Vishing - Voice Phishing Attacks
About 2 min read
ビッシング (Vishing) とは、電話 (Voice) を利用したフィッシング攻撃の総称です。 「Voice」と「Phishing」を組み合わせた造語で、攻撃者が電話口で銀行員、警察官、 テクニカルサポート担当者などを装い、被害者から口座情報、パスワード、 クレジットカード番号などの機密情報を聞き出します。メールやSMS と異なり、 人間の声による直接的なコミュニケーションは心理的な圧力が強く、 冷静な判断を妨げる効果があるため、被害に遭いやすい攻撃手法です。
典型的な手口
「お客様の口座で不審な取引を検知しました」と緊急性を演出し、 本人確認と称して暗証番号やワンタイムパスワードを聞き出す。 実際の銀行名と支店名を名乗り、行員番号まで伝えることで信憑性を高める。
「お使いの PC がウイルスに感染しています」と警告し、 リモートアクセスツールのインストールを指示する。 遠隔操作で偽のエラー画面を見せ、有料サポート契約やギフトカードでの支払いを要求する。
「未納の税金があり、本日中に支払わなければ逮捕される」と脅迫する。 公的機関の権威と法的制裁への恐怖を利用し、冷静な判断を奪う。 日本では「還付金詐欺」として社会問題化している。
ビッシング攻撃のフロー
AI 音声合成による進化
生成 AI の急速な発展により、ビッシングは質的な転換点を迎えています。 わずか数秒の音声サンプルから、特定の人物の声をリアルタイムで再現する技術が 一般に利用可能になりました。 2023 年には、 CEO の声を AI で合成して経理担当者に 電話をかけ、 24 万ドルを詐取した事例が報告されています。ディープフェイク音声は 従来のビッシングの最大の弱点であった「声で本人と分かる」という前提を根底から覆しました。 家族や上司の声で電話がかかってきても、それが本人である保証はもはやありません。
発信者番号偽装 (Caller ID Spoofing) の仕組み
ビッシングの成功率を高める重要な技術が、発信者番号偽装です。 VoIP (Voice over IP) 技術を利用すると、発信者番号を任意の番号に設定できます。 攻撃者は銀行の代表番号や警察署の番号を表示させることで、着信画面を見た被害者に 「本物の機関からの電話だ」と信じ込ませます。日本では 2024 年に総務省が 発信者番号偽装対策として STIR/SHAKEN (発信者番号の電子署名検証) の導入を 推進していますが、固定電話網を含む全面的な普及にはまだ時間がかかります。phone scam prevention guides on Amazonで最新の手口と防御策を確認しておくことを推奨します。
効果的な対策
かかってきた電話で機密情報を伝えない。一度切って、公式サイトや通帳に記載された 正規の電話番号に自分からかけ直す。これだけで大半のビッシングを防げる。
家族間や組織内で事前に合言葉を決めておく。 AI 音声合成で声を偽装されても、 合言葉を知らなければ本人でないと判断できる。
不審な電話を受けた場合の報告フローを整備する。「恥ずかしい」「大げさかも」と 思わせない心理的安全性の確保が、早期発見と被害拡大防止の鍵となる。
ビッシングはソーシャルエンジニアリングの 古典的な手法でありながら、 AI 技術との融合により再び脅威度が急上昇しています。スピアフィッシングと 組み合わせた標的型攻撃では、事前にメールで信頼関係を構築してから電話で仕上げるという 多段階の手口も確認されています。フィッシング対策ガイド、AI フィッシングの最新動向、実際のソーシャルエンジニアリング事例も あわせて参照してください。
Was this article helpful?