米国、日本をはじめ世界全体において、スミッシングはここ数か月記録的な数になっています。米国では、脅威アクティビティの件数が 一時期、2~3 月の間に減少したため、今年度初めの攻撃状況は穏やかなように思われました。しかし、これ以降スミッシングの月次平均報告件数は 300% 以上高くなっています。このペースでいくと、米国のスミッシング件数は、2021 年に比べ 2022 年では 20% 近く高くなるでしょう。
図 1: スミッシングに分類される不正メッセージ報告件数グラフ
ただ、悪いニュースばかりではありません。プルーフポイントの Cloudmark 部門のサービスにより、米国、および英国などのその他の地域のモバイルネットワーク事業者 (MNO) の顧客は、不正メッセージ、スパム、スミッシング、不要なメッセージを報告することができます。10 年以上前から、受信者はこうした不正メッセージを SMS で 7726 (SPAM) に転送して報告してきました。こうした不正メッセージ報告により、グローバルなモバイル エコシステムをすべての人にとってより安全なものにすることができます。
ここ数年で、Android スマートフォンユーザーにとって状況はより良くなりました。これらのデバイスは、簡素化されたスミッシング報告をサポートしています。ユーザーは、不要なメッセージや悪意のあるメッセージを MNO やプルーフポイントに送信しながら、メッセージの受信トレイをクリーンに保てます。
そして現在、Apple iOS の最新バージョン 16 により、米国の Apple iPhone ユーザーは、Android ユーザーが利用できるものと同じ簡素化された報告機能を利用できます。
図 2: iOS 16 での「迷惑メッセージを報告」オプション
米国では、iOS 16 デバイスユーザーは、「Report Junk (迷惑メッセージを報告)」オプションを押すだけで、身に覚えのない送信者からの不正なメッセージや不要なメッセージを報告することができます。このようにスミッシング メッセージを報告すると、「迷惑メッセージ/スパム」として分類され、メッセージは Apple や MNO のメッセージング インフラストラクチャ経由でプルーフポイントの Mobile Abuse Visibility Solution に送信されます。
不正メッセージの報告はとても重要です。これによって、モバイルネットワーク事業者、携帯電話メーカー、そしてセキュリティパートナーが、ユーザーをよりよく保護できるようになるからです。メッセージが報告されると、プルーフポイントでは、厳格なユーザープライバシー制御を維持しながら、デジタルの「フィンガープリント」を作成します。これによって、現在および未来の脅威に対するレスポンスを改善できます。フィンガープリントには、メッセージコンテンツと、送信者とネットワークに関連したメタデータが使用されます。スパム、不正メッセージ、または悪意のあるメッセージとして分類されたものは、プルーフポイントの Cloudmark のグローバル ソリューションに 30 秒以内に送信されます。そしてフィンガープリントに一致するスミッシングは、プロアクティブにブロックされ、世界 16 億人以上のモバイルユーザーのエコシステム全体を改善します。
スミッシングその他の形態の不正なモバイル メッセージは増加を続けています。したがって、モバイルユーザーは、SMS、MMS、RCS、iMessage、およびその他のプラットフォームにおいて引き続き不審なメッセージを警戒する必要があります。スミッシング、スパム、その他の不要または不正なコンテンツを見つけたら、前述の Android や iOS のスミッシング報告機能を使用してください。この機能が利用できない場合は、米国においてはスパムメッセージを SMS で 7726 (SPAM) に転送することができます。
日本における現状
日本においては、本年4月の個人情報保護法の改定により、個人情報の利用そのものに規制が係る様になり、個人情報保護法下での、データ移転の際の個別同意 (オプトイン) のハードルがますます高まりました。
利用目的では具体的にどのデータをどの様に取り扱うかまで開示が必要になった上、トレーサビリティの記録保存と開示、海外 (弊社の場合米国) への移転の場合、1)外国の名称、2)外国の個人情報保護法、3)相手の会社が講じている措置の説明が必要となりました。
現時点では、個人データの保全義務がキャリア側に生じるため、国内キャリア様が手間をかけリスクを取ってまで個人データ (このソリューションの場合、SMSの個人電話番号、メッセージ本文を含む全て) を海外移転させるメリットが見出せない状況です。
また、法第28条には、オプトイン時に提供ベンダー側の体制・措置の定期的な開示が必要となり、ベンダー側の義務も更に複雑化しています。
また、同法の解釈下では、ハッシュ化などしたデータにおいても同等の個人データとなっており、難読化されたデータも同様の扱いが必要と理解しているのも事業者側の主張となっています。
今後は、どの様にこの改正個人情報保護法の実務対応が可能かを事業者、日本の政府側、海外ベンダーとで協議をし、日々増大化するモバイル通信下のフィッシング対策が迅速かつ多くの懸念を払拭しながら導入できるかを検討する必要があります。