音声(Voice)とフィッシング(Phishing)からなる造語で、電話や留守番電話といった音声を悪用した詐欺手法
フィッシング詐欺は、ユーザーの個人情報を不正に入手することを目的とする攻撃手法の総称だ。このバリエーションには、標的となる特定の攻撃対象を絞り込んで狙う「スピアフィッシング」、スマートフォンのSMSを用いて個人情報、クレジットカード番号などの窃取を企む「スミッシング」などが含まれる。
「ビッシング」も同様にフィッシング詐欺における手法の1つだ。特徴的なのは、電話や留守電といった音声メディアを利用する点だ。攻撃者は、役所・銀行・企業といった信頼できる組織の人員になりすまし、標的のユーザーに架電する。そして、言葉巧みにクレジットカード番号や銀行口座番号などの個人情報、場合によっては金銭を盗み取ろうとする。こうした特徴から、「ボイスフィッシング(声のフィッシング)」と呼ばれる。
ビッシングの手口
ビッシングの本質は、人の心を惑わすための話術だと言える。信頼できる組織・機関の人員になりすまし、切迫感や恐怖心を煽ることで、被害者に警戒や疑いの目を向かせないよう働きかける。会話の内容に集中させることで、話を信じ込ませるのだ。主な手口として以下のような例が挙げられる。
特徴的な商材の通販になりすます
心理的に購入に抵抗感があるものの、多くのユーザーが興味を持ちやすいような商材を案内して詐欺を働くケースがある。いわゆる「コンプレックス商材」と呼ばれる類のものや法律違反かどうか怪しい商材で、取引において騙されてしまってもユーザーが声を上げづらいという点につけ込む。
金融機関のサポートになりすます
大手送金機関を装い、多額の引き落としがあったとの偽りのメールを送りつけ、メール内の電話番号へ連絡するようユーザーに要求する。その通話先にて攻撃者は緊急性を煽り、ユーザーを混乱に陥れる。冷静さを失わせて、例えばクレジットカード情報といった機密情報を盗み出すのだ。
自動音声通話で誘導する
海外では、自動音声通話が日本国内より普及している。Web上の入力や人との会話だと疑ってかかるユーザーでも、「相手が音声合成だとうっかり信じて話してしまう」ということも少なくない。そのような心理状態を狙うべく、攻撃者はこうした手法を用いる。
ソーシャルメディアで情報を収集する
FacebookやTwitterをはじめ、SNSは個人情報の宝庫だ。いわゆるソーシャルエンジニアリングという手法に該当するが、さまざまな情報を収集した後に攻撃者は詐欺を仕掛ける。
マルチチャンネル詐欺
SMS、メール、留守番電話を組み合わせ、標的のユーザーを狙う。「配送先を確認したい」、「支払いに不審な点があった」といったメッセージ内に電話番号を記載し、その番号に折り返しを要求するのだ。電話元には攻撃者が控えており、ユーザーへの詐欺を試みる。この場合、被害者の方から電話を折り返すことから、「逆ビッシング」、あるいは「リバースビッシング」と呼ばれることもある。
ビッシングの被害例
ビッシングの被害は、個人だけでなく企業にも広がっている。企業の場合、主に管理者権限のあるアカウント情報を詐取するためにビッシングが使われることが多い。以下にいくつか事例を紹介する。
ITヘルプデスクになりすましてのアカウント情報窃取
2020年から2021年にかけ、米国にてITヘルプデスクの担当者になりすまして電話をかける巧妙な手口が複数報じられた。自社のVPNログイン画面に偽装したフィッシングサイトへ誘導され、ログイン情報を入力してしまった。その結果、アカウント情報を盗み出され、企業ネットワークが悪意のある攻撃者に晒される事態に陥った。
テクニカルサポート詐欺
パソコンの画面がブルースクリーンに切り替わり、どこをクリックしても平常の画面に戻ることができなくなった。そうした状況下で電話番号が記載されたウィンドウが表示される。その番号に発信してしまうと、マイクロソフト社のサポート担当になりすました攻撃者につながってしまう。
税務職員詐欺
米国では税務職員詐欺、あるいはIRS(米国歳入庁)詐欺と呼ばれる手法も確認されている。これらの職員を装ってユーザーに架電し、電話口に出たユーザーに対して、税金が未納であり、至急入金をすべく要求する。
請求書・領収書詐欺
心当たりのない請求書、あるいは領収書を送りつけるという手法の詐欺だ。高額な商品の請求書・領収書が送りつけられたユーザーは不安に駆られ、書類内の電話番号に自ら発信してしまう。
ビッシングへの対策
ビッシングによる詐欺はますます巧妙化しているが、さまざまな対策も考え出されている。
電話番号の提供先を慎重に判断する
オンラインで個人情報を提供する場合、信頼に足る相手かどうか見定めなくてはならない。また、信頼性に欠けるWebサイトでの情報入力は極力避けるようにすること。自らの個人情報や、業務での機密情報などについてはオンライン/オフラインを問わず、慎重を期して行うようにしたい。
冷静に対処する
先述のように、攻撃者は緊急性を煽ることで攻撃成功につなげようとする。あるいは、公的機関や大手企業の名を騙ることで心理的に不安な状況を逆手に取ろうとする。こうした手口に乗らないためにも、冷静に対処することを心がけたい。
記載された情報の真偽を冷静に判断する
先述のとおり、折り返しを要求するメールの場合は何かしら連絡先が記載されている。その電話番号が正規の事業者であるかを判断するためにも、検索エンジンなどで調べるようにするとよいだろう。
多要素認証(MFA)を有効化する
攻撃者は言葉巧みにユーザーからアカウント情報などの機密情報を盗み出そうとする。今後もさまざまな手口が用いられ、情報提供を促すためのスクリプトが作られ続けるだろう。そのため、仮にアカウント情報が流出した場合であっても、簡単にはログインできなければその間に何かしらの対処が可能となる。
今やログイン時に多要素認証を利用できるサービスは少なくない。こうした機能を提供しているサービスを利用する場合、有効化することで確実に安全度は高まるはずだ。