Selphish Threat Intelligence – 攻撃者は電話一本であなたに迫る!ビッシングの概要と防御方法のまとめ
フィッシング攻撃は、標的型攻撃メールやビジネスメール詐欺(BEC)とともに、一般的に電子メールを介して行われます。
単純な攻撃のため、ほとんどコストをかけずに実行でき、複雑な手順を踏んだ攻撃手法でも電子メールという媒体であれば、簡単に見分けることは難しくなっています。
フィッシング以外の攻撃手法も増加しています。
例えば、「スミッシング」(英: Smishing, SMS Phishing)はSMSメッセージを介したフィッシング攻撃です。
スマートフォンの普及に伴い、QRコードを使ったフィッシング攻撃「クイッシング」(英: Quishing, QR Phishing)も登場しました。
この記事では、音声を介して個人や組織を狙う攻撃者によってますます使用されている「ビッシング」(英:Vishing, Voice Phishing)について紹介します。
ニューヨークの日本国総領事館では、日本企業を標的としたビッシングに関する警告を発表しています。
ビッシング詐欺の手口が詳しく説明されており、詐欺師が日本の金融機関が閉まっている時間を狙って電話をかけるなどの手法が公開されています。
閉まっている時間を狙うことで、ターゲットとなる企業が電話の意図や正当性を確認するのが難しくなり、詐欺に従ってしまう圧力がさらに強まります。
在ニューヨーク日本国総領事館 – 日系企業に対する振り込め詐欺電話についての注意喚起
https://www.ny.us.emb-japan.go.jp/oshirase/2019-12-24.html
また、生成AIを利用して非常にリアルな音声を作成する技術を悪用し、対象者の家族や友人、同僚を装い、個人を狙った金融詐欺の報告がされています。
INTERNET Watch – 本人そっくりな声で仕掛ける詐欺の手口、AIでさらに巧妙になる「オレオレ詐欺」
https://internet.watch.impress.co.jp/docs/column/dlis/1505075.html
ビッシング詐欺の手口
ビッシング詐欺の典型的なシナリオとしては、以下のような手口が挙げられます。
銀行や金融機関を装った詐欺:
攻撃者は銀行やクレジットカード会社を装い、顧客に電話をかけます。口座の不正利用があったと偽り、本人確認のために個人情報やパスワード、認証コードを尋ねることが一般的です。
技術サポート詐欺:
攻撃者は技術サポート担当者を装い、パソコンのウイルス感染やセキュリティ問題を理由にして被害者に連絡します。リモートアクセスソフトウェアをインストールさせ、個人情報やクレジットカード情報を盗み取ることが目的です。
政府機関や警察を装った詐欺:
攻撃者は政府機関や警察官を装い、「あなたの身元が犯罪に利用されています」などと脅し、個人情報や資金を引き出そうとします。この手口は特に高齢者を狙ったものが多いです。
偽の賞金や懸賞を装った詐欺:
攻撃者は被害者に電話をかけ、賞金や懸賞に当選したと伝えます。しかし、賞金を受け取るためには「手数料」や「税金」が必要だとし、その支払いを要求します。実際には、賞金も懸賞も存在せず、支払われたお金はすべて詐欺師の手に渡ります。
会社の上司や役員を装った詐欺:
攻撃者は会社の上司や役員を装って従業員に連絡し、「緊急の支払いが必要だ」と偽って金銭の送金を指示します。この手口は「ビジネスメール詐欺(BEC)」とも関連し、特に大企業や役職者を狙った詐欺が増えています。
ビッシング詐欺に遭わないためのチェックポイント
電話の発信元を確認する:
不審な電話がかかってきた場合、その電話番号を必ず確認しましょう。公式の連絡先かどうかを確認し、知らない番号からの着信には注意が必要です。特に、非通知や国際電話からの着信には慎重になりましょう。
個人情報を電話で提供しない:
たとえ信頼できる組織からの電話であっても、電話口で個人情報やパスワードを提供しないようにしましょう。本物の企業や機関は、電話でこうした情報を求めることはありません。不審に感じた場合は、一度電話を切り、公式の連絡先に自分からかけ直すことが重要です。
急かす言葉に警戒する:
ビッシング詐欺は、緊急性を強調し、即座に行動を促すことがよくあります。「今すぐ対応しなければならない」や「すぐに情報を提供しないと大変なことになる」といった言葉には特に警戒してください。冷静に考え、真偽を確認することが大切です。
不審な要求を断る勇気を持つ:
電話で不審な要求があった場合は、断ることを恐れないでください。たとえ攻撃者が警察や銀行を装っても、個人情報や金銭を要求される場合は詐欺の可能性が高いです。自分を守るために、断る勇気を持ちましょう。
公式機関に直接確認する:
もし電話で伝えられた情報に疑問を感じたら、すぐに行動を起こさず、公式のウェブサイトや連絡先を使って直接確認してください。特に、大きな金融取引や個人情報の提供を求められた場合は、必ず確認を取ってから対応しましょう。
通話内容をメモして記録する:不審な電話があった場合、その内容をメモして記録に残しておきましょう。後から確認することで、詐欺かどうかを見極める手助けになります。また、必要に応じて警察やセキュリティ部門に報告する際にも役立ちます。
Selphishの経験と教育コンテンツでビッシング詐欺に備える
ビッシング詐欺は、電話を利用した巧妙な手口であり、個人情報や金銭を狙う非常に危険な詐欺です。
従来のフィッシング詐欺とは異なりリアルタイムで行われるため、被害者は緊急性や信頼性に騙されやすく、特に銀行や政府機関を装った詐欺には特別な注意が必要です。
従業員のセキュリティ意識を高めることが、ビッシング詐欺への最善の防御策です。
Selphishが提供するフィッシング詐欺の訓練を通じて、ビッシングなど他の手口に対する認識を深めることができます。
ビッシングのような電話を使った詐欺に対しても、より冷静かつ慎重に対処できる力を養うことが可能です。
まとめ
ビッシング詐欺の手口は日々進化しており、電話を通じた詐欺から身を守るためには、まず詐欺の手口を知ることが求められます。
この記事を活用することで、従業員は最新の詐欺手口に対する認識を深め、組織全体のセキュリティを強化することができます。
ビッシング詐欺の脅威が増している今、堅固な防御体制を築き、詐欺から企業と従業員を守りましょう。