ビッシング・リバースビッシングとは?仕組みや危険性、対策方法について徹底解説|サイバーセキュリティ.com

ビッシング・リバースビッシングとは?仕組みや危険性、対策方法について徹底解説



メールやSMSを使った「フィッシング詐欺」の被害に遭う人が後を絶ちません。さらに同様の詐欺行為として、”電話を使ったフィッシング詐欺”である「ビッシング」による被害が発生しています。また最近では、ビッシング詐欺の手口を少し変形させた、「リバースビッシング」も広まりつつあります。

今回はビッシングとリバースビッシングの仕組みや危険性、そして対策方法について徹底解説します。

ビッシング(Vishing)とは

ビッシングとは、電話を使ってクレジットカード会社や銀行などの関係者を名乗り、クレジットカードの番号や銀行口座情報、パスワード、生年月日などの情報を巧みに聞き出し、不正使用しようとする詐欺行為のことです。被害者の情報を不正に盗み出す詐欺行為として、フィッシング詐欺が知られていますが、電話を使って仕掛けるフィッシングがビッシングであると言えるでしょう。

この「ビッシング」という言葉は、電話の声「Voice」の頭文字「V」をフィッシングの「Phishing」の先頭につけて「Vishing」という造語が作られたことが由来とされています。

ビッシングが初めて出現したのは2006年6月ごろと言われています。当時の手口としては、PayPalや米国の銀行を名乗るなどビッシング詐欺が主流でした。

ビッシング(Vishing)の仕組み

ビッシングでは通常、攻撃者から被害者に電話をかけて情報を盗もうとします。電話と言っても、インターネット電話である「Skype」など「VoIP技術」などの犯罪に使いやすい回線を使っているケースが多いようです。クラッキングされたインターネット電話のアカウントが使われることもあります。

ビッシングの手口としては、カード会社や信用情報機関など、電話でそれらしい身分であることを名乗り、

「あなたのクレジットカードが不正利用されています」
「あなたのクレジットカードが拾われました」
「あなたのパソコンがマルウェアに感染しています」

このようなもっともらしい要件を述べて、問題を解決するためと、電話を受けた被害者の情報を盗もうとします。

ビッシング(Vishing)の危険性

ビッシングはフィッシングと似た詐欺行為ですが、ビッシング特有の危険性があります。具体的な危険性は以下の2つです。

見破ることが難しい(電話番号以外は正規の情報)

攻撃者は盗んだ電話回線やインターネット電話(VoIP)を使って電話をかけてきているので、電話番号は正規の企業のものではないのですが、電話番号以外は、正規の企業の情報を使って成りすますことが多いです。電話上でのやり取りだけでは、被害者は詐欺であることを見破るのは困難であると言えるでしょう。

自動音声なので疑わないケースが多い

攻撃者からかかってきたビッシング詐欺の電話にでると、

「クレジットカードが不正使用されているので、手続きのため指定の番号に電話をしてください」
「あなたの銀行口座に問題がありますので、解決のため指定の番号に電話をしてください」

などの自動音声のメッセージが再生されることがあります。そして指定の電話番号に電話をかけると、クレジットカードの番号や銀行口座の暗証番号などを入力させようとします。普通なら疑ってしまうようなメッセージでも、自動音声で再生されることで、しっかりとした会社からの電話であると思い込ませ、騙されてしまう被害者も発生してしまいます。

リバースビッシング(Reverse Vishing)とは

リバースビッシングは先述したビッシングを変形したような詐欺行為です。リバースビッシングでは攻撃者が用意した電話番号に対して、被害者に電話をかけさせて、個人情報などを盗み出そうとする手口のことです。

ビッシングでは攻撃者から被害者に電話を対して、リバースビッシングでは被害者の方から攻撃者に電話をかけさせることが特徴です。

リバースビッシング(Reverse Vishing)の危険性

リバースビッシングにはどのような危険性があるのでしょうか。具体的な危険性について2つ紹介します。

気がつかないまま詐欺被害に遭っている

リバースビッシングにおいても、ビッシング詐欺と同様に電話番号以外は正規の情報を使って詐欺を行います。攻撃者は正規の事業者のふりをして、被害者からかかってきた偽の電話番号の電話にでて、個人情報を聞き出します。

攻撃者は電話番号以外の情報は正規の事業者のものをそのまま利用します。そのため被害者は自分が被害に遭っていることに気づかないで、攻撃者に個人情報を教えてしまうケースがあります。

利用者が多いサービスに潜んでいる(Google MapやWikipediaなど)

リバースビッシングでは被害者に対して偽の電話番号に電話をかけさせることで攻撃を行います。この偽の電話番号の掲載先として、Google MapやWikipediaなどが使われることがあります。

Google Mapに情報を掲載するためには、Googleマイビジネスに登録し、住所や電話番号を掲載してもらうように依頼します。しかし登録された情報を修正することは、無関係の第三者によってもできてしまいます。攻撃者は実在する会社やお店の情報として偽の電話番号を掲載することで、被害者に電話をさせるように仕向けます。

正規の会社は、Google Mapに間違っている情報が掲載されていることに気づいたら、修正依頼をGoogleに提出できます。しかし修正されるためには、ある程度の時間がかかってしまうため、その期間は偽の電話番号が掲載され続けることになってしまうのです。

ビッシング・リバースビッシングへの対策

ビッシングやリバースビッシングに対して、どのような対策を取れば良いのでしょうか。具体的な対策方法について2点紹介します。

正規サイトを確認する

もし企業に電話をかける場合、Google Mapなどの第三者が情報を改ざんできるサイトの電話番号ではなく、企業の公式な情報源の電話番号を確認することが重要です。

先ほど紹介したように、Google Mapの情報は無関係な第三者によって、偽の情報に書き換えられる可能性があります。電話をかける場合には、必ず正しい電話番号であることを確認することを心がけましょう。

最新の詐欺手口の情報を知っておく

ビッシングやリバースビッシングに限らず、攻撃者はあの手この手を使って、詐欺をしかけてきます。大規模なサイバー攻撃が発生すると、テレビのニュースなどにも取り上げられることもありますが、そうではない場合は、大きなニュースとして取り上げられることはまれでしょう。

しかし大きな被害が発生していない攻撃でも、自分が被害に遭わないとは限りません。対策方法として、当サイトのような情報セキュリティのメディアを参考にするなどして、最新の詐欺手口の情報を知っておくことが重要となります。

まとめ

ビッシングとリバースビッシングについて取り上げました。偽の電話を悪用したフィッシングですが、その電話番号をインターネット上に掲載するために、攻撃者はGoogle MapやWikipediaを改ざんすることもあると紹介しました。ビッシングやリバースビッシングはフィッシングに比べるとマイナーな攻撃ですが、実際に被害遭ってしまうと、金銭的な損害が発生します。そのため自分は絶対に被害に遭うことはないと思い込むのは危険です。

サイバー攻撃で被害に遭うことは、決して対岸の火事ではありません。しかし被害を未然に防ぐことは可能です。インターネットを安全に使うためには、正しい知識と適切な行動が必要であることを肝に銘じておきましょう。


SNSでもご購読できます。