ビッシングとは？

ほとんどの方が フィッシングという言葉は聞いたことがあると思います。ビッシング (Vishing) は、ボイスフィッシング (Voice Phishing) の略です。フィッシングの一種で、目的は同じですが、その手口が異なります。ビッシングでは、不正な電話番号、音声ソフトによる警告、テキストメッセージ、 ソーシャルエンジニアリングなどを使用して、ユーザーが機密情報を漏えいするように仕向けます。(スミッシングもフィッシングの手法のひとつです。ユーザーをだますのにSMSを使い、攻撃者のやり方次第では音声通話を悪用します。)

フィッシングのゴールは同じです。個人情報を盗み、金銭的な利益を得て、アカウントを乗っとるために悪用できる機密情報をユーザーから入手することです。フィッシングとビッシングの主な違いは、その手口です。フィッシングがメールをベースとする攻撃であるのに対して、ビッシングは音声を使用し、特にユーザーの携帯電話に電話をかけてきます。

ビッシングとフィッシングどちらの攻撃者も、ターゲットに対して通常は大量のメッセージを送信しています。フィッシング攻撃者は標的になりそうな人のリストをもとに、多数のメールを送信します。ある攻撃者が特定の企業を狙う場合、その企業内の役員のメールアドレスリストがあれば事足ります。フィッシングの攻撃者は、受信者がやむを得ず機密情報を含めて返信をしたり、マルウェアをホストするリンクをクリックしてしまうようなメールの文章を使用します。悪意ある添付ファイルも、フィッシング攻撃では使われます。

まず、ビッシング攻撃者は、電話帳から騙されやすそうな人々に多量のメッセージを送信します。メッセージの例として、記載されている攻撃者の番号に電話をかけるように書かれています。ビッシングでは、自動メッセージを作成して、騙されやすそうな人に自動音声による通話（ロボコール）をする手口もあります。信頼が得られやすい、機械で作った人間味のない音声メッセージが使用されます。音声メッセージユーザーをだますことにより、詐欺の常習犯に電話をつなぐか、または攻撃者が管理するWebサイトを開くように誘導します。

ビッシングとフィッシングの目的は、クレデンシャル・個人識別データ・ファイナンシャル情報という点で変わりません。しかし、フィッシングに詳しいユーザーでも、ビッシングのことは知らないかもしれません。そのため騙されてしまうことが多くなってしまっています。

スマートフォンの電話番号を使用する点でフィッシング攻撃によく似ているのが、スミッシング (Smishing) です。ただし音声通話の代わりに、テキストメッセージ (SMS) を用いてユーザーをだまします。メッセージには詐欺用の電話番号か、攻撃者が管理するマルウェアをホストするWebサイトまたはフィッシングページへのリンクが記載されています。

スミッシングは主に、ユーザーの信頼が得られるテキストメッセージによって成り立っています。通常、メッセージは賞金やクーポンで誘ったり、ユーザーがクレデンシャル情報を入力して認証しないとアカウントを停止すると脅したりします。メッセージがフレンドリーな言い回しであるため、被害者は疑うよりも先にメッセージを信じてしまいます。

スミッシングとビッシングには重複する部分もたくさんあります。ビッシング攻撃もテキストメッセージから始まる場合があり、電話をかけるようにユーザーを誘導する電話番号が記載されていることもあります。さらに自動メッセージやロボコールを使用するビッシング攻撃もあります。スミッシングでも電話番号の記載があるテキストメッセージを使うこともありますが、攻撃者の多くは、リンクをクリックし悪質なWebサイトを開かせるようユーザーをだますことが多いです。

フィッシングやスミッシング以上に、ビッシングは特定するのが困難です。ビッシングは、通常、電話番号が記載されたテキストメッセージから始まります。

次の画像はビッシング攻撃の一例です。

詐欺師は利用者を脅して、電話をかけるよう仕向けます。上記のメッセージで攻撃者は、日本で国税庁にあたる米国の機関IRS（内国歳入庁）になりすましています。ほとんどの人がIRSとのトラブルに課せられる刑罰や罰金を恐れているため、記載されている電話番号に電話をかけ、お金を払おうとしてしまいます。攻撃者は、ターゲットのクレジットカードへ請求するか、口座から直接送金させようとします。IRSを語る詐欺は、米国でもっとも広範囲のユーザーをターゲットにした攻撃です。

次の画像は、テキストメッセージから始まるビッシング攻撃のもう1つの例です。

上記の画像でも同様に、脅しによって利用者に電話をかけさせます。標的が問題回避のためにSTOPを含めて返信すると、次のメッセージがまた送られてきます。一度返信してしまうと、受信者の電話番号が有効であることを証明してしまい、標的にされ続けてしまいます。

どちらの画像にも連絡先としては、無効な6桁の番号が記載されていることに気付かれましたか。これらの番号は、電話事業会社から利用者に送信されるメッセージで使用されています。同時に、自動ダイヤルのAPIかメールアカウント、つまりコンピュータから送信されたことを示しています。このような番号からメッセージが来た場合はいつでも、スミッシング詐欺やビッシング詐欺を疑ってください。

発信者IDに無効な番号が記載されたメッセージにすべて悪意があるわけではありません。これらの番号は、多要素認証 (MFA) の認証プロセスを完了するために、利用者へコードを送るときにも使用されています。また、攻撃者はソーシャルエンジニアリングにより、利用者をだましてコードを送信させます。この手口は、連絡をした利用者をだましてコードを漏えいさせることを含みます。役員レベルのアカウントに対する大規模な攻撃では、ビッシング、フィシング、スミッシングをすべて組み合わせたソーシャルエンジニアリングが使われることさえあります。

音声通話だけを活用する攻撃者の間では、コンピュータプログラムを使い、音声にエフェクトをかけることで、方言を隠すことが主流になっています。攻撃者は異性の声を合成して、攻撃を仕掛けることもできます。このような音声は、コンピュータで聞き取れるように生成され、明らかにビッシングを試みている手口です。どちらにしても、電話口で個人情報を求めてくる通話には常に注意するようにしてください。

ビッシングの被害にあわないようにする方法は、第一にメッセージを無視することです。電話事業会社には、既知の発信元から不審な着信があった際に、「詐欺の可能性あり」（または類似のメッセージ）を表示する詐欺対策システムがあります。しかしながら、すべての悪質な着信を探知するのに、電話事業会社に頼りきるのは得策ではありません。利用者は自分が被害者にならないように、予防策を講じることが可能です。

SIMスワップ詐欺とソーシャルエンジニアリングによって、電話番号の脆弱性が狙われてしまいます。ソーシャルエンジニアリングを伴うSIMスワップでは、電話事業者が代理となり、攻撃者に利用者の電話番号へのアクセスを許可してしまいます。もし多要素認証用の番号や携帯アカウントの変更に関するおかしなメッセージを受け取ったとしたら、必ず事業会社に連絡してSIMスワップの被害にあっていないかを確認するようにしましょう。

ここにビッシング関連の攻撃で、被害にあわないための対策をいくつかご紹介します。

• ビッシングに気をつける:　企業では、社員教育がビッシング攻撃を特定するのに有効です。教育により、社員は攻撃を無視し報告することができるようになります。個人の場合は、テキストメッセージや電話で個人情報を聞かれても、決して教えないようにしましょう。正規の送信者は代表番号を教えてくれるので、公式な組織からの電話かどうかを確かめることが可能です。
• 緊急を要する脅迫手口を認識する:　攻撃者は標的に「クレジットカードや振り込み、ギフトカードでもいいので、迅速な送金をするように」とせまります。たとえば、被害者がIRS詐欺に引っかかる一般的な手口は、税金をすぐに支払わないと刑罰を受けると言って脅すことです。
• 不明な電話番号からの着信は無視する:　着信番号に見覚えがなければ、留守番電話に接続するようにしましょう。
• 機密情報を聞きたがる相手には疑いを持つ:　電話の相手がどこで働いていると名乗っているかに関わらず、電話では決して保護すべき情報を伝えないでください。