業務用スマホに届いたSMS、なんとなく開いちゃうことありますか?
正直、全部のSMSを疑ってかかるのは難しいですよね。
でも、今回のニュースを見て、「業務用スマホだから安心」じゃないんだな、と改めて感じました。
こんにちは、こんばんは。TechAtlas(てっくあとらす)です。
今回は、業務用iPhoneがフィッシングSMSで乗っ取られ、端末が初期化された事例から、中小企業で1人で情シスを担当している私たちが考えておきたいことを整理してみます。
末尾には、もしこの問題を見聞きした経営者から「自社はどうするの?」と聞かれた場合の対応方法もご紹介します。
参考記事
アカウント乗っ取られiPhoneは初期化 ~ 業務用スマホにセキュリティ強化求める SMS が届き ID/PW 入力
不正アクセスによる個人情報流出に関するお詫びとお知らせ | アルケア株式会社
※以下は上記記事を読んだ上での個人的な考察です。
記事の概要
今回のニュースは、ある企業の従業員が業務用携帯電話(iPhone)に届いた「セキュリティ強化を求めるSMS」を受信し、記載されたURLをクリックして偽サイトでApple AccountのIDとパスワードを入力してしまった、というものです。
その結果、翌日には攻撃者にアカウントを乗っ取られ、iPhoneが初期化されてしまいました。
端末に保存されていた顧客情報(医療機関約200件)と従業員情報(約400件)が流出した可能性があるとのことです。
これは、「スミッシング」と呼ばれる攻撃手法です。
SMSを使ったフィッシング詐欺のことで、メールよりも「本物っぽく見える」のが特徴です。
正直、「うちの社員はそんなの引っかからないだろう」と思いたいところです。
でも、待ってください。
「セキュリティ強化のお願い」というSMSが届いたら、あなたはすぐに「これは偽物だ」と判断できますか?
私は正直、自信がありません。
この記事から考えたいこと
この事例から、いろいろな対策が考えられるんですが、今日はこの1点について考えたいと思います。
それは「業務用スマホに届くSMSの扱い方を決めておくこと」です。
なぜSMSの扱い方を決めておくべきなのか
今回の事件では、「セキュリティ強化を求めるSMS」が届いて、従業員がURLをクリックしてしまいました。
この類のトラブルは「怪しいSMSは開かないように」と言うだけでは防げません。
なぜなら、SMSには以下の特徴があるからです。
SMSが「騙されやすい」理由
1. 送信元が偽装しやすい
- SMSは送信元の電話番号を確認しにくい
- 「Apple」「ドコモ」など、企業名を表示して送ることも可能
- 「本物っぽく見える」のが厄介
2. スマホだと判断しにくい
- PCのメールなら「送信元アドレスを確認」できる
- スマホのSMSは、URLをタップするまで飛び先がわかりにくい
- 小さい画面で、細かい確認がしにくい
3. 「緊急性」を感じさせる
- 「セキュリティ強化」「アカウント停止」など、焦らせる内容が多い
- 「今すぐ対応しないと」と思わせる
こういった理由から、SMSは「怪しいかどうか判断する」こと自体が難しいのです。
具体的に何をすればいいのか?
「判断が難しい」のであれば、「判断しなくていいルール」を作りましょう。
SMSに関するシンプルなルール
一例として、次のようなルールを社員に周知します。
ルール1:SMSのリンクはクリックしない
SMSに書かれたURLは、原則としてクリックしない。
「でも、本物の通知だったら困るのでは?」と思うかもしれません。
その場合は、次のルールです。
ルール2:公式アプリや公式サイトから確認する
もし「アカウントに問題がある」というSMSが届いたら、SMSのリンクではなく、以下の方法で確認します。
- Appleの場合:iPhoneの「設定」アプリからApple Accountを確認
- 携帯キャリアの場合:公式アプリ(My docomo、My SoftBankなど)から確認
- その他サービス:ブラウザで直接公式サイトにアクセスして確認
ルール3:判断に迷ったら情シスに相談
「これ、本物かな?」と思ったら、クリックせずにスクリーンショットを撮って情シス(あなた)に送ってもらう。
このルールがあれば、従業員は「判断」しなくていいんです。
周知の方法
このルール、難しいことは何もありません。
- 3つのルールを紙1枚にまとめる
- 社内チャットや掲示板で共有
- 「迷ったら相談してね」と伝える
これだけで、今回のような被害を防げる可能性が高まります。
今日からできること
このルール作り、実は今日の午後からでも始められます。
予算もかかりません。
- ルールを書き出す:上記の3つのルールをWordやメモ帳で作成
- 社内に周知:メールや社内チャットで全員に送信
- 「相談OK」を伝える:「怪しいSMSが来たら、遠慮なく聞いてね」と一言添える
完璧なセキュリティ教育を目指す必要はありません。
まずは「SMSのリンクはクリックしない」という1つのルールだけでも、大きな効果があります。
まとめ
今回のポイントをまとめます。
- 業務用iPhoneに「セキュリティ強化」を求めるSMSが届き、偽サイトでID/PWを入力
- アカウントを乗っ取られ、iPhoneが初期化、顧客・従業員情報が流出の可能性
- SMSは「騙されやすい」(送信元偽装、スマホで判断しにくい、緊急性を煽る)
- 「判断しなくていいルール」を作る:SMSのリンクはクリックしない、公式から確認
- 迷ったら情シスに相談してもらう仕組みを作る
- 予算ゼロ・今日からできる対策
1人で情シスをやっていると、「社員教育までやってられない」と思いがちです。
でも、今回のような被害は、たった1つのルールを周知するだけで防げる可能性があります。
全部を一度にやろうとしなくて大丈夫です。
まずは「SMSのリンクはクリックしない」というルールの周知から、できることを一つずつ進めていきましょう。
また気になるニュースがあったら、考察記事を書きたいと思います。
経営者から聞かれたときの回答例
もし経営者から「このニュース見た?うちは大丈夫?」と聞かれたら、こんな感じで答えてみてはいかがでしょうか。
はい、見ました。
今回の事件は、業務用スマホに届いた偽のSMSでIDとパスワードを入力してしまい、iPhoneが乗っ取られたものです。
うちでも業務用スマホを使っていますので、『SMSに書かれたリンクはクリックしない』というルールを周知しようと思っています。
まずは社内チャットで注意喚起を送って、何かあったら私に相談してもらう形にします。
ポイントは、「知っている」「考えている」「動こうとしている」ことを伝えることです。
完璧な対策ができていなくても、「把握して、考えて、動いている」姿勢を見せることで、経営者は安心します。
TechAtlas(てっくあとらす) 元・中小企業ITインフラ支援部門責任者 | 9,000社以上の IT環境を支援してきた経験をもとに、IT初心者に寄り添う情報を発信中
ブログ: 中小企業IT担当者のスタートガイド
