ビッシング対策はお早めに

デジタルまめ知識

警察や銀行を名乗る人物から連絡がきたり、外国からと思われる見慣れない番号などからの着信を受けたことはありませんか。もしかしたらそれは「ビッシング」かもしれません。今回は、ビッシングとその対策法についてまとめました。

■ビッシングはどんな方法で攻撃するのか

ビッシング（Vishing・ボイスフィッシングともいう）とは、電話や音声通話を悪用した詐欺の手法です。攻撃者は電話で被害者に接触し、銀行やカード会社、警察・税務署などの信頼できる組織を装って話しかけます。電話番号を偽装したり、音声ガイダンスを使った自動通話などで誘導したりすることで個人情報や口座番号、暗証番号、パスワードなどを聞き出します。

こうした攻撃の多くはソーシャルエンジニアリング（人間の心理を操作する技術）を利用し、被害者を不安や緊急性で焦らせるのが特徴です。例えば「あなたの口座が不正利用されています」「緊急に確認が必要なことが起きました」などと言って不安を煽り、被害者が冷静に判断できないままあわてて情報提供をしてしまう流れをわざと作り出すのです。電話はリアルタイムにコミュニケーションがとれるため、メールやSMSよりも偽の信頼感をより演出されやすいのも注目すべき点です。

また、攻撃者は複数の電話番号やVoIP（インターネット電話）技術を使って、番号を容易に偽装したうえで通話を試みます。そのため電話番号によっては表示されても気づかれにくく、つい応答してしまいたくなる危険性が高まるよう仕組まれています。

■ビッシングの仕組みは？

まず攻撃者は電話番号の偽装や大量発信を行って、被害者に接触します。通話がつながる番号だとわかると、信頼できる組織（金融機関、行政、保険会社など）を装って巧妙に話しかけます。

多くの場合は緊急性や権威性、罰則や損失にならないように回避するような内容で心理的に揺さぶり、被害者に冷静な判断をさせないように誘導するパターンが見られます。

実際の会話では暗証番号やログイン認証情報、クレジットカード情報などを尋ねられることがあり、よくある例としては「セキュリティ上の問題が発生している」「本人確認のため」などと偽って、情報を確認させたり重要情報を話させたりするケースです。その上、場合によっては巧妙な自動音声ガイダンスを用いたり、複数言語での対応を用意したりする高度なシステムも利用されます。単純な固定メッセージでは成功率も下がるため、最近ではAIを悪用して被害者の反応に合わせて話の流れや質問のしかたを途中で変えることができる柔軟な対応を可能にする技術も見られるため、より一層の注意が必要です。

■ビッシング、フィッシング、スミッシングの違い

これまでも「フィッシング（Phishing）」「スミッシング（Smishing）」「クイッシング（Quishing / QRishing）」などを取り上げてきましたが、いずれも個人情報をだまし取る詐欺手法です。一番の違いは通信手段で、フィッシングは主にメールを使って偽サイトへのリンクや添付ファイルを送り、アカウント情報を入力させるのが一般的です。

スミッシングはSMS（ショートメッセージ）やメッセンジャーアプリを使って、リンククリックや返信を促して情報を引き出す手法です。

クイッシングは二次元バーコードと呼ばれるQRコード（Quick Response Code）を悪用した、いわばフィッシング詐欺の応用手法です。

いずれの手法も信頼できる機関や知人を装い、被害者の不安や好奇心を刺激するという点で共通しています。例えばフィッシングであれば偽のログインページへ誘導し認証情報を盗むのに対し、ビッシングでは電話で直接パスワードや暗証番号を聞き出すことが目的です。また、スミッシングはテキストメッセージでリンクを送付して偽サイトへ誘導するなど、通信手段の違いに応じた攻撃手法のバリエーションがあることが分かります。
このようにして個人情報を得た後に改めてそれを悪用して、不正送金やアカウント乗っ取り、身元盗用などの被害を引き起こします。

■ビッシングによる具体的な被害事例

電話による詐欺というと「オレオレ詐欺（特殊詐欺）」が思い浮かぶ人も多いことでしょう。高齢者を狙っているか否かで違いはあるものの、電話を利用して個人情報を聞き出すあたりはビッシングとの共通点も多くみられます。

電話しかなかった時代が長い現在の高齢者世代は、たとえ知らない電話番号でもとりあえず電話を取って丁寧に応対するマナーを重視する人が多いため、オレオレ詐欺同様、ビッシングの被害に遭う可能性がより高くなるのも事実です。

ビッシングは個人から企業まで容赦なく襲いかかるのが特徴で、日本に限らず、世界各国でも被害は報告されています。イギリスでは議会関係者を狙って攻撃者が偽の電話を大量にかけて通話を誘導し、機密情報を盗み取ろうとしたケースが確認され、アメリカでも国家機関を名乗るビッシング詐欺が何万人もの個人を対象に行われ、迷惑料や罰金を請求し、支払いのために個人情報や銀行情報を入力させられた事例があります。

これらの攻撃は被害者に甚大な金銭的損失だけでなく、クレジットカードの不正利用や口座からの不正送金、身元盗用といった被害に遭ったその後も別の被害に遭う危険性が延々と続きます。銀行やクレジットカード会社などとのやりとりで、被害者自身が自分の潔白を証明するために多大な労力を要したケースも珍しくありません。

■個人でビッシング対策するには

日本においてはまだビッシングという言葉はあまり耳慣れないかもしれませんが、確実に増えてきている詐欺の一種です。

ビッシング対策として基本となるのは「疑う習慣と確認の徹底」です。まず不明な電話番号からの着信には安易に応答しないことが重要です。公式機関やサービスが個人情報や暗証番号を電話で尋ねることは通常ありえないため、個人情報やパスワードは電話で絶対に答えないことは必須です。それでも不審な通話を受けた場合は、対象の公式サイトに掲載されている連絡先に自らかけ直すか、問い合わせることで正当性を確認できます。電話でその場で急いで情報提供を求められても、即答せずに家族や信頼できる人に相談したり一定時間を置いたりする習慣を身につけましょう。

さらに、重要な電話番号は日ごろから登録しておく、怪しいと感じる番号はいったんインターネットで検索してから判断することもおすすめです。また、音声メッセージ機能（留守番電話）を利用して、発信元が声を残したかどうかを確認するのも一助となります。
とにかく、疑わしいと感じた通話には「必ず公式に確認する」という姿勢が何よりの防御となります。

■まとめ――知らない電話には出ない、個人情報・パスワードは言わない

ビッシングは電話を使ったフィッシング詐欺であり、攻撃者は信頼できる組織を装って機密情報をだまし取ろうとします。フィッシングやスミッシングと異なるのは、音声通話というリアルタイムでの対話手段を使うというところです。

また、ビッシングはソーシャルエンジニアリングという人間の心理を操作するテクニックの一例であり、緊急性や信用といった心理的な揺さぶりをかけるため、それに乗らないことが必要です。実際に大規模な詐欺事件や個人への被害が報告されており、被害額や情報漏洩の影響は深刻です。日頃から不明な電話には応答しない、公式に確認する、個人情報を電話で教えないなどの対策を徹底することが重要です。早めの対策で被害を未然に防ぎましょう。