ビッシングとは

この記事は約 2 分で読めます

ビッシング (Vishing) とは、電話 (Voice) を利用したフィッシング攻撃の総称です。「Voice」と「Phishing」を組み合わせた造語で、攻撃者が電話口で銀行員、警察官、テクニカルサポート担当者などを装い、被害者から口座情報、パスワード、クレジットカード番号などの機密情報を聞き出します。メールや SMS と異なり、人間の声による直接的なコミュニケーションは心理的な圧力が強く、冷静な判断を妨げる効果があるため、被害に遭いやすい攻撃手法です。

典型的な手口

銀行員なりすまし

「お客様の口座で不審な取引を検知しました」と緊急性を演出し、本人確認と称して暗証番号やワンタイムパスワードを聞き出す。実際の銀行名と支店名を名乗り、行員番号まで伝えることで信憑性を高める。

テクニカルサポート詐欺

「お使いの PC がウイルスに感染しています」と警告し、リモートアクセスツールのインストールを指示する。遠隔操作で偽のエラー画面を見せ、有料サポート契約やギフトカードでの支払いを要求する。

税務署・公的機関なりすまし

「未納の税金があり、本日中に支払わなければ逮捕される」と脅迫する。公的機関の権威と法的制裁への恐怖を利用し、冷静な判断を奪う。日本では「還付金詐欺」として社会問題化している。

ビッシング攻撃のフロー

発信者番号を偽装

権威ある人物を名乗る

緊急性・恐怖で圧力

機密情報を聞き出す

口座・アカウントを悪用

AI 音声合成による進化

生成 AI の急速な発展により、ビッシングは質的な転換点を迎えています。わずか数秒の音声サンプルから、特定の人物の声をリアルタイムで再現する技術が一般に利用可能になりました。 2023 年には、 CEO の声を合成して経理担当者に電話をかけ、 24 万ドルを詐取した事例が報告されています。ディープフェイク音声は従来のビッシングの最大の弱点であった「声で本人と分かる」という前提を根底から覆しました。家族や上司の声で電話がかかってきても、それが本人である保証はもはやありません。

発信者番号偽装 (Caller ID Spoofing) の仕組み

ビッシングの成功率を高める重要な技術が、発信者番号偽装です。 VoIP (Voice over IP) 技術を利用すると、発信者番号を任意の番号に設定できます。攻撃者は銀行の代表番号や警察署の番号を表示させることで、着信画面を見た被害者に「本物の機関からの電話だ」と信じ込ませます。日本では 2024 年に総務省が発信者番号偽装対策として STIR/SHAKEN (発信者番号の電子署名検証) の導入を推進していますが、固定電話網を含む全面的な普及にはまだ時間がかかります。電話詐欺対策の解説書 (Amazon)で最新の手口と防御策を確認しておくことを推奨します。

効果的な対策

コールバック検証

かかってきた電話で機密情報を伝えない。一度切って、公式サイトや通帳に記載された正規の電話番号に自分からかけ直す。これだけで大半のビッシングを防げる。

合言葉の設定

家族間や組織内で事前に合言葉を決めておく。 AI 音声合成で声を偽装されても、合言葉を知らなければ本人でないと判断できる。

組織内の報告体制

不審な電話を受けた場合の報告フローを整備する。「恥ずかしい」「大げさかも」と思わせない心理的安全性の確保が、早期発見と被害拡大防止の鍵となる。

ビッシングはソーシャルエンジニアリングの古典的な手法でありながら、 AI 技術との融合により再び脅威度が急上昇しています。スピアフィッシングと組み合わせた標的型攻撃では、事前にメールで信頼関係を構築してから電話で仕上げるという多段階の手口も確認されています。フィッシング対策ガイド、生成 AI を悪用したフィッシングの最新動向、実際のソーシャルエンジニアリング事例もあわせて参照してください。