韓国の国民的歌手イム・ヨンウンのファンであるAさんは先月初め、イム・ヨンウンのリサイタルチケットの前売りメールを受信してびっくりした。
まだチケットの前売りが始まるという話を聞いていなかったが、突然のメールにひょっとしてコンサートに行けないのではないかと思い、急いでアクセスした。そこには「IM HERO イム・ヨンウンと共にする2024リサイタル年末コンサートに招待する」という簡単なあいさつと共に、公演名と公演日時、場所、座席のランクなどが書いてあり、何の疑いも抱かなかった。
だが、実際にリンクに接続してみると「使用が中止されたパートナー」と案内され、詐欺メールという事実を知ることになった。
また、20代の就活生Bさんは、先月提出した履歴書が書類選考に合格したと携帯メールで通知があった。「担当者」を名乗る人物はSNSを通じて画像面接のためのアプリ設定を案内し、Bさんはセキュリティーが強化されたアプリという言葉に何の疑いもなくダウンロードした。その後、「担当者」は面接費支給のための書類作成が必要だとして、本人確認のために住民登録証のコピーを要求した。Bさんは一瞬疑ったが、会社の内部規定という言葉にコピーを渡した。
その後、Bさんの名義で携帯電話が契約された。預金も引き出され、非対面によるローンも実行されたあげく、「担当者」とは連絡が途絶えた。
◇「スミッシング」「キューシング」
最近、コンサートの前売りや就職関連だけでなく、交通違反などで警察署から罰金請求のメッセージを送ったように見せかけて情報を収集したり、お金を巻き上げたりする「スミッシング」(=SMS+フィッシング)が急増している。共用自転車、電動キックボード、チラシなどにあるQRコードを通じ、悪性コードやフィッシングサイトへ誘導する「キューシング」(=QRコード+フィッシング)など、新種のフィッシング被害も多くなり、利用者はさらに注意が必要だ。
韓国インターネット振興院(KISA)によると、今年1月から10月までに覚知された「スミッシング」件数は150万8879件で、すでに昨年全体の50万3300件の3倍に達した。 2022年の覚知件数である3万7122件と比べると、なんと約40.6倍増加した。
特に、昨年から公共機関や知人を装う事例が急増しており、今年の覚知件数の中で公共機関詐称スミッシングだけで96万123件に達した。知人を詐称した件数は27万9757件、宅配や金融機関を詐称するケースも多い。スミッシングの技法も最近になって多様化している。
◇「シャワーの時に撮りました」
最も多い手法は「エサ」のメールにURLを入れるのではなく、カカオトークやLINEなどメッセンジャーチャットルームにターゲットを誘導するやり方だ。「一度会いましょう」「シャワーの時に撮りました」といった言葉に誘われてチャットルームに入ってきた人たちがさらに対話を続け、悪性URLをクリックする。この場合、政府や企業などはこれを技術的にふるいにかけることが難しくなる。
被害者がURLにアクセスすることになれば、悪性アプリ(APK)流布サーバーを通じてスマートフォンに悪性アプリが設置・実行され、スミッシング攻撃者が被害者のスマートフォン制御権を握ることになる。スマートフォンに入っている個人情報やメッセンジャー、通話内訳、連絡先リスト、アルバムなどに全てアクセスでき、電話監視およびリアルタイムの遮断も可能だという点で、相当な被害が発生することになる。
最近増えている就活生対象のスミッシングなども被害者の情報を具体的に把握して犯罪を試みたケースだ。
KISAの「国民被害対応団」のイ・ドンヨン団長は「スミッシング攻撃者が情報を全て握った後は『オーダーメード型』で被害者にボイスフィッシングを試みることになる。『◯◯さんは何の融資を受けましたか』、『◯◯さんですか? 検察です』など、さらに巧妙に攻撃を仕掛けてくるので、対策を講じたい」と説明した。
フィッシング攻撃が日々進化し、政府も被害防止のために総力戦を展開している。
韓国インターネット振興院(KISA)は5月、国民被害対応団を新設し▽「エサ」の源泉遮断を通じた露出防止▽フィッシング攻撃発生抑制▽脆弱階層を対象とした安全なスマートフォン環境構築――などの事業を推進している。海外から送られたり、インターネットを通じて大量に発信されたりするメールに「国際発信」「Web発信」「ローミング発信」などの文句を入れ、フィッシングの有無を簡単に知らせている。3月から運営している「スミッシング確認サービス」もやはり代表的な事例で、サービス開始後から現在まで約22万3000人が加入した。
また、ボイスフィッシング犯1人の名義で最大5つの携帯電話番号を使えるため、KISAは来年から一つの番号がフィッシング用番号と確認されれば、その名義で使われている電話番号やインターネット回線を一気に利用停止にする方法も推進する。
◇判読にかかる時間は平均10分
同時に今月からはQRコードフィッシング予防のために既存のスミッシング確認サービスを提供してきたカカオトーク「保護の国」チャンネルに「キューシング確認サービス」を追加し、キューシング被害の防止に乗り出す。このサービスは「QRコード」メニューを押して疑われるQRコードを撮影すると、KISAが悪性かどうかを判断し結果を知らせる。判読にかかる時間は平均10分だ。
また、KISAはサムスン電子と協力し、携帯メールの安心マークサービスも改善する。 国家・公共機関を詐称するケースが多いだけに、本当の公共機関のメッセージには「確認された発信番号」など、安全だという表示を強調する「安心マークプラス」を来月中に導入する。
ただし「iPhone」など外国のスマートフォンにはこのサービスが提供されない。アップルが現在、このサービスを拒否しているためだ。サムスン電子の「ギャラクシーフォン」とは違い「iPhone」は今のところ緊急救助に必要な位置情報や「悪性文字フィルタリングサービス」なども提供していない。
KISAボイスフィッシング対応チーム長のソク・ジヒ氏は「公共機関と金融機関の発信番号に安心マークを表示するサービスを今年までに280の公共機関に適用する。サムスン電子と協議し、安心マークに強調効果を追加する形態でアップデートを進めている」と明らかにした。
さらに、国民被害対応団のイ・ドンヨン団長は「文字受信段階ではなく発送段階で伝送を源泉から遮断する技術を開発している。SNS、クラウドに迂回するエサのメールの遮断を強化し、SNSフィッシング通知体系を用意する。フィッシング被害の発生時、関連通信会社、携帯メール送信者などその経路にある企業がほう助する形になった場合、一定の責任を賦課する。端末機で技術的に遮断しエサの携帯メールが受信されても利用者が確認しないようにする」と強調した。
(c)KOREA WAVE
