攻撃が成功した後に発生する侵害後の行動 (認証情報の悪用、横方向の移動、権限の昇格、データ漏洩) を検出することに重点を置いています。この侵害を前提としたアプローチにより、スミッシングメッセージが防御制御を回避した場合でも、シグネチャだけに頼るのではなく、AI 駆動型の行動分析によって攻撃者のその後の行動が検出され、優先順位が付けられます。Vectra AI は、ID 脅威検出および対応 (ITDR) とネットワーク検出のシグナルを相関させることで、SOC チームがテキスト メッセージから始まる攻撃を検知して阻止するのに役立ちます。
スミッシングの脅威情勢は多方面で変化しており、組織は今後12~24カ月の間に予想されるいくつかの重要な動向に備える必要があります。
RCSの導入により、攻撃対象領域が拡大します。Appleが2025年にRCSを導入したことで、PaaSプラットフォームが攻撃の標的となり得るメッセージングチャネルは、SMS、RCS、iMessageの3つとなりました。RCSメッセージは、より豊富な書式設定やブランディングが可能であるため、スミッシングの誘引メッセージをより説得力のあるものにできます。また、RCSの実装におけるセキュリティ態勢は、通信事業者や端末メーカーによって異なります。
生成AIは、スミッシングの手口をますます巧妙化させています。2025年4月にDarculaが実証したように、生成AIをPaaSプラットフォームに統合することで、自動化され、多言語対応かつ文脈に応じたパーソナライズされた誘引メッセージを大規模に生成することが可能になります。企業は、スミッシングメッセージが正規の通信と見分けがつかなくなるケースが増加し、文法に基づく検知手法が通用しなくなることを想定しておく必要があります。
規制の動きが活発化しています。NIST SP 800-63-4は2026年に最終版として公表される見込みであり、SMSベースの認証に対する規制が強化される可能性があります。GSAが2026年1月に定めた フィッシング対策が講じられた多要素認証(MFA)の導入義務化は、連邦政府による広範な取り組みの兆候であり、民間企業もこれに追随する可能性が高い。セキュリティ責任者は、義務化を待つのではなく、今すぐFIDO2への移行計画に着手すべきである。
PhaaSインフラは分散化が進み続けています。GoogleによるRICO訴訟や法執行機関による取り締まりにもかかわらず、PhaaSプラットフォームはインフラを迅速に再構築しています。組織は、通信事業者レベルでのフィルタリングのみに依存するのではなく、リアルタイムのURLレピュテーションチェック、AIを活用した検知、および侵害後の振る舞い に投資すべきです。
スミッシングは、単なる消費者の悩みの種から、企業のセキュリティを脅かす最も効果的な初期侵入経路の一つへと発展しました。SMSの高いクリック率、産業化されたPaaSインフラ、そして生成AIが相まって、スミッシング攻撃の件数、巧妙さ、そして成功率は今後も増え続けるでしょう。
今後の道筋は、予防策だけでは不十分です。セキュリティ侵害を前提とし――つまり、一部のスミッシングメッセージが従業員に届き、一部の従業員がクリックしてしまうことを認識している――組織の方が、攻撃が被害をもたらす前にそれを検知し、阻止できる態勢が整っています。そのためには フィッシング耐性のある多要素認証(MFA)、モバイル脅威防御、シミュレーション訓練、強化されたプロセス、そして初期アクセス後に攻撃者を捕捉する振る舞い が必要です。
スミッシングに対する最善の防御策は、あらゆる初期侵入経路に対して有効な防御策と同じです。すなわち、攻撃対象領域全体を可視化すること、AIを活用したノイズを排除するシグナル、そして攻撃者が目的を達成する前に行動を起こす能力です。
Vectra AI 、ネットワーク、ID、クラウド、SaaS環境全体において、侵害後の脅威をどのようにVectra AI をご覧ください。
スミッシング(SMS フィッシング)とは、犯罪者が偽のテキストメッセージを送信し、受信者を騙して悪意のあるリンクをクリックさせたり、機密情報を開示させたり、マルウェアをインストールさせたりするソーシャルエンジニアリング攻撃のことです マルウェアをインストールさせる手口です。これは フィッシング の一種であり、電子メールの代わりにSMS、RCS、またはiMessageを配信経路として利用します。この用語は「SMS」と「フィッシング」を組み合わせたものです。スミッシングは、モバイルを標的としたすべてのフィッシング フィッシング 攻撃の総称である。「ミッシング(mishing)」の分類に含まれる。Zimperiumの2025年の調査によると、SMSを利用した攻撃は、モバイルを標的とした フィッシングの69.3%を占めており、スミッシングがモバイル攻撃の主要な経路となっている。企業にとって、スミッシングは重大なリスクをもたらす。なぜなら、SMSのクリック率は8.9%から14.5%の範囲にあり、電子メール フィッシングの約2%という率を大幅に上回っているため、企業にとってスミッシングは重大なリスクをもたらす。Twilio、Uber、MGM Resortsで発生した注目すべき情報漏洩事件は、いずれもSMSベースまたはモバイルソーシャルエンジニアリングを初期侵入経路としていた。
フィッシング は通常、電子メールを介して届きますが、スミッシングはテキストメッセージ(SMS、RCS、またはiMessage)を通じて配信されます。主な違いは配信経路ですが、この区別にはセキュリティ上、重大な影響があります。スミッシングメッセージは、人々がテキストメッセージをより信頼し、より早く読むため、クリック率が劇的に高くなります(8.9~14.5%に対し、電子メールは約2%)。電子メール フィッシング は、企業のメールセキュリティゲートウェイ、DMARCポリシー、サンドボックスツールによって傍受される可能性があります。一方、スミッシングは、同等のセキュリティ対策が施されていない個人のモバイル端末に届くことが多く、組織がこれを検知・ブロックするのは困難です。どちらの攻撃も、緊急性、権威者のなりすまし、恐怖といったソーシャルエンジニアリングの手法を用いて、受信者を操ろうとします。現在、最も高度な脅威アクターは、初期の接触にスミッシングを、メール フィッシング を用いて、その後の認証情報の収集を行っています。
以下の兆候に注意してください:予期せぬ緊急性(「今すぐ対応しないとアカウントが閉鎖されます」など)、見覚えのない送信者番号、短縮URLや不審なURL(bit.lyリンク、スペルミスのあるドメインなど)、個人情報や認証情報の要求、「お客様へ」といった一般的な挨拶文などです。 ただし、AIによって生成されたスミッシングメッセージは誤りがますます少なくなっているため、文法やスペルだけではもはや確実な判断材料とはならない点に注意が必要です。最も巧妙なスミッシングキャンペーンでは、ソーシャルメディアやデータ漏洩から収集した個人情報を活用しています。疑わしい場合は、リンクをクリックしないでください。代わりに、公式ウェブサイトや電話番号を通じて、その組織に直接連絡してください。正規の組織が、テキストメッセージでパスワード、社会保障番号、または支払い情報を尋ねることはありません。
リンクをクリックしたり、メッセージに返信したりしないでください。そのメッセージを7726(SPAM)に転送して通信事業者に報告し、ReportFraud.ftc.govおよびIC3.govにも通報してください。通報後はメッセージを削除してください。 そのメッセージが正当なもの(例えば、荷物の到着を待っている場合の配達通知など)であると思われる場合は、メッセージ内のリンクを経由せず、組織の公式ウェブサイトまたは電話番号を通じて直接連絡してください。セキュリティ運用チーム(SOC)を擁する組織に勤務している場合は、ITセキュリティ部門にもそのメッセージを報告してください。あなたの報告は、SOCが、そのメッセージが組織を標的とした大規模な攻撃キャンペーンの一環であるかどうかを特定するのに役立ちます。
スミッシングのリンクをクリックすると、通常、正規のログインページ(銀行、勤務先のSSO、通行料支払いサイトなど)に見せかけた、認証情報を盗み取るためのページに誘導されたり、あるいは マルウェア のダウンロードを引き起こすこともあります。リンクをクリックしてしまった場合は、直ちに以下の手順を実行してください:デバイスをインターネットから切断し、認証情報を入力した可能性のあるすべてのアカウントのパスワードを変更し、アカウントの監視機能や不正利用アラートを有効にし、支払い情報が漏洩した場合は金融機関に連絡し、ITセキュリティチームにインシデントを報告してください。時間は重要です。迅速に行動すればするほど、攻撃者が収集した認証情報を使ってアカウントを乗っ取ったり、他のシステムへ横方向の移動を行ったりする機会を減らすことができます。
はい。スミッシングは詐欺の一種であり、世界中のほとんどの法域で違法とされています。米国では、スミッシングは連邦電信詐欺法(18 U.S.C. 1343)、コンピュータ詐欺・濫用法(18 U.S.C. 1030)、および各州の詐欺関連法に基づき起訴される可能性があります。 英国でもスミッシングの運営者に対する積極的な起訴が行われており、2025年には、車載型のSMS一斉送信装置を使用して大量のスミッシングメッセージを送信した個人を巻き込んだ事件がありました。また、2025年後半には、GoogleがDarculaおよびLighthouse PhaaSプラットフォームの運営者に対してRICO法(組織犯罪影響下腐敗組織法)に基づく訴訟を提起し、法的措置がメッセージを送信する個人だけでなく、インフラ提供者にも及ぶことを示しました。
組織にとって、最も効果的な防御策は、複数の層を組み合わせたものです: フィッシングSMSベースのワンタイムパスワードではなくフィッシング耐性のあるMFA(FIDO2/WebAuthn)、企業端末向けのモバイル脅威防御(MTD)ソリューション、メール フィッシング 演習と併せたスミッシングシミュレーション研修、強化されたヘルプデスクの本人確認手順、そしてモバイル脅威アラートをSOCワークフローと統合するためのSIEM連携などです。振る舞い 侵害後の検知も同様に重要であり、スミッシング攻撃の成功後に続く認証情報の悪用、ラテラルムーブメント、権限昇格を捕捉する必要があります。個人にとっては、予期しないテキストメッセージ内のリンクは絶対にクリックせず、公式チャネルを通じて送信者を確認し、不審なメッセージは7726に転送し、FTCに報告してください。 単一の対策だけでは不十分です。効果的なスミッシング防御には、多層的な技術的対策、訓練を受けた人材、そして最初のメッセージを超えて広がる検知能力が必要です。
「ミッシング」とは、モバイル端末を対象としたすべての フィッシング 攻撃の総称です。この用語は、モバイルセキュリティ企業のZimperiumによって造られたもので、スミッシング(SMSを利用した フィッシング)、バイシング(音声通話 フィッシング)、クィッシング(QRコード フィッシング)、クィッシング(QRコードフィッシング)など、さまざまなモバイル攻撃ベクトルが存在します。Zimperiumの「2025年グローバル・モバイル脅威レポート」によると、スミッシングは全ミッシング攻撃の69.3%を占めており、主要なサブカテゴリーとなっています。 このミッシング分類法は、セキュリティチームが、モバイルデバイスが単なる個別の攻撃タイプだけでなく、組織的に連携したソーシャルエンジニアリングの脅威のスペクトルに直面していることを認識するのに役立ちます。現代の攻撃者は、単一のキャンペーンにおいて複数のミッシング攻撃ベクトルを組み合わせるケースが増えているため、この分類法を理解することは重要です。例えば、信頼性を高めるために、スミッシングのテキストメッセージを送信した後、バイシングの電話をかけるといった手法が挙げられます。
スミッシングは フィッシング は、テキストメッセージ(SMS、RCS、またはiMessage)を介して餌を仕掛けますが、クイッシングはQRコードを使用して被害者を悪意のあるWebサイトに誘導したり、 マルウェア のダウンロードを引き起こします。QRコード フィッシング は、駐車メーター、レストランのメニュー、イベントのチェックインなど、日常生活におけるQRコードの利用拡大に伴い増加しています。これらはいずれも、ミッシング(モバイルを標的とした フィッシング)のサブカテゴリーであり、多くの場合、認証情報、支払い詳細、個人データといった同様の情報を標的としています。防御上の主な違いは、スミッシングは通信事業者レベルのフィルタリングやMTDソリューションによって部分的に軽減できるのに対し、クイッシングには、QRコードのリンク先が読み込まれる前に検査できるモバイルセキュリティツールが必要となる点です。一部のキャンペーンでは、クリック可能なリンクではなくQRコードを含むスミッシングテキストを送信するなど、両方を組み合わせるケースもあります。
企業におけるスミッシング対策には、多層的なアプローチが必要です。まず、SMSベースの多要素認証(MFA)から フィッシング耐性のある代替手段(FIDO2/WebAuthnなど)へ移行すること。CISAとNISTの両機関がこれを推奨しています。次に、すべての企業向けモバイル端末にモバイル脅威防御(Mobile Threat Defense)を導入し、悪意のあるURLをリアルタイムで検知・ブロックします。第三に、既存のメール フィッシング トレーニングと並行してスミッシングシミュレーションプログラムを実施し、チャネルを横断した従業員の耐性を測定・向上させます。 第四に、MGMやシーザーズの侵害事例が示したように、ソーシャルエンジニアリングによるパスワードリセットを防ぐため、ヘルプデスクの本人確認手順を強化します。第五に、モバイル脅威アラートをSIEMおよびSOCのワークフローに統合し、スミッシングを起点とした侵害に対しても、他の初期侵入経路と同様の厳格な対応が取れるようにします。最後に、攻撃者がどのように侵入したかに関わらず、認証情報の悪用、横方向の移動、データ流出を特定できる侵害後の検知機能に投資します。