ヴィッシング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. ヴィッシング
             

ヴィッシング

ヴィッシング(Vishing)は、音声(Voice)とフィッシング(Phishing)を組み合わせた言葉で、電話や音声メッセージを利用して、個人情報や金融情報などの機密情報を不正に取得する詐欺行為の一種です。攻撃者は、ターゲットに偽の電話をかけたり、音声メッセージを送信したりして、銀行口座やクレジットカード番号、パスワード、住所などの情報を聞き出します。

ヴィッシングは、特に電話を利用してターゲットの信頼を得やすく、音声だけでやりとりが進むために警戒されにくいことが特徴です。さらに、攻撃者は、金融機関や政府機関を装ったり、親しみやすいトーンで連絡を取ることで、ターゲットに自分が「信頼できる存在」であると誤認させる手法を取ります。

ヴィッシングの手口

  1. なりすまし
    攻撃者は銀行やクレジットカード会社、配送業者、政府機関の職員などになりすまし、緊急の連絡であるかのように装ってターゲットに電話します。例えば、「お客様のアカウントで不審な取引が発生している」「再確認が必要なため、パスワードを教えてください」といったシナリオで情報を引き出します。
  2. 偽のカスタマーサポート
    カスタマーサポートを装って連絡し、「サービスの改善」や「アカウントのセキュリティ確認」などを理由に、ターゲットの個人情報を聞き出します。この場合、電話番号を信頼させるために企業の実際の番号や名前を使ってターゲットに信憑性を持たせる場合もあります。
  3. 緊急性を強調
    「アカウントが停止される」「請求が未払いだ」「支払いが遅れている」などの緊急を要する状況を装ってターゲットを焦らせ、冷静な判断を失わせて機密情報を漏らさせる手法です。心理的な圧力を利用して、急いで情報を提供させることを狙います。
  4. 音声メッセージによるアプローチ
    攻撃者が自動音声メッセージを送信し、ターゲットに「折り返し電話をするように」と誘導するケースもあります。この場合、指定された電話番号にかけると、偽のオペレーターに個人情報を尋ねられるなどの手口が用いられます。

ヴィッシングの特徴とリスク

  • 信頼しやすい手法:音声でのコミュニケーションは、メールやテキストメッセージよりも信頼されやすく、攻撃者がターゲットの警戒を緩めやすい特徴があります。
  • 直接的な情報入手:電話を通してターゲットが直接質問に答えやすいため、住所、銀行口座、パスワードといった機密情報が漏洩しやすくなります。
  • 心理的プレッシャーの活用:ターゲットに緊急性を強調し、「早急な対応が必要」と思わせて、正常な判断力を失わせた状態で情報を引き出すことを狙います。
  • 音声による攻撃の追跡困難性:音声でのやり取りは記録が残りにくいため、被害が発生しても攻撃者の特定や追跡が難しく、事後対応も難航する場合があります。

ヴィッシングへの対策

  1. 電話での個人情報の提供を避ける
    銀行やカード会社、政府機関が電話でパスワードや暗証番号を尋ねることはありません。電話で個人情報や認証情報を求められても、すぐに回答せず、その場で電話を切ることが重要です。
  2. かけ直しでの確認
    不審な電話があった場合、提供された番号にかけ直すのではなく、金融機関や企業の公式の連絡先に直接電話して確認を取ります。これにより、なりすましによる被害リスクを下げることができます。
  3. 情報の多要素認証を有効化する
    多要素認証(MFA)や二段階認証を導入しておけば、たとえ一部の情報が漏洩しても、二次的な保護でリスクを低減できます。これにより、アカウントが不正に操作されるリスクを減らせます。
  4. 緊急性を疑う
    「即時対応が必要」と迫られる場合でも、冷静に状況を確認し、電話の相手の真偽を確かめることが重要です。緊急を装う電話には特に警戒し、慌てずに慎重に行動しましょう。
  5. 着信番号の信頼に頼らない
    電話番号の偽装(スプーフィング)が可能な場合が多いため、番号が公式のものであっても信じすぎないよう注意します。公式番号が表示されていても、かけ直しによって確認することが推奨されます。

ヴィッシング被害の事例

  1. 銀行職員になりすました詐欺
    攻撃者が銀行職員を装い、顧客に「不正アクセスの検出」や「アカウントの確認」を求めて電話し、暗証番号やセキュリティコードを尋ねることで、被害者の口座から不正に送金する手口がよく報告されています。
  2. 税務署や役所を名乗った詐欺
    「税金の未納」や「返金手続きが必要」と装い、政府機関を名乗って個人情報や金融情報を聞き出すケースです。税務署や役所の名前を出されると、多くの人は信頼してしまい、思わず情報を漏らしてしまうことがあります。
  3. カスタマーサポートを装った詐欺
    特定のサービスのカスタマーサポートを装い、「アカウントのセキュリティ強化」や「不正アクセスの対応」を口実に、ログイン情報やクレジットカード情報を聞き出す手法もあります。

まとめ

ヴィッシング(Vishing)は、電話や音声メッセージを利用して、個人情報や金融情報を不正に取得する詐欺行為であり、銀行や政府機関、カスタマーサポートを装うなどの手法でターゲットの信頼を得て情報を聞き出します。特に緊急性を強調した内容でターゲットを焦らせ、冷静な判断を失わせるのが特徴です。

ヴィッシングへの対策には、電話での個人情報提供を避け、かけ直しによって公式の連絡先で確認すること、多要素認証の活用、緊急性を装う電話には冷静に対応することが有効です。音声による詐欺行為は追跡が難しいため、こうした予防策を実施して、自分の情報を守ることが重要です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。