さまざまなSNSがフィッシングの標的に
ここまでメールを中心にソーシャルエンジニアリングの脅威を紹介してきたが、近年はメールにとどまらず、スマートフォンのショートメッセージサービス(SMS)やソーシャルネットワーキングサービス(SNS)のメッセージ機能も標的となってきている。
SMSは電話番号にメッセージを送る機能で、かつて日本では同じ携帯電話会社(キャリア)内のみで利用できる機能だったが、現在では異なるキャリアを利用する者同士でも送受信できるようになっている。このため、ランダムあるいはリストの順にSMSフィッシング攻撃(スミッシングと呼ばれる)を行うことが可能だ。SMSは送信者が分かりづらいため、例えば宅配便の不在配達通知などを装い、フィッシングサイトに誘導する攻撃が行われている。
一方のSNSのメッセージ機能を悪用する例では、知り合いなどをかたって金銭(ギフトカードなど)を求めたり、アプリの共有を持ちかけたりするケースがある。これは、あらかじめ知り合いをかたった友達登録や、友達のSNSアカウントを乗っ取ることを目的としている。具体的には、前者では友達になりすまし「急にお金が必要になった」として、シリアルコードの入力で利用できるオンラインギフトカードを欲しい欲しいと持ちかける。後者では、共有機能を悪用してフィッシングの書き込みやメッセージ送信を行う。
SNSの世界最大手と言えば「Facebook」で、世界に29億1000万人(Metaによる2021年12月の発表)のユーザーがおり、Vadeのフィッシングのなりすましブランドに関する調査の2021年の年間調査の結果では、なりすましブランドのトップとなっている。また、Facebookはもちろん、多くのSNSがアプリ連携機能を持っており、SNSのアカウントでさまざまなサービスを利用できる。2021年には、15億人のFacebookユーザーの個人識別データ(PII)が闇サイトで発見され、ある売り手はユーザー100万人分のPIIに5000ドルの値を付けていた。
Vadeの同調査の2021年上半期における結果では、「WhatsApp」を狙うフィッシングも2021年第1四半期までに441%増加した。WhatsAppは、同四半期のフィッシング攻撃のなりすまし最多ブランドランキングの第3位にランクインし、2021年の年間では、第4位にランクインした。WhatsAppのセキュリティの脆弱性がなりすましの増加を促す原動力となった可能性があり、2019年にジャーナリストや人権団体を標的とした「Pegasus」スパイウェア攻撃が発生、1400人のユーザーに被害を及ぼしている。
「Instagram」は、ユーザー数が数十億人規模になったことからフィッシングが増加し、同じくVadeの2021年年間のなりすまし最多ブランドのランキングで21位にランクインした。Instagramの攻撃は、フィッシングメールを介して送信されるパスワード更新リクエストからフィッシングで始まり、Instagram内部で発生するスピアフィッシング攻撃に進化するマルチフェーズ攻撃まで全範囲に及んでいる。
「LinkedIn」を悪用する一般的なフィッシングの戦術は、”つながり申請詐欺”である。ハッカーは、ユーザーにつながりの申請を承認するように求める偽のLinkedInからメールを作成し、被害者が承認するためにLinkedInにログインすると、被害者の認証情報が盗まれる仕組みとなっている。例えば、人事スカウトサービスの料金の支払いをするように求めたり、求人申し込み用紙や説明書をダウンロードするように求めたりする。ダウンロードされるものの多くには、マルウェアが埋め込まれている。