ビッシング

ビッシングの定義

ボイスフィッシングの略語であるビッシングとは、被害者を誘導し、ログイン情報、クレジットカード番号、銀行情報などの機密情報を聞き出すことを目的とした虚偽の電話またはボイスメッセージを指します。その後、これらの情報は詐欺、個人情報の盗用、財務情報の盗用などの犯罪に使用されます。フィッシングは被害の件数と金額が多い攻撃です。2022 年には、フィッシングは 2 番目に多かったデータ侵害の原因であり、企業が被った侵害の平均被害額は 491 万米ドルでした。

ビッシング詐欺では、攻撃者は信頼性の高い組織（被害者の銀行、IRS、宅配業者など）のふりをして、不意に電話をかけます。フリーダイヤルや Voice over Internet Protocol（VoIP）テクノロジーを使用して、信頼できる組織に見せかけます。

ただし、これらの攻撃は電話だけに限られません。多くのビッシング攻撃は、受信者に電話をかけさせようとするフィッシング E メールから始まります。通話が始まると、詐欺師はソーシャルエンジニアリング戦略を使用して、個人情報を共有するようにターゲットを説得します。

多くの場合、ビッシング詐欺のターゲットは年配者、新入社員、業務の一環としていつも社外からの電話を受けている従業員などです。ビッシング攻撃を防ぐには、厳しい警戒、情報に基づいた予防策、堅牢な E メール セキュリティ ソリューションが必要です。このページでは、ビッシング攻撃から機密情報を保護するために役立つテクニックとツールを紹介します。

ビッシングの目的

ビッシングの主な目的は、非公開の機密情報を個人やビジネスから不正に取得することです。以下は、詐欺師が求める価値の高い情報の例です。

• 銀行口座番号やクレジットカード番号などの機密情報
• 社会保障番号や個人識別番号などの個人データ
• セキュリティ認証情報、パスワード、PIN

ビッシングが使われる理由

攻撃者が音声コミュニケーションを選ぶのは、被害者を誘導するうえで 2 つの特有の利点があるためです。それは緊急性を煽ることと信頼性を醸成することです。音声通話によって、被害者は詐欺師に対する警戒を解き、衝動的な決断をしやすくなります。また、詐欺師は音声通話によってターゲットと個人的につながり、被害者の言動に直接反応し、感情のシグナルを利用することができます。これは、通常のフィッシング E メールでは難しいことです。

テクノロジーの進歩によって騙すことが簡単になり、より効果的になったため、詐欺師はますますビッシングを好む傾向にあります。VoIP や発信者 ID スプーフィングのような無料または安価なツールで、信頼できる番号になりすまし、攻撃者の正体と発信元を隠すことができます。また、詐欺師は高度なソフトウェアによって個人の声を複製し、虚偽のコミュニケーションにより信頼性を持たせることも始めています。ディープフェイク テクノロジーが利用しやすくなったことで、本物の声と合成された声の違いは曖昧になっており、ビッシング攻撃の危険は劇的に高まっています。

ビッシング、フィッシング、スミッシングの違い

ビッシング、フィッシング、スミッシングはそれぞれ異なるコミュニケーション手法を使いますが、その目的は同じで、信頼させた個人またはビジネスのアカウントを乗っ取り、詐欺を実行し、お金を盗むことです。

これら 3 つのフィッシング手法の違いは以下の通りです。

• ビッシング：口頭で機密情報を共有するように被害者を促す通話詐欺
• フィッシング：詐欺目的の Web サイトまたはマルウェアのダウンロードへのリンクをクリックするように被害者を誘導する E メール詐欺
• スミッシング：やはり悪意のあるリンクをクリックしたり、偽の Web サイトにアクセスしたりするように被害者を促すテキストメッセージ詐欺

ビッシング E メールが検出されるのを避ける方法

すべてのビッシング攻撃が通話から始まるわけではありません。多くの攻撃者が、権威のある組織や信頼できる組織のふりをした巧妙な E メールから詐欺を仕掛けます。その後、通話によって、受信者が要求に応えるように説得します。ビッシング攻撃がフィッシングメールから始まる場合、なぜ E メールセキュリティフィルタを通り抜けられるのでしょうか？　考えられる理由は 3 つあります。

• E メールにリンクがない：悪意のあるリンクがある場合、セキュリティシステムは簡単に E メールにフラグを立てることができます。ただし、一般にビッシング E メールは電話をかけるように受信者を促すものであり、通常のセキュリティツールが特定できるリンクを貼る必要がありません。通話をすることを強調する内容であるため、フィッシング詐欺の常套手段である、従来のクリック可能なリンクやボタンをなくすことができます。
• 正当に見える送信者からの E メールである：なりすましの E メールアカウントは、Gmail アカウントなどの個人 E メールアドレスから送信された場合、Domain Based Message Authentication Reporting（DMARC）、Sender Policy Framework（SPF）、DomainKeys Identified Mail（DKIM）などの認証スクリニーングを通過できます。
• E メールセキュリティツールの効果低減：E メールが最初の 2 つのフィルタを通り抜けた場合、基本的な E メールセキュリティシステムによって低リスクに分類され、受信者の受信トレイに送信されます。この問題は、フィッシング攻撃、ビジネス E メールの侵害、ランサムウェア を検出および修復するために設計された高度な E メール セキュリティ ソフトウェア によって緩和できます。

URL とは異なり、電話番号はサイバーセキュリティ コミュニティの侵害の指標（IOC）として常に追跡および共有されているわけではありません。このように電話番号が体系的に管理されていないため、ビッシング詐欺メールが従来の E メールセキュリティチェックをすり抜ける確率が高くなります。

ビッシングの例

テクノロジーの進歩により、一般的なビッシング詐欺は非常に巧みな攻撃に進化しました。人間の信頼と焦りをお金に変えるこのような詐欺はリアルなビジネスやシナリオをでっち上げ、組織に深刻な被害を与えます。

以下は一般的なビッシング詐欺の例です。

IRS（米国国税庁）を騙った税金に関する詐欺

通常、IRS ビッシング詐欺は、事前に録音されたボイスメッセージを使用して確定申告の問題に関する警告を発し、提示された電話番号で直接 IRS に問い合わせるように促します。これらのメッセージは、たいてい脅すような口調で語られ、応じない場合は逮捕状が出される場合があると警告されます。

IRS になりすますことは、E メール詐欺と音声詐欺の両方のサイバー犯罪者の間で一般的な戦略となっています。IRS という名前によって即座に信頼感と緊迫感が生まれ、被害者は要求の正当性に疑問を持たずにすぐに行動してしまいます。

テクニカルサポート攻撃

テクニカルサポート ビッシング詐欺では、詐欺師は Apple、Microsoft、Google などのテクノロジー企業の担当者になりすまし、オンラインアカウントに不審なアクティビティがあると警告します。通常、詐欺師は重要なソフトウェアアップデートを送信するために E メールアドレスを要求しますが、そのアップデートがマルウェアに感染したダウンロードファイルです。

テクニカルサポート詐欺は、被害者の技術的な知識が不足している可能性を突いてきます。これらの詐欺師は脅しの戦略を使い、深刻なセキュリティの脅威や技術的な問題を示唆して恐怖と危機感を植え付けます。すぐに解決できるソリューションを提示し、被害者のコンピュータへのリモートアクセス権を得る場合もあります。アクセス権を得た攻撃者は、個人データや企業データを盗んだり、悪意のあるソフトウェアをインストールしたり、システム全体に損害を与えたりできます。

銀行なりすまし詐欺

銀行なりすまし詐欺では、詐欺師はクレジットカード会社や銀行などの金融機関になりすまし、アカウントに不正にアクセスします。異常な、または不審なアクティビティがあると主張し、問題を解決するためと偽ってアカウントの詳細とログイン情報を確認するように要求します。

金融機関に直接問い合わせた場合は、機密情報によって本人確認を求められる可能性もあります。ただし、正規の金融機関が電話をかけてきてパスワードやセキュリティコードを尋ねることは決してありません。

社会保障または医療保険詐欺

年配者は最新のフィッシング詐欺戦略に疎い可能性が高いため、サイバー犯罪者のターゲットとして選ばれやすくなります。これらの詐欺では、犯罪者は社会保障または医療保険の担当者になりすまし、新しい社会保障番号を発行するとか、給付金について話し合うなどと偽って機密性の高いアカウント情報を聞き出そうとします。年配層は E メールやテキストメッセージよりも電話でのコミュニケーションを好む傾向にあるため、フィッシングやスミッシング攻撃よりもビッシング詐欺の被害に遭う確率が高くなります。

これらの詐欺に遭いやすそうな友人や親族がいる場合は、IRS、社会保障当局、医療保険担当者が電話をかけてきて個人情報を要求したり脅したりすることは決してないと伝えてください。正規の連邦機関が電話、E メール、テキストメッセージ、ソーシャルメディアで個人に連絡を取り、個人情報や財務情報を要求することはありません。

配送詐欺

オンラインショッピングが広く普及したことで、多くの個人やビジネスは購入したものを把握し続けることが難しくなっています。そして、サイバー犯罪者はこの見落としを利用しようとしています。Amazon や UPS の担当者になりすました詐欺師が、配達に問題が発生したと通知し、これらの架空の注文の問い合わせのための番号を伝えます。

信頼した顧客が電話をかけると、カスタマーサービスのふりをした詐欺師が発信者から個人情報を聞き出します。Amazon プライムデーなどのイベントの人気が高まり、オンラインショッピングがますます一般的になっている現在、消費者はこれらの配送詐欺について認識しておく必要があります。

ローンおよび投資詐欺

低リスクで高リターンの投資機会、または借金を異常に早く返済できると謳うローンを持ちかけられた場合は、特に注意することが重要です。話が嘘のようにうますぎると感じられる場合、たいていは嘘です。

これらのローンや投資詐欺から自分自身を守るためのヒントを以下に挙げます。

• リスクや関連するコストについて尋ねる
• 高圧的な売り込みや積極的な販売戦略に抵抗する
• 詳細を書面にするように要求し、自身で調査も行う
• 発信者の肩書きや信用だけを理由に契約しない
• 投資やプロモーターの正当性を検証する
• 完全にリスクがない、または利益が保証されるという主張は拒否する。正当な投資には常に一定のリスクがあるため、これらは危険信号である

音声複製ビッシング詐欺

音声複製テクノロジーは、人工知能を使用して危険なほどリアルなフェイクオーディオまたはビデオクリップを作成できます。サイバー犯罪者は現在このような AI ツールを使用して、ターゲットの親族や信頼できる人間を真似た音声録音を捏造しています。たとえば、CEO の音声を複製して、多額の送金を要求する場合もあります。音声の模倣が正確なため立場の低い従業員は通話が本物だと信じ、権威のある人物からの要求の緊迫感と相手への敬意から従ってしまう可能性があります。

音声複製ツールがより高度になり、広まるにつれて、そのような詐欺のリスクも高まっています。そのため、たとえ発信者の声を知っている場合でも、強力なセキュリティプロトコルと厳重な警戒が必要であることを理解していなければなりません。

ビッシングのサイン

ビッシング詐欺の特徴を認識することは、アイデンティティと資金を保護する鍵となります。以下は、ビッシング詐欺を特定するためのヒントです。

• スプーフィングされた電話番号：ビッシング詐欺者はよく、信頼できるビジネスや機関のものに似たスプーフィングされた電話番号を使用しますが、本物の番号とはわずかに異なります。たとえば、詐欺師は受信者がわずかな違いに気づかないことを期待して、正規の銀行に非常に近い番号を使用する可能性があります。発信者番号が地域の番号や知っている企業を示唆している場合でも、常に用心してください。
• 攻撃的な通話戦略：通常ビッシングやフィッシング戦略は、危機感や恐怖を呼び起こします。緊急のアカウントの問題、不審なアクティビティの検出、最終警告などの文句を使用して、迅速に応じることを促す可能性があります。個人データやお金が関わる場合は特に、すぐに行動するように要求する通話には注意してください。また、親近感を作り出し、以前の会話、関係性、会社の上下関係をほのめかす場合もあります。このような手法によって信頼感のようなものが生まれますが、詐欺師は徐々に被害者を侵害のための行動へと誘導していきます。
• 唐突な機密データの要求：ビッシング攻撃の目的は、パスワード、PIN、認証コード、財務情報などの機密情報を盗むことです。正規の機関は、一方的な通話でそのような情報を要求することは決してありません。
• 公開されている情報の使用：詐欺師は、オンラインソースやソーシャルメディアから取得した一見個人的な情報を提示し、正当な通話に見せかける場合があります。ただし、住所、最近の取引、家族に関する情報を知っているからといって、発信者の真正性は保証されません。 
• 独自に検証：通話が本物のように聞こえても不審に感じる場合は、すぐに要求に応じないでください。発信者の指示に従うのではなく、電話を切ってから公式 Web サイトや自分の電話帳で確認した番号を使用して直接その機関や人物に電話をかけてください。不審な通話中に提示された電話番号を使用することは絶対に避けてください。

ビッシング攻撃を受けた時に取るべき行動

ビッシング攻撃の被害を受けた場合は、すぐに行動することで潜在的な被害を緩和し、個人情報がそれ以上詐取されることを防ぐことができます。そのためには、次のことを実行するとよいでしょう。

• 金融機関に詐欺行為について警告し、アカウントを凍結するか異常なアクティビティを監視するようにリクエストする。
• アカウント上のすべての侵害されたパスワード、PIN、セキュリティ認証情報を変更し、固有で強力なパスワードを設定する。
• 支援を提供したり他者に警告したりできる可能性があるため、詐欺師がなりすましていた関連企業や機関に通知する。
• 連邦取引委員会（FTC）または FBI のインターネット犯罪苦情センター（IC3）に報告し、このような詐欺と戦う取り組みに貢献する。
• 企業の機密情報を漏洩してしまった従業員の場合は、ただちに企業の IT 部門またはサイバーセキュリティチームに通知し、ダメージコントロール プロトコルを開始できるようにする。

詐欺師が個人を騙すことが可能な限り、ビッシングなどのサイバー犯罪者は一般社会で詐欺行為を働き続けるはずです。ただし、時間をかけてビッシング詐欺を特定し、対抗することで、その効果を弱めることができます。引き続き、ビッシング攻撃を防ぐ方法をご覧ください。

ビッシングと電話詐欺を防ぐ方法

ビッシング攻撃を緩和し、組織への潜在的な影響を減らすためには、以下のようなベストプラクティスを検討してください。

多要素認証（MFA）でアカウントを保護する

MFA は、アカウントへのアクセスに単一のパスワードだけではなく、2 つ以上の認証要素を要求するセキュリティツールです。サイバー犯罪者がビッシング詐欺でパスワードを盗んだ場合も、MFA を利用している場合、追加の認証要素をバイパスすることは非常に困難です。

脅威に対する防御で E メールセキュリティを強化する

ビッシング攻撃者は、詐欺の手始めに E メールを利用することが一般的です。ビッシング、フィッシング、ビジネス E メールの侵害（BEC）攻撃を防ぐには、E メールセキュリティをもともと備わっているセキュリティフィルタよりも強化することが重要です。

包括的な E メール脅威に対する防御ソリューションは、組織に侵入するビッシング詐欺のリスクを劇的に軽減します。Cisco Secure Email Threat Defense などのソリューションをご検討ください。組織に大惨事を引き起こす可能性のあるフィッシング攻撃を特定し、事前にすばやく修復できます。

電話禁止（Do Not Call）リストに登録する

国の電話禁止リストに登録することで、ビッシング攻撃のリスクを軽減できます。通常は政府機関によって管理されるこれらのリストを利用して、正規の企業から受ける一方的な通話の数を大幅に減らすことができます。詐欺師を止めることはできませんが、不審な通話を特定することが容易になります。

一方的な通話に応答することを避ける

従業員に、電話に対応する際に注意すべきこととして、次のようなことを教育してください。

• 知らない番号からの電話に出ないようにしてください。発信者が正当かどうか確信が持てない場合は、ボイスメールに切り替わるのを待ち、メッセージを聴いてください。発信者の ID と電話番号は操作できることに注意してください。
• 通話している発信者が怪しいと感じた瞬間に、電話を切って番号をブロックしてください。AI を使用することで犯罪者はわずか 3 秒のクリップから個人の声を複製し、後にその声の人物になりすまして詐欺行為を行うことができます。
• 知らない番号の場合は特に、不在着信にかけなおすことを避けてください。代わりに、公式 Web サイト、クレジットカード、書面の取引明細書など、信頼できる情報源から正式な電話番号を探してください。
• ボタンを押すか、「はい」または「いいえ」の質問に答えるように要求する、一方的な通話の音声プロンプトに応答しないでください。詐欺師はこのような手口を使用して、実在する従順な人間が応答したことを確認し、さらなるビッシング通話の足がかりとします。

ビッシング ソーシャルエンジニアリングの戦略に注意する

ビッシング攻撃であることを示唆する以下のソーシャルエンジニアリング戦略を警戒するように、従業員を教育してください。

• 迅速に従わなければただちにアカウントを閉鎖する、法的な措置を取る、または逮捕するという脅迫
• すぐに決断が必要な、大きな報酬、現金の当選、特別な取引の約束
• 親切を装ったり、個人的なつながりがあると主張したりして、警戒を解こうとする発信者
• 他者への相談や正当性の検証を妨げるための、秘密であるという主張

発信者がこれらの戦略を利用している場合は、丁寧に、ただし断固として通話を終了してください。正規の企業や機関は、このような方法でビジネスを行うことはありません。

ビッシングの E メールまたはテキストメッセージを受け取った可能性がある場合は、以下の要素を注意深く確認してください。

• 送信者または発信者の名前、E メール、電話番号
• 書かれている内容の文体や切迫感
• 内容の矛盾や誤り
• 特にただちに行動することを要求する、行動を促すリクエストの性質

決して電話で機密データを共有しない

発信者がアカウント番号、個人識別番号、パスワード、その他の機密データなどの個人情報や企業情報を要求した時は、常に警戒してください。不安になったり、何かがおかしいと感じた場合は、直感に従ってください。通話を切り、正式な通信チャンネルを使用して問題の機関に直接問い合わせてください。

身分証明を求める

発信者に身分の確認を求めることで、常にデータの安全性を優先してください。評判の高い組織の正規の担当者であれば、自身の肩書き、通話の目的、所属する機関についての情報を進んで提供するはずです。念の為に発信者の名前をメモし、発信者が提示した番号ではなく組織の公式 Web サイトまたは自身の電話帳で確認した電話番号を使用してかけ直してください。このステップは、通話をしているのが正規の担当者であり、ビッシング詐欺にかかっていないことを確認するために不可欠です。

従業員にフィッシング防止戦略をトレーニングする

最新のビッシング防止戦略について、定期的に時間とリソースを割いて従業員を教育することが非常に重要です。これらのトレーニングプログラムでは、サイバー脅威の最新のトレンド、防御戦略、ターゲットになった場合に効果的に対応する方法について教育し、チームが組織の機密データと資金を積極的に守れるようにします。