コールバック・フィッシング|サイバーセキュリティ.com

  1. ホーム /
  2. セキュリティ用語集 /
  3. コールバック・フィッシング
             

コールバック・フィッシング

コールバック・フィッシング(Callback Phishing)とは、攻撃者がユーザーに対して「架空のサポート電話番号」に電話をかけさせることで、機密情報を引き出したり、リモートアクセスツールをインストールさせたりするフィッシング手法です。この攻撃は、メールやSMSで偽のサポート連絡先を伝えたり、システム警告を装ったポップアップメッセージを表示することで行われ、ユーザーが攻撃者に自ら連絡する点が特徴です。

コールバック・フィッシングは、従来のリンクや添付ファイルを使ったフィッシングとは異なり、ユーザーが能動的に電話をかけることで「セキュリティサポート」などと偽った会話を通じて、個人情報や認証情報を騙し取ります。巧妙な手口でユーザーに安心感を与え、情報漏洩や不正なアクセスにつなげるケースが増えています。

コールバック・フィッシングの手口

コールバック・フィッシングの具体的な流れは以下の通りです。

  1. 偽の連絡先情報の送信
    攻撃者は、ユーザーに偽のメールやSMSを送り、「アカウントに異常がある」「支払いが未処理」などと不安を煽り、問い合わせ先として架空のサポート電話番号を記載します。
  2. ユーザーが電話をかける
    メールやポップアップの内容に従い、ユーザーは指定された番号に自発的に電話をかけます。ユーザーは、攻撃者の指示に従うことで問題が解決すると信じて電話をかけます。
  3. 攻撃者がサポート担当者を装う
    電話を受けた攻撃者は、ユーザーに信用させるためにサポート担当者や金融機関のスタッフを装い、落ち着いた口調で信頼関係を築こうとします。この際、ユーザーの個人情報やアカウント情報を聞き出します。
  4. リモートアクセスツールのインストール指示
    攻撃者は、問題解決のためとして、ユーザーにリモートアクセスツールのインストールを指示することが多いです。これにより、攻撃者はユーザーのデバイスにアクセスし、情報を盗む、ファイルを改ざんする、不正なソフトウェアをインストールするなどの操作が可能になります。
  5. 不正行為の実行
    攻撃者はリモートアクセスを利用し、ユーザーのシステムに侵入したり、金融情報やログイン情報を盗み取ったりします。また、詐欺口座への送金や支払いの実行を促す場合もあります。

コールバック・フィッシングの例

コールバック・フィッシングは、さまざまな形で実行されます。以下は典型的なケースの例です:

  • 偽のサポートメール
    「アカウントに不正アクセスが検出されました。安全のため至急サポート(〇〇-XXXX-XXXX)にお電話ください。」といった内容で、ユーザーを不安にさせます。
  • システム警告ポップアップ
    「あなたのコンピュータにウイルスが検出されました。直ちに〇〇サポートセンター(〇〇-XXXX-XXXX)にご連絡ください。」というポップアップが表示され、問題解決を急がせます。
  • 金融機関を装った不正請求通知
    「未払い金が発生しているため、アカウントが停止される恐れがあります。支払い手続きを行うため、サポートセンターまでお電話ください。」という内容で、ユーザーの焦りを誘います。

コールバック・フィッシングのリスク

コールバック・フィッシングが成功すると、以下のようなリスクが生じます:

  1. 個人情報や金融情報の漏洩
    ユーザーの口座情報、クレジットカード番号、認証情報が攻撃者の手に渡り、二次被害として不正な金銭被害が発生します。
  2. デバイスの不正操作
    リモートアクセスツールのインストールにより、攻撃者がユーザーのデバイスを自由に操作できるようになります。これにより、重要なファイルの削除やスパイウェアのインストールが行われる危険があります。
  3. ランサムウェア感染の可能性
    攻撃者はリモートアクセスを利用し、ランサムウェアをインストールしてデータを暗号化し、金銭を要求するケースもあります。
  4. なりすまし被害
    攻撃者が取得した個人情報を利用し、他のアカウントやサービスに対する不正アクセスが行われることで、さらなる被害が拡大します。

コールバック・フィッシングの対策

コールバック・フィッシングを防ぐためには、以下の対策が有効です。

  1. 送信者の正当性を確認
    メールやSMSに記載された電話番号は、公式Webサイトやアプリに記載されているものと一致するか確認します。信頼できない場合は、連絡先として利用しないようにします。
  2. 疑わしいポップアップに注意
    突然表示される警告やポップアップには慎重に対応し、指示された電話番号には連絡せず、問題がある場合はデバイスのセキュリティソフトでスキャンを行います。
  3. リモートアクセス要求に応じない
    正規のサポートは、リモートアクセスのインストールを促すことは通常ありません。指示されてもインストールせず、怪しいと感じた場合は通話を切ります。
  4. セキュリティ教育の徹底
    組織内でコールバック・フィッシングについて周知し、従業員が不審なメールやメッセージに対して適切に対処できるようにします。
  5. 多要素認証(MFA)の導入
    万が一情報が漏洩した場合でも、アカウントに不正アクセスされないように多要素認証を導入し、被害を最小限に抑えます。

まとめ

コールバック・フィッシングは、ユーザーが自ら電話をかけることで攻撃者との接点を持ち、不正行為が行われるフィッシング手法です。偽のサポート窓口に連絡させ、情報漏洩やリモートアクセスを通じてさまざまな被害を引き起こします。この攻撃を防ぐためには、連絡先の正当性を確認し、リモートアクセスの指示に従わない、セキュリティ教育を徹底するといった対策が有効です。

関連コラム(あわせて、以下の記事もよく読まれています)

製品・サービス(当該コラムの内容に関連する製品・サービスはこちら)


SNSでもご購読できます。