認証基盤を強化する方法としては、アイデンティティ管理
ビッシングは、ボイスフィッシングとも呼ばれ、詐欺師が電話をかけて相手に個人情報を共有したり、送金したりするよう仕向ける詐欺です。 詐欺師は、正規の企業になりすましてソーシャルエンジニアリングの手口を使用することで相手の信頼を得て、詐欺や身元情報盗難に利用できる機密情報を共有するよう説得しようとします。 Keepnetの2024年ボイスフィッシング報告書によると、約70%の組織がビッシングの被害に遭っており、その結果、年間平均で1,400万ドルの経済損失が発生しています。 ビッシングは、個人と組織の両方に影響を与える可能性があり、そのためビッシングの仕組みと、自分の身を守る方法を理解しておくことが重要です。
ここでは、ビッシングがフィッシングやスミッシングとどのように異なるのか、ビッシングのよくある例、こうした攻撃の被害に遭うのを防ぐ方法について説明します。
ビッシング、フィッシング、スミッシングの相違点とは?
フィッシングは、個人情報を共有するよう相手をだますために詐欺師が利用する、サイバー攻撃全般を指す広義の用語と考えてください。 通常、フィッシングはメールを通じて行われ、詐欺師は攻撃の一環として迷惑リンクや添付ファイルを相手に送ります。ビッシングとスミッシングは、同じ目的で行われるため広義のフィッシングの範疇に分類されます。ただし、ビッシングは電話通話を通じて行われ、スミッシングはテキストメッセージ(SMS)を通じて行われます。

ビッシングの仕組み
大半のビッシングは、詐欺師が相手のことを調査して、情報を共有するようだます最良の方法を見つけることから始まります。 犯罪者は、相手のメールアドレスを利用して、相手の電場番号などのその他の個人識別情報(PII)を見つけようとするかもしれません。 このよう情報を利用すれば、詐欺師は相手の市外局番と一致するよう自分の市外局番を偽装して、地元の番号からかかってきた電話だと相手に思い込ませることができます。
詐欺師からの電話を受けた際、詐欺師は銀行口座番号、クレジットカードの詳細情報、自宅の住所といった個人情報を共有するよう説得するかもしれません。 詐欺師は、積極的に話を聞き、親切な会話をして真剣な質問をすることで相手との信頼関係を築き、それによって自分が正当な個人または会社であることを相手に信じさせようとします。 最近では、詐欺師は人工知能(AI)を使うことで、知っている人の声を偽装してビッシング攻撃をするようになっています。 AIを利用する詐欺師は、友達、家族、同僚が電話をかけてきたと信じさせるため、多くの場合ソーシャルメディアに投稿された動画を使って人の声を分析します。 詐欺師がビッシング攻撃にAIを利用した場合、そうした詐欺を見破るのはいっそう難しくなります。声は本物のように聞こえるかもしれませんが、名乗っている本人ではないからです。
電話をかけてきた詐欺師を本物の人物と信じ、電話通話で個人情報を共有してしまった場合、詐欺師はその情報を利用してサイバー犯罪を犯します。 ビッシング攻撃で得た情報を利用して詐欺師が行える悪質行為には、銀行口座からの金銭盗難やクレジットカードを使った不正購入、メールアカウントへのハッキングにより信頼する人物をだますことなどが挙げられます。
ビッシングの例
遭遇する可能性のあるビッシング攻撃として、最も一般的な例には次のようなものがあります。
即時支払いを求める国税庁からの偽の電話
詐欺師は、国税庁の担当官を装って電話をかけ、税金が滞納になっており、法的措置を回避するには機密情報を提供する必要がある、と説明するかもしれません。 国税庁からの偽の電話の多くは事前に録音されたメッセージを使ってかかってくるため、リアルタイムで生の人間と話すことはないと思われます。 「法的措置を回避するには、滞納されている税金を支払うための有効な情報を24時間以内に提出する必要があります」といった内容のメッセージになります。 このビッシング攻撃では、政府機関からの電話だと思わせることで相手を脅かして指示に従わせ、電話の正当性を疑わせないようにしています。 しかし国税庁は、まず最初に郵便あるいは納税者が許可した場合にはメールで連絡を取るまでは、電話で納税者に連絡して支払いを求めることはありません。 自分で電話をかけて正当な国税庁の職員と話をしていることが確実でない限り、絶対に国税庁の職員を名乗る者を相手に電話で支払い情報を提供してはいけません。
銀行口座の詳細情報を求める銀行からの電話
銀行員を名乗る人物から電話がかかってきて、口座の詳細情報を確認するよう求められることがあるかもしれません。 セキュリティコードやパスワードといった口座の詳細情報を共有するよう銀行から求められることはない絶対にないため、これがビッシング攻撃であることは分かります。 銀行員を装った詐欺師は、「不審な請求について確認するため銀行口座の情報が必要です。口座のセキュリティコードを教えていただければ、こちらで確認させていただきます」といった話をするかもしれません。 最も安全なのは、電話を切って銀行に直接問い合わせ、銀行側が口座情報を必要としているかどうか確認することです。 電話で個人情報や機密情報を詐欺師に提供してしまうと、銀行口座から資金が引き落としされてしまう可能性があります。
コンピュータへのアクセスを求めるテクニカルサポート詐欺
テクニカルサポートのビッシング攻撃では、詐欺師がAppleやMicrosoftなどのテクノロジー企業の従業員を装います。 この種の電話では、詐欺師は相手のコンピューターに技術的な問題があることが分かったと話し、その問題を修正するためリモートアクセスする必要があると言います。 詐欺師は電話で「あなたのデバイスにバグが発見されました。問題を修正するにはデバイスにアクセスする必要があります。メールアドレスと現在のソフトウェアの詳細を教えてください」というように言うかもしれません。 コードやダウンロード可能なコンテンツを送信するためのメールアドレスを尋ね、それによってデバイスへのアクセスを得ようとします。 しかし、コードの提供やコンテンツのダウンロードにより、コンピュータにマルウェアがインストールされて、データが盗難されて、プライバシーが侵害される可能性があります。 自分から連絡していないテクノロジー企業から電話がかかってきた場合は、電話を切り、問い合わせて、使っているデバイスで問題が発見されたかどうかについて直接その企業に問い合わせるのが最善の対処方法です。
ID番号を要求するメディケア詐欺
もう1つのよくあるビッシング攻撃は、詐欺師がメディケア担当者を装い、メディケアの受給資格について連絡してくるタイプです。 現在のメディケア番号を提供して本人確認を取らない限り、メディケア受給資格が取り消されると警告するかもしれません。 メディケアを装った詐欺師は、「追加情報をいただかないと本人確認ができません。メディケア補助を受けるには、メディケアID番号を教えてください」といった話をする可能性があります。 このタイプのビッシング攻撃は、相手をだましてメディケア番号やその他の個人情報を共有させて、メディケア給付金や身元情報を盗むことを目的としています。 メディケア担当者を名乗る人物が本当に正当な担当者であることを確認できるか、あるいは自分から先に問い合わせを行っていた場合を除き、個人情報を提供してはいけません。
緊急資金が必要だと主張する親戚
他人が家族を装って電話をかけてきた場合、それを見破るのは簡単だと思われるかもしれませんが、詐欺師はAIを使用して聞き覚えのある声を真似し、情報やお金を提供するようだますようになってきています。 事故に遭った、あるいは今すぐお金が必要になった、といって親戚から電話がかかってきたら、パニックになって衝動的な行動を取らないようにしましょう。 このようなビッシング攻撃はほとんどの場合、祖父母詐欺の形で行われます。通常、高齢者を標的にして、孫や近親になりすまし、何らかの大事件や事故起きたふりをします。 例えば、詐欺師はソーシャルメディアで孫の声を見つける可能性があります。 孫の声をクローンできるAIソフトウェアにこの動画をアップロードすると、詐欺師は説得力を持って孫になりすますことができます。 このような電話を受けた場合は、連絡先に保存されている電話番号にメッセージを送るなど、別の方法を利用してその親戚に直接連絡をしましょう。
ビッシングから身を守る方法
ビッシング攻撃から身を守るには、知らない番号からの電話には出ない、親戚家族の間で秘密の言葉を用意しておく、電話で個人情報を共有するのを避ける、強力なパスワードを使ってアカウントの安全を守るなどの対策ができます。
知らない番号からの電話には出ない
見知らぬ番号から電話がかかってきた場合は、電話に答え出ないのが最善です。 不明な番号は多くの場合スパムや詐欺の電話であることが多いため、迷惑番号を避けることでビッシング攻撃から身を守ることができます。 詐欺師は、ソフトウェアを利用して受信時に画面に表示される電話番号を改変している可能性もあります。多くの場合、信頼を得るため地元の市外局番の番号が利用されます。 連絡先に保存されていない番号の場合、電話に出るより、通話を留守番電話に送った方が安全です。
友人や家族と秘密の言葉を用意しておく
詐欺師はビッシング攻撃の際、AIを利用して聞き覚えのある声を装おうようになっているため、友人や家族の間で秘密の言葉を用意しておきましょう。 最近のビッシング攻撃では、AIの助けを借りて電話の相手が身近な人であることを信じ込ませようとします。 しかし、友人や家族だけが知っている秘密の言葉を使えば、電話をかけてきた相手の身元を確認できます。 発信者が秘密の言葉を知らない場合や間違った答えを言った場合、相手が詐欺師であることがわかります。
個人情報を提供する相手に気を付ける
国税庁や会社の担当員を名乗る人物が電話をかけてきて、直ちに支払いや個人情報を求められた場合は、絶対に電話で機密情報を提供してはいけません。 こうした電話では、情報を提供しないと懲役や高額の罰金などの重大な結果が生じる、と脅されることもあります。 しかし、国税庁や本当の企業に直接連絡を取ったことがない場合、そういった組織から電話がかかってくる理由はまったくありません。こういう電話はビッシング攻撃であると認識しましょう。
強力なパスワードとMFAを使用してアカウントを保護する
ビッシング攻撃やその他のフィッシングから身を守る重要な方法は、強力なパスワードを使用してオンラインアカウントを保護することです。 アカウントごとに、少なくとも16文字で大文字と小文字、数字、記号を組み合わせた強力でユニークなパスワードを設定しておきましょう。 強力でユニークなパスワードを使いアカウントを保護することで、弱いパスワードや使い回しのパスワードを詐欺師に推測されてアカウントがハッキングされ、個人情報が盗まれるリスクを削減できます。
強力なパスワードでアカウントを保護するだけでなく、多要素認証(FMA)を利用できる場合は有効にしましょう。MFAは、アクセスを許す前に別の方法を使って身元を証明することを要求するので、さらに追加のセキュリティー層をアカウントに追加します。 ビッシング攻撃でログイン認証情報を漏らしてしまった場合でも、MFAが有効になっていれば、詐欺師はユーザー名とパスワードだけではアカウントにアクセスできなくなります。身元情報を確認する別の方法が必要なためです。 MFAの種類には、認証アプリで得るコード、セキュリティ質問への回答、PINや生体認証情報などがあります。
直感に耳を傾ける
サイバー攻撃に備えてどれだけ準備していても、攻撃による影響について感情の面で準備するのはなかなか難しいことかもしれません。 ビッシング攻撃を受けていることに気付いた場合、パニックになって論理的に考えられなってしまうのは自然なことです。だからこそ、直感に耳を傾ける必要があります。 電話で話をしている相手の正体について疑わしいと感じた場合、直感を信じて電話を切りましょう。 公式なウェブサイトに記載されている電話番号を使用して直接会社に電話する方が、不安を感じる相手に個人情報を提供するよりもはるかに安全です。
結論
サイバー攻撃にAIが利用されるようになり、ビッシング、フィッシング、スミッシング攻撃から身を守る方法を知っておくのは非常に重要なことです。 親しい友人家族の間で秘密の言葉を用意し、電話で個人情報を共有するのを避け、アカウントを強力なパスワードで保護することで、どのようなビッシング攻撃を受けても身を守ることができます。 強力なパスワードでアカウントを保護する方法として簡単なのは、Keeper®のようなパスワードマネージャーを使用することです。 Keeperパスワードマネージャーを使用すれば、安全で暗号化されたボルトでユニークなパスワードやMFAの方法を生成、更新、保管できます。
Keeperパスワードマネージャーの30日間無料トライアルを開始して、アカウントを保護し、ビッシング攻撃から身を守りましょう。