キヤノンMJ/サイバーセキュリティ情報局

音声フィッシング詐欺「ビッシング詐欺」とはどんな詐欺なのか

  • この記事をはてなブックマークに追加
  • 本文印刷

本記事はキヤノンマーケティングジャパンが提供する「サイバーセキュリティ情報局」に掲載された「ビッシング詐欺とは? その仕組みと対策について解説」を再編集したものです。

 ビッシング詐欺はどのような仕組みで行なわれ、企業や個人にどのような影響を与えるのか? 本記事では、ビッシング詐欺から自分自身や家族、企業をどのように守ればよいのかを解説する。

 この記事は、ESET社が運営するマルウェアやセキュリティに関する情報サイト「Welivesecurity」の記事を翻訳したものである。

 フィッシング詐欺について耳にしたことがある人は多いだろう。信頼できる企業になりすましたメールで受信者を騙し、機密情報を聞き出したり、マルウェアをダウンロードさせたりするような詐欺の常套手段だ。そしてビッシング詐欺は、その音声版だ。個人や組織を問わず標的にされる詐欺行為であり、手法もさまざまで場合によっては甚大な被害をもたらす。

 フィッシング詐欺、SMSを使ったスミッシング詐欺、DNS設定を書き換えて偽のウェブサイトへ誘導するファーミング詐欺、そしてビッシング詐欺を合わせると、2020年には24万1000件以上の被害が発生し、被害総額は5400万ドル(およそ60億円)に達している。この数字はFBI(米国連邦捜査局)が集計したもので、報告されていないものも含めると、その被害はさらに大きなものだったと推測される。

 では、ビッシング詐欺はどのような仕組みで行われ、企業・個人にどのような影響を与えるものだろうか?

 そして、どのようにしてそれらから身を守ることができるのだろうか?

ソーシャルエンジニアリングの問題

 ビッシング詐欺が個人や企業の間で急速に広がっているのは、人は誰しもミスをするという性質を巧みに悪用しているからだ。この手法の本質はソーシャルエンジニアリングである。つまるところ、人の心を惑わすための話術とも言える。ソーシャルエンジニアリングでは、銀行・ベンダー・政府・ITヘルプデスクといった信頼できる組織・機関になりすます。そして、切迫感や恐怖感を煽ることで、被害者に警戒や疑いの目を向かせないよう働きかけるのだ

「Would you take the bait? Take our phishing quiz to find out!(フィッシング・クイズに解答してみよう!)(英語のみ)」

 このような手法は、フィッシングメールやスミッシング詐欺で用いられる。しかし、電話を介して「現在進行形」で語りかけられる方が、より騙される確率は高くなるだろう。ビッシングを仕掛ける詐欺師は、成功する確率を高めるため、以下のようなツールや手法を用いる。

・発信者番号のなりすましツール:詐欺師の居場所を隠し、信頼できる組織・機関の電話番号に見せかけるために使われる。例えば、2020年にリッツ・ロンドン・ホテルで、利用者の個人情報が漏えいした事件では、ホテルの公式電話番号になりすまして、その利用者に対するソーシャルエンジニアリング攻撃が仕掛けられた。

・マルチチャンネル詐欺スミッシングのテキストメッセージ、フィッシングメール、あるいは音声メッセージを使い、標的に対してある番号へ電話をかけるよう伝える。その電話には詐欺師が待ち構えていて、標的に詐欺を仕掛ける。

・ソーシャルメディアのデータ収集と、オープンソースツールでの調査:詐欺師はオンライン上の情報から標的のさまざまな個人情報を得る。その情報を使えば、企業で管理者権限を持つ人を特定したり、詐欺師を本物らしく見せることもできる。ビッシングを仕掛ける詐欺師は、標的に関する情報を伝えることで、信頼関係を築き、より多くの情報を引き出そうともする。

音声メッセージ
(908) xxx xxxx
ニュージャージー州ユニオンシティ
2018年11月30日 午前7時37分

文字起こし機能ベータ版
「もしもし。社会保険庁本庁のジャネットと申します。あなたの社会保障番号が漏えいし、本日、差し止められることになりました。法律事務所に連絡してください。番号は908 xxx xxxxです。繰り返します。908 xxx xxxxです。よろしくお願いします。」
ビッシング音声メッセージの文字起こしの結果(出典:Twitter)

職場におけるビッシング詐欺の影響

 企業では主に、管理者権限のあるシステム・ログイン情報を詐取するためにビッシング詐欺が使われる。FBIは既に、このような攻撃に対して何度も警鐘を鳴らしてきた。2020年8月には、標的に対して十分な調査をしてからITヘルプデスクの担当者になりすまして電話をかける巧妙な手口が報じられている。被害者は、同社のVPNログイン画面に偽装したフィッシングサイトに誘導され、ログイン情報を入力してしまった。そして詐取された認証情報は、顧客の個人情報を含む企業データベースへのアクセスに悪用されてしまったのだ。

 コロナ禍の影響で急速にリモートワークへ移行したことも影響し、ビッシング詐欺は急速に広まっているとFBIは警告している。実際、2021年1月にも、企業のネットワークへアクセスするのに同様の手口が用いられているという報告がされている。

 また、ツイッター社でも標的となった従業員がビッシング詐欺によってログイン情報を詐取されたことによる不正アクセス事件が発生した。技術に精通した企業や従業員でさえも、被害者になり得る可能性を示唆している。この事例では、暗号資産詐欺を仕掛けるために、有名人のアカウントを乗っ取るのにログイン情報が悪用された。

音声フィッシングがあなたの家族を襲う方法

 残念なことに、ビッシング詐欺は企業だけでなく、一般消費者も標的にしている。これらの攻撃の最終的な目的は、銀行口座やクレジットカードの情報を直接盗んだり、これらのアカウントにアクセスするためのログイン情報を聞き出すことで、金銭を得ることだ。

 以下に、典型的な詐欺の手法を解説する。

テクニカルサポート詐欺

 テクニカルサポート詐欺では、インターネットサービスプロバイダー(ISP)やよく知られたソフトウェアベンダーおよびハードウェアベンダーになりすまし、標的に対して電話をかける。そして、パソコンに存在していない問題が見つかったと伝え、その問題を解決するためには金銭を支払うか、クレジットカード情報を伝えるよう働きかける。その過程で、マルウェアをダウンロードさせられる場合もある。このような詐欺では、Webサイトで偽のポップアップ・ウィンドウが表示され、緊急用電話番号にかけるよう、標的を煽る方法も報告されている。

ウォー・ダイヤリング

 税金やその他の罰金の未払いといった理由をつけて、多数の標的に自動音声メッセージを送り、電話をかけ直すよう脅す手法。

勧誘電話

 「豪華賞品が当選した」と称して標的に電話をかける手法。ただし、景品を受け取るためには、前金を求められる。

フィッシング、スミッシング

 先述のとおり、なりすましたメールや偽のSMSが送られ、ある番号に電話をかけるよう仕向けられる。Amazonからのメールは代表的で、最近の注文に何らかの問題があったなどと騙してくる。その番号に電話をかけるとビッシングを仕掛ける詐欺師が待っている。

ビッシング詐欺を防ぐ方法

 これらの詐欺の手口はますます巧妙になっているが、被害に遭うリスクを軽減する方法もある。基本的な対策は以下のようなものが挙げられる。

・電話番号を電話帳に掲載しないようにする
・オンラインで商品を購入するときなど、フォームで電話番号を入力するのを極力避ける
・銀行口座や個人情報、あるいは他の機密情報を電話で聞かれたときは十分に警戒する
・機密情報を確認しようとするときは、特に見知らぬ番号からの電話に反応しないよう注意する
・留守番電話に残された音声メッセージには電話をかけ直さない。該当の組織に直接連絡する
・すべてのオンラインアカウントで多要素認証(MFA)を有効化する
・Eメールやウェブサイト閲覧に対するセキュリティが最新版か、また、フィッシング詐欺を防ぐ機能が有効化されているかを確認する

[引用・出典元]
Vishing: What is it and how do I avoid getting scammed? by Phil Muncaster 14 Jun 2021 - 11:30 AM
https://www.welivesecurity.com/2021/06/14/vishing-what-is-it-how-avoid-getting-scammed/