「ビッシング」とは、電話を悪用して個人情報をだまし取る詐欺手法です。

典型的な手口としては、大手金融機関や警察官を装い、「あなたのキャッシュカードが不正に利用されているので、今すぐ作り替えたほうがよい」といった不安をあおる電話をかけ、暗証番号や口座情報を聞き出そうとするものが挙げられます。

またビッシングと同じく、個人情報の窃取を目的としたものに、スミッシングやフィッシングがあります。3つの手口は、共に「大手企業や公的機関になりすます」といった点で共通していますが、攻撃の手段に違いがあります。

	ビッシング	フィッシング	スミッシング
攻撃手段	電話	メール、Webサイト	SMS、Webサイト
手口	公的機関などを名乗り、「料金未納のため法的措置をとる」といった内容で不安をあおり、個人情報を引き出そうとする	大手企業や公的機関を装ってメールを送りつけ、本文内のURLをクリックさせる。URLを開くと正規サイトと酷似したフィッシングサイトに遷移し、個人情報を入力させる	大手宅配業者を装ってSMSに「再配達の希望はこちら」などの不在通知を送り、偽サイトに誘導して個人情報を入力させる

ビッシングをはじめとしたこれらの詐欺被害にあうと、金銭的な損失のみならず、個人情報の漏洩やさらなる詐欺被害につながることも想定されます。

そのため、企業は従業員への情報セキュリティ教育を実施し、万が一認証情報を伝えてしまった時のことを考えて、多要素認証を導入しておくようにしましょう。

この記事では、ビッシングの概要からその手口、対策まで詳しくご紹介します。

ビッシングとは

ビッシングとは、「Voice（音声）」と「Phishing（フィッシング）」を組み合わせた造語で、電話を利用した詐欺行為を指します。「ボイスフィッシング」とも呼ばれます。

フィッシング詐欺とは、通常「メール・SMS内のURLから偽のWebサイトに誘導し、誘導先のサイトで個人情報やアカウント情報を入力させて盗み取る」という手口です。ビッシングの場合、犯行目的は同じですが、メールやSMSではなく「電話や音声を使って情報を盗む」という点で違いがあります。

ビッシングでは、自動音声や偽のオペレーターを用いて、個人情報を聞き出そうとする手口が主流です。大手金融機関や警察官を装い、「あなたのキャッシュカードが不正に利用されているので、今すぐ作り替えたほうがよい」などの不安をあおる電話をかけ、暗証番号や口座情報を聞き出そうとします。

また、インターネットプロバイダーやソフトウェアのサポート担当者を装い、実際には存在しない問題を伝え、解決と引き換えに金銭を要求する・個人情報を聞き出そうとするといった手口も流行しています（サポート詐欺）。

電話の場合、冷静に考える時間を与えてもらえないことから、焦って指示に従ってしまうケースが多いのです。

ビッシングは「ソーシャルエンジニアリング」の手口の一つ

ビッシングは「ソーシャルエンジニアリング」と呼ばれる攻撃手法の一つでもあります。

「ソーシャルエンジニアリング」とは、人間の心理的な弱みやミスにつけこみ、「アナログ的な手法」で情報を不正に取得する行為を指します。以下のような行為は、ソーシャルエンジニアリングに該当します。

ビッシングを含む、フィッシング詐欺は増加傾向に

ビッシングは「フィッシング詐欺」手口の一つであり、フィッシング詐欺の被害は増加の一途をたどっています。

フィッシング対策協議会が毎月公表している「フィッシング報告状況」によると、2023年に報告されたフィッシング詐欺の件数は119万6390件に達しており、2019年の被害件数から約20倍以上も増加していることが確認されています。

※フィッシング対策協議会のデータをもとにMOTEXで作成

ビッシングの被害にあった場合、金銭的な損失を被るだけでなく、個人・機密情報が盗まれるといったリスクにもさらされます。個人だけでなく、企業・組織においても、フィッシング詐欺への対策は必須と言えるでしょう。

出典：フィッシング対策協議会│2024/05 フィッシング報告状況

ビッシングとフィッシング、スミッシングの違い

ビッシング（Vishing）とよく比較される詐欺手口に「フィッシング（Phishing）」「スミッシング（Smishing）」があります。

今回のテーマであるビッシング、そしてスミッシングは、いずれもフィッシング手口の一種です。いずれも詐欺の手口であり、ターゲットから個人情報や金銭を盗もうとするという目的は共通ですが、それぞれ異なる「手段」を利用します。

以下は、それぞれの手段・手口をまとめた表です。

	ビッシング	フィッシング	スミッシング
攻撃手段	電話	メール、Webサイト	SMS、Webサイト
手口	公的機関などを名乗り、「料金未納のため法的措置をとる」といった内容で不安をあおり、個人情報を引き出そうとする	大手企業や公的機関を装ってメールを送りつけ、本文内のURLをクリックさせる。URLを開くと正規サイトと酷似したフィッシングサイトに遷移し、個人情報を入力させる	大手宅配業者を装ってSMSに「再配達の希望はこちら」などの不在通知を送り、偽サイトに誘導して個人情報を入力させる

これらの詐欺手法はいずれも、被害者の不安や緊急性を利用して、個人情報や金銭を盗むことを目的としています。

共通の対策として、以下の内容に気を付けることが大切です。

ビッシングの手口

ビッシングは「Voice Phishing」の略称であり、電話やVoIP（Voice over IP）を活用します。攻撃者は「正当な機関や企業」を装い、個人情報や機密情報を不正に取得しようとするのがよくあるパターンです。以下に、ビッシングの代表的な手口をご紹介します。

ウォーダイヤリング

ウォーダイヤリングとは、不特定多数に「未納料金が発生している。放置した場合は法的措置をとる」といった不安をあおるような自動音声メッセージを送り、電話をかけなおすよう促す手法です。

電話をかけなおして音声ガイダンスの指示に従ってしまうと、詐欺グループにつながってしまい、金銭をだまし取られる可能性があります。

VoIP

VoIP（Voice over IP）は、インターネットを利用して音声通信を行う技術です。

攻撃者はこの技術を利用して電話番号を偽装し、正規の企業や機関からの電話であるかのように見せかけることができます。

VoIPを使うことで、匿名性を保ちながら多くの人に接触できるため、効率的かつ詐欺の成功確率を高めることが可能です。

マルチチャンネル詐欺

マルチチャンネル詐欺は、複数のコミュニケーション手段（電話、メール、SMSなど）を組み合わせて行われる詐欺手法です。

例えば、「ご利用料金についてお話ししたいことがございますので、本日中にこちらの番号にご連絡ください」といった内容のSMSやメールを送信し、電話をかけさせるといったケースがあります。

テクニカルサポート

テクニカルサポート詐欺は、大企業のテクニカルサポート担当者を装って「技術的な問題が発生している」と偽り、ターゲットに接触する手口です。

攻撃者は、ターゲットにコンピュータやデバイスに問題があると信じ込ませ、支援を装って個人情報やアクセス権限を不正に取得します。

遠隔操作を求めたり、追加料金の支払いを要求したりすることで、攻撃者はターゲットのデバイスにアクセスし、機密情報を盗むことができます。

ビッシングの被害事例

実際に国内で過去発生した、「ビッシング詐欺」の被害事例を2つを紹介します。

1、「警察庁」を装ったビッシングの手口

2024年3月、福岡県内の20代の男性がビッシングによって800万円をだまし取られる事件がありました。

詐欺グループは、全国の警察で使用されている末尾「0110」の電話番号を表示させ、警察官になりすまし、被害男性へと電話。高知県警の警部を名乗り、「あなたの口座が詐欺グループに利用されている。逮捕されないためには、保釈保証金を支払う必要がある」などと嘘の説明を行いました。

本物の警察からの電話だと信じた被害男性は、指定の口座に800万円振り込みましたが、その後連絡が取れなくなり、ビッシング詐欺であることに気づいたとのことです。

2．「国際電話」の番号を使ったビッシングの手口

2023年9月、香川県に住む60歳代の女性がビッシングの被害にあい、30万円をだまし取られる事件がありました。

被害女性のもとには、米国やカナダからの発信を示す「＋1」で始まる番号から電話があり、電話に出ると、「サイトの利用料金が未納」という旨の音声ガイダンスが流れたとのことです。

詳細を聞くために女性が音声ガイダンスの指示に従うと、電話事業者を名乗る男から「今日中に支払わないと民事訴訟を検討したい」と伝えられ、女性は未納分とされる「30万円分の電子マネー」をコンビニで購入し、その番号を犯人へと伝えてしまいました。

このように巧みな手口を使い、不正に金銭や個人情報を盗むビッシング手口が国内でも各地で発生しています。被害に遭わない為にも、まずは「知らない電話に出ない」「安易に電話先の指示に従わない」「むやみに個人情報や金銭に関わる情報を教えない」といった対策を意識して行いましょう。

ビッシングの被害にあわないための対策（個人）

個人がビッシングの被害にあわないために取り組める対策として、以下の3つが挙げられます。

そもそも電話に出なければビッシングの被害にあうことはないので、発信元がわからない電話に、安易に出ないようにしましょう。もし電話に出てしまっても、個人情報や口座情報など重要な情報を伝えなければ、被害につながることはありません。

また、詐欺グループはさまざまな場所から電話番号を収集し、詐欺へと悪用します。自身の電話番号をWebサイトやソーシャルメディアなど、誰もが気軽に閲覧できる場所に記載・公開することも控えましょう。

ビッシングの被害にあわないための対策（企業）

企業が取り組むべきビッシング対策としては、以下が挙げられます。

情報セキュリティ教育を行う

ビッシングを含むフィッシング詐欺に引っかからないためには、日頃からのセキュリティに対する意識と、詐欺に対する知識が必要です。全従業員のセキュリティ意識を底上げするためにも、企業・組織は定期的に情報セキュリティ教育や、メール訓練を実施するのがよいでしょう。

情報セキュリティ教育で共有する内容の例としては、以下が挙げられます。

情報セキュリティ教育については以下の記事で詳しく解説していますので、ぜひあわせてご覧ください。

多要素認証を導入する

多要素認証とは、知識情報（パスワードなど）、所持情報（スマートフォンなど）、生体情報（指紋など）の中から、2つ以上の要素を活用して認証を行うセキュリティ手法です。

▼多要素認証のイメージ

多要素認証をあらかじめ導入しておけば、万が一、ビッシング詐欺に引っかかり電話口でログインパスワードを教えてしまったとしても、追加の認証要素を入手しなければログインできないため、攻撃者による不正ログインのリスクを低減することができます。

多要素認証の詳しい説明は、以下の記事をご覧ください。

ビッシング対策ならLANSCOPE プロフェッショナルサービスにお任せ

「LANSCOPE プロフェッショナルサービス」では、ビッシングをはじめとするサイバー攻撃に有効な、クラウドセキュリティ診断を提供しています。

1．クラウドサービスの不正ログインを防ぐ「クラウドセキュリティ診断」

クラウドサービスへの不正アクセスは、昨今後を絶ちません。乗っ取られる原因の多くは、「不十分な認証設定」「アクセス権限のミス」など、お客様自身の「クラウドの設定」に問題があるケースが大半です。

「クラウドセキュリティ診断」では、知識豊富な弊社のエキスパートが、御社がご利用中のクラウドサービスにおける、設定上の不備の洗い出しと正しく設定するための支援を行います。

例えば、各種クラウドサービスに「多要素認証」を適用する・セッションタイムアウト時に「強制的にログアウトさせる」など、不正ログインの原因を根本から改善します。

ビッシングによって「ログイン情報」が漏洩した場合も、クラウドサービスへの不正アクセスを防ぎ、貴社の情報資産をハッカーから守ります。

2．「認証周り」の課題に対策できる「脆弱性診断・セキュリティ診断」

2つ目に紹介するのは、お客様のサーバやネットワーク・アプリケーションに、セキュリティ面の欠陥（脆弱性）がないかをテストする「脆弱性診断・セキュリティ診断」です。

こちらは主にソフトウェアやアプリケーションを提供する、開発者・ベンダー様におすすめのサービスとなります。

当社のセキュリティ診断では、お客様が運用されるサーバやアプリケーション環境に置いて、不正ログインに関わる「認証周り」の課題を、以下の観点から弊社のエキスパートが診断。適切な改善策を提示します。

▼脆弱性診断：アカウント乗っ取りにかかわる「認証周り」の主な確認観点

明らかになった課題に対しては、詳細な診断レポートを発行し、現状課題と必要な対策をお伝えします。

まとめ

本記事では「ビッシング」をテーマに、その概要や対策について解説しました。

電話を通じた詐欺は非常に巧妙な手口で行われており、個人はもちろん企業が被害にあう事例も増えています。被害に遭わないためにも、仮に電話で個人情報を求められても応じず、正規の機関や公式サイトへ直接連絡・確認するようにしましょう。

また、知らない番号からの電話は無視し、緊急性を強調されても冷静に対応することが大切です。