ＳＮＳを使ったスミッシング攻撃で個人情報が漏えいか

　同社によると、役員が使用する会社貸与のスマホに4月4日、宅配業者を装ったSMS（ショートメッセージサービス）が届き、それを正規の不在通知と誤認して、アカウントやパスワードを入力してしまった。その後、スマホに表示された通知で、第三者による不正アクセスが行われたことが判明した。手口などから、SNSを使った典型的なスミッシング攻撃とみられる

　漏洩した可能性のある個人情報 は、スマホに登録されていた302人分の氏名、電話番号、メールアドレスと、一部に住所と会社名が含まれる。社内調査の上、個人情報が漏洩した可能性がある人には個別に連絡を始めている。

　不正アクセスがあったのは会社貸与のスマホで、読者アンケートなどに関する機密情報や、同社が運用する「小学館ID」に登録された個人情報は、切り離された別システムで保管・管理しており、漏洩していないとしている。

SMSの「不在通知」を模倣したメッセージを経由した詐欺例が多発

　7日に個人情報保護委員会に報告し、警察に相談の上、同社のセキュリティ部門が引き続き状況を精査している。今回の事態を厳粛に受け止め、改めて全社に対してアカウントの適切な管理や個人情報の取扱いについて指導を徹底するとともに、セキュリティ対策の継続的な強化と再発防止に取り組んでいく考えを示している。

　スミッシングは、攻撃者がSMSを使い、標的になった受信者がURLリンクをクリックするよう仕向け、個人情報を送信させたり、スマホに悪質なプログラムをダウンロードさせるフィッシングの一種。実際に国内でも、配送業者になりすまして、SMSに「不在通知」のようなメッセージとともにURLを送付され、誤ってタップしてしまう詐欺例が多発している。