JSSEC セキュリティコラム
25年5月号「ビッシング詐欺・リバースビッシング詐欺に気を付けましょう」
~ 音声によるフィッシングを知っていますか? ~
JSSEC副会長・理事
KDDI株式会社 本間 輝彰
私たちが日常的に使用するスマートフォン、その便利さの裏には思わぬ落とし穴が潜んでいます。それが、スマートフォン利用者をターゲットにしたサイバー犯罪です。本コラムでは、利用者自身を含め身近なスマートフォンユーザーに起こりうるサイバー攻撃の実態を掘り下げ、その手口と対策について解説していきます。
今回は、前回紹介したさまざまな「フィッシング」攻撃の中から、音声を利用した「フィッシング」攻撃である「ビッシング」に焦点を当てます。そして、「ビッシング」をさらに進化させた「リバースビッシング」、およびこれらの手法の応用について、主な攻撃方法とその対策を詳しく解説します。
また、前段として特殊詐欺の被害実態についても触れ、その被害額の大きさを理解することで、これらの攻撃の深刻さを実感していただけると思います。「ビッシング」や「リバースビッシング」の実態を理解し、日常生活でのリスク管理に役立てていただければ幸いです。
特殊詐欺の被害実態について
「ビッシング」を説明する前に、「特殊詐欺」の被害実態を確認してみたいと思います。
「特殊詐欺」には、「オレオレ詐欺」、「預貯金詐欺」、「架空料金請求詐欺」、「還付金詐欺」、「融資保証詐欺」、「金融商品詐欺」、「ギャンブル詐欺」、「交際あっせん詐欺」、「キャッシュカード詐欺」など、さまざまな種類があります。また、実際の攻撃には、音声を用いる他に、直接訪問して行う方法、出会い系サイトなどのSNSなどと使って行うなどさまざまな方法があります。
実際の被害については、警察庁が発表したデータによると、特殊詐欺やSNSを利用した投資詐欺、ロマンス詐欺の認知件数と検挙状況は、時折の変動はあるものの、全体として増加傾向にあり、2024年には、被害件数と被害額が過去最大となっています。
図1 特殊詐欺推移
特殊詐欺の被害者には高齢者が多いと思われがちですが、、融資保証金詐欺では若い方の被害が目立ちます。また、詐欺の種類によっては、男性が多いものや女性が多いものなど、被害者の傾向もさまざまです。したがって、誰もが特殊詐欺の被害にあう可能性があると認識しておく必要があります。
ビッシング
「ビッシング」という言葉はあまり馴染みがないかもしれませんが、「オレオレ詐欺」や「振込詐欺」など、「特殊詐欺」については多くの人が知っているでしょう。その中で、「ビッシング」は音声を用いて行われる特殊詐欺の一種と考えられます。
また、「ビッシング」と呼ばれる理由は、音声(ボイス)によるフィッシングであるため、Voice Phishing(ボイスフィッシング)の造語として「Vishing」と呼ばれるようになっています。
「ビッシング」詐欺の主な攻撃方法は、電話を使って金融機関や公的機関を装い、あなたの個人情報や金融情報を盗もうと試みます。この詐欺は、特に次のような方法であなたを信じ込ませ、焦らせて冷静な判断をさせないようにするのが特徴です。
●信頼性を装う:攻撃者は、みんなが知っている公的機関や銀行などの名前を使って、あたかも本物であるかのように見せかけます。
●緊急性を演出する:ATMで不正にお金が引き出されたとか、口座が凍結されるといった緊急事態を装い、あなたを慌てさせます。
このように「ビッシング」では巧妙にあなたを騙してきます。また、攻撃は以下に示すような流れで進行します。
1. 電話がかかってくる:攻撃者が何らかの方法で手に入れたあなたの電話番号に電話をかけます。
2. 本物の職員を装う:攻撃者は、あなたが利用していると思われる銀行や機関の職員を名乗り、信頼させようとします。この段階で、あなたは本物の電話だと信じ込んでしまうことが多いです。
3. 個人情報を聞き出す:攻撃者は、あなたに不安を与える情報を使って、クレジットカード番号や個人情報を聞き出します。
4. 情報を渡してしまう:攻撃者が信頼できる人だと信じてしまい、緊急性に焦って冷静に判断できずに情報を提供してしまいます。
5. 情報を悪用される:攻撃者は、手に入れた情報を使って、金銭的価値のあるものを得ようとします。これは現金だけでなく、オンラインで価値のあるものなら何でも狙われます。
図2 ビッシングの流れ
多くの人は、話の内容から途中で詐欺であることを気づくことが多いと思いますが、攻撃者は言葉巧み話を行ってくるため、一部の人は正規な電話であると信じてしまい、結果として騙されてしまうことになります。
正規な電話であると信じてしまうと、以後は疑いもなく、攻撃者の指示にしたがい対応してしまうことになります。なお、個人情報を聞き出す代わりに、被害者から直接金融機関等にお金を振り込ませる方法など、騙す方法は多種多様になっています。
リバースビッシング
「ビッシング」は、攻撃者が直接あなたに電話をかけて、巧みに話をしながらあなたを騙し、個人情報を手に入れようとする手口です。そして、その情報を使って金銭的な利益を得ることが目的です。しかし、攻撃者から見ると、すべての人が騙されるわけではなく、一度に対応できる人数にも限りがあるため、効率的とは言えません。そこで、効率を上げるために考え出されたのが「リバースビッシング」となります。
「リバースビッシング」では、攻撃者が何らかの方法であなたに攻撃者の連絡先を伝え、あなたから攻撃者に電話をさせるという手口です。これも、「ビッシング」と同様に「信頼性を装う」ことや「緊急性を演出する」ことを利用します。具体的には以下のような流れで進みます。
1. スミッシングメールを送る:攻撃者は、信頼できるサービスや公共機関などを装い、緊急な内容で連絡を促すメールを送ります。これを受け取った人は、正規の連絡だと思い込んでしまいます。
2. 攻撃者に連絡する:メールを信じた人は、指示通りに攻撃者に電話をかけてしまいます。
3. 詐称した組織を名乗る:電話がかかってくると、攻撃者はあたかもその組織の人間であるかのように振る舞います。
4. 個人情報を尋ねる:攻撃者は、急を要するように見せかけて、クレジットカード情報や個人情報などを聞き出します。
5. 情報を提供してしまう:あなたは、信頼できる人だと思い込んでしまい、急いで対応しようとして情報を渡してしまいます。
6. 情報で利益を得る:攻撃者は手に入れた情報を使って、金銭的価値のあるものを手に入れます。これは現金に限らず、オンラインで売買できる価値のあるものなら何でも狙われます。
図3 リバースビッシングの攻撃例
「リバースビッシング」では、騙された被害者が攻撃者へ連絡をするため、電話をかけている時点で騙されているとは思っていないため、電話口での指示にしたがって対応してしまう可能性がより高くなります。
また、最初の連絡手段では、スミッシングメールやフィッシングメールに記載した攻撃者の連絡先に連絡させる他に、「クイッシング詐欺」と呼ばれるQRコードを使った詐欺において、QRコードに攻撃者の連絡先を入れておいて電話をかけさせる方法なども存在します。
このように、「リバースビッシング」では、さまざまなアプローチ方法があるため、折り返し電話をする場合は、その連絡先が信頼できる情報源であることを確認することが重要となります。
最近増えている新しいタイプのビッシング
「ビッシング」と「リバースビッシング」は、攻撃者の視点から見ると、どちらも非効率な面があります。「ビッシング」は、攻撃者が1件ずつ電話をかける必要があるため、労力がかかり、攻撃の数も限られてしまいます。一方、「リバースビッシング」では、攻撃者の連絡先を提示して発信するため、その連絡先が不正利用されていることを報告されるリスクがあり、攻撃者が特定される可能性もあります。
これら課題を対策した攻撃として、攻撃者は自動音声を使って電話をかけてきて、自動音声では、「あなたが利用しているサービスで料金が未納です」などと不安を煽る内容を流します。そして、「担当者につなぐ場合は、#を押してください」などといった指示をします。自動音声の内容を聞いて不安に思ってしまった人は、これを本物の連絡だと思い込んでしまい、指示通りにボタンを押して担当者につないでしまいます。担当者が電話に出ると、自動音声の内容にしたがって不安を煽った内容の説明を行い、個人情報の搾取を行います。
この攻撃では、発信は自動音声で行うため労力が発生せず、騙された可能性がある人と直接話をするので、より効率的に騙すことが可能になっています。したがって、このような手口に引っかからないためには、自動音声での指示にすぐに従わず、まずは冷静になって情報を確認することが大切です。心当たりがない連絡には特に注意し、疑わしい場合は、公式な連絡先を自分で調べて問い合わせるようにしましょう。
ビッシング・リバースビッシングの被害にあわないために
「ビッシング」や「リバースビッシング」に引っかからないためには、その対策を知っておくことが大切です。攻撃者は巧みな話術で騙そうとしますが、以下のポイントを押さえておくと、被害を防げる可能性が高くなります。まず、電話でクレジットカード情報や個人情報を求められることや、銀行への振り込みを求められることは通常ないという認識を持っておきましょう。
1. 見知らぬ番号からの電話で名前を名乗らない
残念ながら、名前と電話番号の情報が漏洩していることがよくあります。これらの情報は「名簿屋」と呼ばれる人々によってリストとして販売されることもあります。また、攻撃者はランダムに電話番号を試して、誰かにつながるのを待っていることもあります。そのため、知らない番号から電話がかかってきた場合は、自分の名前を名乗らないようにしましょう。特に、番号非通知の電話には注意が必要です。名前を名乗ってしまうと、その情報をもとに攻撃者が新たな名簿を作り、さらに悪用される可能性があります。電話番号は再利用されることがあるため、リストの名前が正しいとは限りません。ですから、見知らぬ番号からの電話には慎重に対応することが重要です。
2. 折り返し電話をする前に番号を確認
もし折り返し電話をする場合は、その番号が安全かどうかをインターネットで検索してみると良いです。ただし、すべての危険な番号が登録されているわけではないので、検索結果を過信しないようにしましょう。
3. 折り返し電話をすると言って電話をしない
特に「ビッシング」に対して有効な手段で、折り返し電話をすると言って電話を切り、上記の説明の通りその電話番号が安全であるか確認をし、信頼出来る情報がない場合は、折り返しで電話をしないことで被害を防ぐことができます。
4. 音声着信拒否サービスを利用する
通信会社が提供している着信拒否サービスを活用することで、攻撃者からの電話をブロックできることがあります。ただし、すべての番号をブロックできるわけではないことを理解しておきましょう。
5. 会話を録音する
最近のスマートフォンには録音機能がついていることがあります。電話の会話を録音すると攻撃者が警戒し、電話を切ることがあります。したがって、通話内容を勘違いしないために、電話を録音させてくださいといって録音すると、相手から電話を切ってくることも多々あります。録音する際は、相手にその旨を伝えることも効果的です。
6. 電話番号をメモしておく
もし詐欺に遭ってしまった場合、電話番号をメモしておくことが重要です。この情報は警察や弁護士が攻撃者を特定する手がかりになります。
ビッシングやリバースビッシングでは、攻撃者を特定しやすいことがあります。攻撃者が嫌がるような対応を心がけ、被害を未然に防ぎましょう。
まとめ
「ビッシング」や「リバースビッシング」の基盤となる音声を用いた「特殊詐欺」は、古くから存在する手口ですが、その巧妙さゆえに、今でも多くの人々が被害に遭っています。特にスマートフォンの普及により、個人を特定して攻撃を仕掛けることが容易になり、詐欺のリスクが増しています。
また、これらの詐欺は電話の音声通話自体を悪用しているため、決定的な技術的対策が難しいという課題があります。これは、電話番号が簡単に偽装されることもあり、また電話は誰にでも容易にかけられるため、攻撃者が多くのターゲットにアプローチしやすいからです。さらに、電話番号のリストが不正に売買されることもあり、攻撃者が特定のターゲットに対して効率的に攻撃を仕掛けることが可能になっています。さらに、詐欺師が人間の心理を巧みに操るため、技術的な防御だけでは限界があることも影響しています。したがって、電話での情報をすぐに信じるのではなく、即答を避けることが大切です。電話で伝えられた内容が本当に信頼できるものか、十分に確認することを心がけましょう。これが詐欺の被害を防ぐために重要なポイントです。
なお、「ビッシング」や「リバースビッシング」については、JSSECの「スマートフォン利用シーンに潜む脅威Top10 解説ガイド(フィッシング)」でも紹介されていますので、ぜひそちらもご一読いただき、理解を深めていただければ幸いです。