新たに確認されたスミッシング攻撃の波が、悪用されたMilesight製産業用セルラールーターに起因することが判明した。
Sekoia.ioの脅威検知・リサーチ(TDR)チームの調査によると、ルーターの APIが悪用され、フィッシングのSMS(テキストメッセージ)が送信された。これは、公式の政府サービスになりすましてベルギーのユーザーを繰り返し狙ってきた手口である。
悪意のある活動が最初に検知されたのは2025年7月22日で、ハニーポットが不審なリクエストを記録した。調査担当者は、ルーターが操作され、フィッシングリンクを含むSMSメッセージを送信していたことを突き止めた。メッセージはCSAMとeBox(ベルギーで広く利用されている2つの政府プラットフォーム)からの連絡を装うことが多かった。文面はオランダ語とフランス語で書かれ、ベルギーの国番号+32が一貫して使用されていた。
Sekoiaは、この種のルーターが公開インターネット上で19,000台以上アクセス可能であると指摘した。そのうち少なくとも572台は認証なしでアクセス可能な状態で露出しており、攻撃者がSMSメッセージの送信や取得を行える。ログから、この手法は少なくとも2022年2月以降に使用されていることが示唆される。
照準に入るベルギー
キャンペーンはフランス、イタリア、スウェーデンなど他国にも及んでいるが、最も頻繁な標的は依然としてベルギーである。
2022年11月から2025年7月にかけて、複数の異なる作戦が連邦の認証サービスおよびデジタル郵便受けサービスになりすました。2025年6月と7月だけでも、これらのサービスを模倣した新たなフィッシングドメインが複数登録された。
スミッシング・キャンペーンはしばしば検証フェーズを経る。攻撃者は、侵害したルーターがSMSを送信できるかどうかを、自分たちが管理する番号に最初のテキストを送ることでテストする。確認が取れると、デバイスは大規模なフィッシング波を仕掛けるために使用される。
政府プラットフォームを狙うフィッシング手口について詳しく読む:内務省を装うフィッシング詐欺が英国の移民スポンサーを標的に
広範に及ぶ詐欺
これらのキャンペーンを支えるインフラは、リトアニアのホスティングプロバイダーPodaonに関連しているようで、フィッシングドメインはNameSiloを通じて頻繁に登録されていた。一部のサイトでは、モバイル以外の端末からのアクセスを制限するスクリプトまで用いられており、アナリストによる検知を抑えていた。
Sekoia.ioの調査結果は、脆弱な機器が悪用され、広範な詐欺が実行されている実態を浮き彫りにしている。キャンペーンは通常、次のようなサービスになりすましていた:
-
ベルギーのCSAMおよびeBox
-
フランスの銀行および郵便関連組織
-
スウェーデンおよびデンマークの通信事業者
持続する脅威
「スミッシングは、依然として重大で進化し続ける脅威である」と、Sekoiaの研究者は警告した。
比較的高度ではないデバイスを悪用することで、攻撃者は大規模に活動でき、複数の国にまたがって不正なメッセージを配布できる。
同社は「この点を踏まえると、警戒を強め続けることが不可欠だ。ユーザーは、依頼していないメッセージ、特に短縮URLや不審なURL、綴りや文法の誤り、緊急の行動を促す内容を含むものには注意すべきだ」と説明した。
「認識と懐疑心は、世界規模で個人と組織の双方をますます標的にするスミッシングの試みに対する、最も効果的な防御の一つである。」
翻訳元: https://www.infosecurity-magazine.com/news/smishing-exploit-cellular-routers/
