米インテルセキュリティ／マカフィーのモバイルリサーチチームは2016年7月28日（米国時間）、同チームのブログ「McAfee Labs」で、iOSデバイスのユーザーを狙い、Apple IDのユーザー情報を盗むSMSフィッシング詐欺を確認したと告知。その手口を解説するとともに、ユーザーに警戒を呼び掛けた。

このSMSフィッシング詐欺は、携帯電話番号で送れるSMS（ショートメッセージサービス）を用いて「Apple IDが一時的にロックされている」というメッセージを送付し、フィッシングサイトに誘導。Apple IDやパスワードを入力させてユーザー情報を盗むというもの。この攻撃は2016年8月現在も行われているという。

送られてくるフィッシングSMSメッセージの例

フィッシングSMSメッセージは、メールを模して「FRM（送信者）」「SUBJ（件名）」「MSG（メッセージ）」の項目で構成されている。まず、サイトのURL表記は短縮URLサービスが使われており、正式なサイトのURLかどうかをすぐ視認できないようになっている。

短縮URLよりアクセスする中継サイトには「Apple IDが一時的にロックされているため、Appleサイトを訪問し、“安全に”アカウント情報の再認証を行ってください」と書かれている。また、「48時間以内に再認証を完了させないと、Apple IDが停止されます」といったメッセージでユーザーを急かし、正式なサイト名を模したリンクから攻撃者が用意したフィッシングサイトへ誘導する。このサイトでIDとパスワードを入力してしまうと、アカウント情報が抜き取られてしまう。

フィッシングサイトへ誘導する中継サイトの例

短縮URLサービスのbit.lyによると、SMSに記載された短縮URLは2016年7月27日（米国時間）に作成されたもので、1700回以上のクリックがあり、そのほとんどが7月27日に集中。クリックしたユーザーのほとんどが米国からのアクセスで、メキシコやフィリピンといった国からのアクセスも数件確認されているという。ブログでは日本からのアクセスについての言及はないが、今後日本のユーザーを狙った攻撃も想定される。

この他に、以下のフィッシングSMSメッセージで2016年7月22日から開始された攻撃例も見つかっている。

この例では、短縮URLのクリック回数が6000回近くに達し、そのほとんどが7月22日に集中していた。この手のフィッシング詐欺は、発見された段階でリンクが無効化されるため、短期終了／再開を繰り返す傾向があるという。

同チームは、こうしたSMSフィッシングの脅威から自衛する方法として、「なじみのない電話番号や送信者からのメッセージは、基本的に怪しい」と判断し、行動することを勧めている。なお、bit.lyでは、短縮URL文字列の末尾に「+」を付加してアクセスすることで元のURLを確認できる。