最近、「ビッシング」という言葉を聞く機会が増えたかもしれません。これは、私たちの身近にある「電話」を悪用した詐欺の手口です。この記事では、ビッシングとは何か、どのような手口があるのか、そしてどうすれば被害を防げるのかを、ITに詳しくない方にも分かりやすく解説します。
ビッシングとは?
ビッシング(Vishing)とは、「音声(Voice)」と「フィッシング(Phishing)」を組み合わせた造語です。フィッシング詐欺は、メールや偽のウェブサイトを使って個人情報をだまし取る手口が知られていますが、ビッシングはその「電話版」と言えます。
攻撃者は、銀行、警察、公的機関、有名企業などの信頼できる組織の担当者になりすまして電話をかけ、言葉巧みにあなたの個人情報(銀行口座番号、暗証番号、クレジットカード情報、マイナンバー、パスワードなど)を聞き出そうとします。
電話というリアルタイムなコミュニケーション手段を使うことで、切迫感や信頼感を演出しやすく、被害者を心理的に操って情報を引き出す「ソーシャルエンジニアリング」の一種です。
ビッシングと他の詐欺との違い
ビッシングとよく似た詐欺に「フィッシング」と「スミッシング」があります。これらはすべて、個人情報を盗み取ることを目的とした詐欺ですが、使われる手段が異なります。
| 種類 | 主な攻撃手段 | 手口の概要 |
|---|---|---|
| ビッシング (Vishing) | 電話(音声通話、自動音声) | 公的機関や企業になりすまし、電話で直接または自動音声で個人情報を聞き出す。 |
| フィッシング (Phishing) | メール、偽のウェブサイト | 正規のメールやウェブサイトを装い、偽サイトに誘導して個人情報を入力させる。 |
| スミッシング (Smishing) | SMS(ショートメッセージサービス) | SMSで偽の通知(不在配達など)を送り、偽サイトに誘導して個人情報を入力させる。 |
これらの手口は複合的に使われることもあります(マルチチャンネル詐欺)。例えば、SMSで「不正利用の疑いがあります。至急お電話ください」と偽の電話番号に誘導し、電話をかけてきた相手にビッシングを行うといったケースです。
ビッシングの具体的な手口と事例
ビッシングでは、様々な手口が使われます。代表的なものと、実際に報告されている事例をいくつか紹介します。
- 金融機関やクレジットカード会社のなりすまし: 「あなたの口座が不正利用されています」「カードのセキュリティを強化する必要があります」などと言って、口座番号、暗証番号、カードのセキュリティコードなどを聞き出そうとします。自動音声ガイダンスで番号入力を促すケースもあります。
- 公的機関(警察、税務署、市役所など)のなりすまし: 「税金の未納があります。すぐに支払わないと差し押さえになります」「還付金がありますので手続きが必要です」などと言って、個人情報や銀行口座情報を聞き出したり、指定口座への振り込みを要求したりします。米国ではIRS(歳入庁)を名乗る詐欺が報告されています。
- テクニカルサポートのなりすまし: 「あなたのパソコンがウイルスに感染しています」という偽の警告をパソコン画面に表示させ、記載された電話番号に電話をかけさせます。電話口でサポート担当者を装い、遠隔操作ソフトのインストールを指示したり、サポート料金として金銭や個人情報を要求したりします。(2020年~2021年にかけて米国で企業のITヘルプデスクを装いVPN情報を盗む事例が報告されました)。
- 知人や家族のなりすまし(オレオレ詐欺など): 「事故を起こして示談金が必要になった」「会社の金を使い込んだ」などと、息子や孫などを装って電話をかけ、緊急性を煽って指定口座にお金を振り込ませようとします。最近ではAIを使って声を似せる手口も出てきています。
- 企業や通信販売会社のなりすまし: 「当選しました!賞品を送るために個人情報が必要です」「未納料金があります」などと言って、個人情報を聞き出そうとします。
実際に報告された事例:
- ゆうちょ銀行や厚生労働省の職員を名乗り、個人情報を聞き出そうとする事例。
- 税務職員を装い、個人情報を聞き出そうとする事例。
- 政府機関の職員を騙り、未納分の税金の支払いを督促する事例。
これらの手口では、発信者番号通知を偽装(Caller ID Spoofing)して、あたかも本物の組織からかかってきたように見せかけることもあります。
ビッシング被害を防ぐための対策(個人向け)
ビッシングの被害に遭わないためには、以下の点を心がけましょう。
- 知らない電話番号からの着信には慎重に: 知らない番号からの電話にはすぐに出ず、可能であればインターネットで番号を検索してみましょう。非通知や国際電話からの着信にも注意が必要です。留守番電話にメッセージを残すように促すのも有効です。
- 電話で安易に個人情報を伝えない: 銀行、警察、公的機関などが、電話でいきなり口座番号や暗証番号、マイナンバーなどの重要な個人情報を聞くことは、原則としてありません。「確認のため」と言われても、絶対に教えないでください。
- 相手の身元を確認する: 相手が公的機関や企業を名乗った場合は、部署名や担当者名を確認し、いったん電話を切ります。そして、必ず公式ウェブサイトなどで調べた正規の電話番号にかけ直して、そのような事実があるか確認しましょう。相手が教えた電話番号にはかけ直さないでください。
- 「緊急」「すぐに」という言葉に惑わされない: 詐欺師は、不安や焦りを煽って冷静な判断をさせないように仕向けます。「今すぐ手続きしないと大変なことになる」などと言われても、慌てずに一度電話を切って、信頼できる人に相談したり、自分で事実確認をしたりしましょう。
- 怪しいと感じたらすぐに電話を切る: 少しでも「おかしいな」と感じたら、ためらわずに電話を切ることが重要です。相手に失礼かもしれない、などと気にする必要はありません。
ビッシング対策(企業向け)
企業においても、従業員がビッシングのターゲットになる可能性があります。特に、ITヘルプデスクや経営層になりすまして機密情報やシステムへのアクセス権限を狙う手口があります。企業として以下の対策を講じることが重要です。
- 従業員へのセキュリティ教育: ビッシングの手口や危険性、対処法について定期的に教育や訓練を行い、従業員のセキュリティ意識を高めます。不審な電話を受けた際の報告・相談体制を明確にしておくことも大切です。
- 多要素認証(MFA)の導入: システムへのログイン時に、パスワードだけでなく、SMS認証コードや認証アプリ、生体認証など、複数の要素を要求する多要素認証を導入します。これにより、万が一パスワードが漏洩しても不正アクセスを防ぎやすくなります。
- アクセス権限の最小化(最小権限の原則): 従業員には、業務に必要な最低限のシステムや情報へのアクセス権限のみを付与します。これにより、アカウントが乗っ取られた際の被害範囲を限定できます。
- 不審な電話の報告と共有: 従業員から不審な電話に関する報告を受け付け、組織内で情報を共有し、注意喚起を行う体制を整えます。
まとめ
ビッシングは、電話という日常的なツールを悪用した、巧妙かつ悪質な詐欺です。金融機関や公的機関などを装い、言葉巧みに個人情報を聞き出そうとします。
「電話で個人情報は教えない」「知らない番号には慎重に対応する」「怪しいと思ったらすぐに切る」といった基本的な対策を徹底することが、被害を防ぐために非常に重要です。企業においても、従業員教育やシステム的な対策を進め、組織全体でビッシングの脅威に備えましょう。