ビッシングは特に見破りにくい攻撃です。日本では「オレオレ詐欺」や「振り込め詐欺」など、さまざまな種類のビッシングが日常的な詐欺行為の手段として頻繁に使われています。お隣の韓国でも同じような被害が多く出ており、最近では韓国で『ボイス』というビッシング攻撃を題材にした映画が上映されるほど、注目を集めています。
この記事では、ビッシングの概要や、その見分け方、対策方法をご紹介します。
ビッシングとは何か
では、ビッシングの定義とは何でしょうか?ビッシング(vishing)とは、「ボイス(voice)」と「フィッシング(phishing)」を組み合わせた造語です。フィッシングに似たソーシャルエンジニアリング攻撃で、恐怖や欲、切迫感などの強い感情を利用してターゲットを騙し、個人情報を聞き出そうとするのです。
ビッシング詐欺では、銀行口座番号、電話番号、電子メールアドレスなど、今後の攻撃や個人情報の窃盗に利用できる情報を音声で取得します。
ビッシングとフィッシングは、詐欺で使用する機器が異なるだけで、ゴールは同じです。電子メールや偽装されたURLなど、さまざまなプラットフォームを使用するフィッシングに対し、ビッシングは電話やSkypeなどのVoIP(Voice over IP)技術のみを使用します。ビッシング詐欺には、SMSやテキストメッセージを使ったスミッシングも含まれます。
ビッシングの仕組み
ビッシング詐欺では、詐欺師が正規の企業や銀行、政府機関になりすましたり、ターゲットの知り合いだと嘘をついたりします。電話口に本物の人間がいる場合もあれば、なりすましの電話番号から折り返し電話するようにと留守番電話に伝言を残していく場合もあります。電話をかけると、顧客情報を入力するよう求める機械音声が現れ、アシスタントにつながります。しかし、実際には、ターゲットの情報はハッカーに送信されてしまうのです。
ビッシング攻撃は、AIやディープフェイク技術の台頭により、さらに巧妙になっています。たとえば、上司や家族の声を真似て、実際に本人が助けを求めていることを装えるようになっています。これは特に見分けがつきにくい方法です。
ビッシングの事例
ビッシング詐欺師が使う口実にはさまざまな種類があります。以下に紹介するものは、注意すべき最も一般的なビッシング詐欺です。
1. テレマーケティングまたは企業を装う詐欺
詐欺師は、ターゲットがすでに顧客となっている企業や、ターゲットが欲しているお得な情報を提供している企業など、正規の企業からの電話を装います。たとえば、以下のようなものです。
- 自動車保険会社からの「保険の延長」の誘い。
- 素晴らしい割引を提供するクレジットカード会社。
- 旅行代理店からの「全費用無料の旅行」のプレゼント。
- 宝くじを購入していないのにも関わらず、当選したという内容の電話。
ここで重要なのは、詐欺師は何かを提供する代わりに、必ずターゲットの情報やお金を要求するということです。「手数料を払わないと特典を利用できない」など、理不尽なことを言われるかもしれません。
2. 政府を装う詐欺
この種のビッシング攻撃では、詐欺師は政府機関を装って恐怖と危機感を煽り、「税金が未払いなのですぐに支払ってください。さもないと罰金を課すか、またはさらに厳しい法的措置をとります」などといった嘘の内容の電話をしてきます。
また、別の口実をつけて、現在受けている医療や社会保障を継続して受けるために、保険者番号を聞いてくるかもしれません。もちろん、これらの話はすべて嘘で、ターゲットを騙してお金を払わせたり、保険者番号を教えさせたりするためのものです。
3. テクニカルサポートを装う詐欺
この種の詐欺では、詐欺師は、ターゲットのデバイスをアップデートする必要があることや、すぐに修正する必要がある脆弱性を発見したことなどを伝えます。これらの問題を修正するために、リモートアクセスを許可するように求めてきます。しかし、一度許可してしまうと、詐欺師はターゲットのデバイスを完全にコントロールできるようになり、データを盗んだり、マルウェアをインストールしたりすることが可能になります。そこまで高度でない詐欺の場合は、診断テストを行っているふりをして、テストを完了させるためにターゲットの機密情報を要求することがあります。また、本当は壊れていないデバイスを修理したと言って支払いを要求してくることもあります。
また、詐欺師はこの攻撃を逆手に取って、ターゲットに電話をかけさせようとするかもしれません。ウイルス対策メッセージに似た悪意のある広告やポップアップを作成することでこれを行います。これらのポップアップでは、システム違反が発生しており、その解決のために特定の番号に電話する必要があることが通知されます。電話をかけると、さらに情報を聞き出そうとし、サービスの料金を支払わせようとします。
4. 銀行やその他の金融機関を装う詐欺
このビッシング攻撃では、詐欺師の主な目的は、ターゲットの金融情報を聞き出すことです。銀行になりすまして、ターゲットの口座に不正な請求や疑わしい動きがあることを伝えます。その際、「ログイン情報を伝えて、今すぐに停止する必要がある」と説得します。
5. 親しい人を装う詐欺
人間関係の詐欺は、しばしば高齢者をターゲットに行われます。典型的なシナリオは、ターゲットの孫が困っていて、助けを求めているという電話です。事故に遭って病院にいる、刑務所にいる、海外で足止めされているなどと言って、ターゲットを説得しようとします。彼らが家に帰るための唯一の方法は、ターゲットが一定額のお金を振り込むことです。また、より説得力を持たせるために、「もっと詳しいことを教えてくれる」という医師や弁護士の番号を教えてくることもあります。
ビッシング対策
フィッシングと同様に、ビッシング攻撃の対策には、常識と注意力、そして最新の脅威に対する認識が求められます。
- ビッシングとは何か、そして詐欺師がどのようなテクニックを使うのかを知っておきましょう。この記事をお読みになったあなたは、もうかなりのことを理解したはずです。
- 圧力に屈してはいけません。ハッカーはターゲットにストレスを与え、判断力を鈍らせようと試みます。匿名の電話がかかってきて、機密データを教えるように圧力をかけてきた場合は、恐れずに電話を切りましょう。
- 匿名の電話には出ないようにしましょう。不安感を抱えていると、詐欺に引っかかりやすくなってしまうかもしれません。知らない電話には出ないようにしましょう。緊急の場合や重要な内容である場合は、留守番電話に伝言を残すか、メールを送ってくれるはずです。
- 疑い深くなりましょう。受け取った電話がビッシング詐欺かもしれないと思ったら、電話をかけてきた機関や団体の番号を調べて、直接電話をかけてみましょう。たとえば、銀行を装っていた場合は、オンラインで銀行の電話番号を調べ、教えてもらった情報を再確認してください。
- ソーシャルメディアで共有する情報を制限しましょう。SNSには危険性が潜んでいて、詐欺師はプロフィールに書かれている情報を、説得力を高めるために利用することがあります。よりプライバシーに配慮したアカウントを作成してください。
- 会社でセキュリティ意識向上トレーニングを導入しましょう。企業を経営している方は、従業員がフィッシングやビッシングを見分けることができるように、トレーニングを行いましょう。ハッカーは、より良い利益を得られる企業を好んで標的にします。
- 正規の企業や銀行は、電話で機密情報を尋ねることはありませんし、より安全な連絡手段を提供していることを忘れないでください。
確認済みのライター
