ビッシングとは?
電話を使ったフィッシング攻撃
2023年7月7日
著者: Ahona Rudra
翻訳: 高峯 涼夏
この記事はPowerDMARCのブログ記事 What is Vishing? の翻訳です。
Spelldataは、PowerDMARCの日本代理店です。
この記事は、PowerDMARCの許可を得て、翻訳しています。
ビッシング(Vishing)は、世界で急速に増えている犯罪の一つです。
では、ビッシングとは具体的には何なのでしょうか?
訳注:Vishing = Voice + Phishing を掛け合わせた語です。
ビッシングとは、電話をかけて個人を騙し、個人情報や金融情報を開示させる行為です。
これは、犯人が電話を通じて他人から個人情報を入手しようとする詐欺の一形態です。
ビッシングの電話は、合法的な組織(例:銀行)などからかかってきているように見えるかもしれませんが、実際はあなたの個人情報にアクセスするために仕組まれた詐欺です。
2021年には、約5,949万人のアメリカ人(国民の約23%)がビッシングによってお金を失っています。
さらに、2019年には4,300万人、2020年には5,600万人(国民の約22%)が被害を受けました。
ビッシング攻撃から自分自身を守るためには、何に注意すべきかを知ることが役立ちます。
フィッシング・ビッシング・スミッシング攻撃の違い
1990年頃、「phishing」(フィッシング)という言葉が初めて登場し、詐欺師の行動をオンライン上で標的を捕らえる「餌」のようなものとして表現しました。
今日でも、この言葉は、ソーシャルエンジニアリングを利用した詐欺行為で、犠牲者を罠にはめるために騙すことに関連しています。
フィッシングに分類される「smishing」(スミッシング)および「vishing」(ビッシング)というフレーズは、サイバー犯罪の発展とともに出現しました。
以下、それぞれの働きにおける違いです。
- フィッシング
- フィッシングは、インスタントチャットやメールのなりすましを通じてよく行われます。
これは、人々に本物そっくりの偽サイトで情報を入力するよう指示することがよくあります。 - スミッシング
- スミッシングは、被害者にテキストメッセージを送って騙し、有害なリンクをクリックさせたり、個人情報を返信させる手法です。
この手法はテキストメッセージのやり取りだけで構成されています。 - ビッシング
- ビッシング攻撃では、ある時点で音声でのお問い合わせが行われます。
最初のSMSの目的は、攻撃者が攻撃を続行できるように、またはその番号が誰かのものであることを確認できるように、潜在的な被害者を騙して番号に電話させることです。
ビッシング攻撃の特徴
- 個人に最適化されている
- ビッシングの電話は、銀行や政府機関など、信頼できるソースから来たように聞こえるように、個別に最適化されています。
- 緊急性がある
- ビッシングの電話は、被害者に行動を促すために緊急性を強調しています。例えば、例えば、被害者のアカウントに問題があり、それを解決するために直ちに行動する必要があると主張するかもしれません。
- 恐怖感を煽る
- ビッシングの電話は、しばしば被害者を怖がらせて、軽率な決断をさせたり、電話で機密情報を共有させます。
これは、電話の向こうの人の指示に従わないと何かひどいことが起こると主張することで行われます。
例えば、詐欺師が管理する口座にすぐに資金を移すことをしない場合、自身のIDが盗まれるとか、脱税詐欺で逮捕されるなどです。
一般的なビッシング攻撃の種類
ここでは、注意すべき一般的なビッシングの種類を紹介します。
ダンプスターダイビング
ダンプスターダイビング型のビッシングでは、攻撃者が電話をかけてきて、社会保障番号(訳注:アメリカで利用されているマイナンバーのようなID番号)や生年月日などの個人情報を尋ねます。
通常、攻撃者はゴミ箱を漁って十分な情報を集めて、相手を信じ込ませるのに十分な情報を集めたり、捨てられた電話帳から相手の連絡先を聞き出したりします。
彼らは、再度クレジットカードの提示を求める前に、他の人がクレジットカードを使用したかどうか尋ねるかもしれません。
これは、それがまだ有効であることを確認するためです。
一旦この情報を得ると、彼らはそれを使って、本人であることを証明する書類がなくても、相手の名前でクレジットカードを申し込むことができます!
VoIP電話
ビッシングの最も一般的なタイプは、企業や銀行の担当者を名乗る人物からの電話です。
電話の相手は、被害者に社会保障番号、クレジットカード番号、または他の機密情報などの個人情報を明かさせようとします。
被害者が提供してしまうと、なりすましや金融詐欺に利用される可能性があります。
Vishingの電話は、VoIP(インターネットプロトコルを介した音声…Voice over Internet Protocol)を使用してかけることもできます。
この技術により、電話をかける側は、従来の固定電話回線ではなく、インターネット接続を使用して自分の位置を偽装することができます。
VoIP電話は地域によって制限されないため、しばしばビッシング詐欺に利用されます。
ウォーダイヤリング
詐欺師が人々を騙して個人情報を提供させる別の方法は、ウォーダイヤリングです。
ウォーダイヤリングとは、誰かがランダムな電話番号に電話をかけ、開かれた電話回線を探して、その回線に接続されているコンピュータにアクセスする行為です。
ハッカーはその後、鍵を使ってコンピュータやネットワークから個人情報を盗むのです。
発信者番号なりすまし
発信者番号なりすましによって、詐欺師は相手の銀行やクレジットカード会社から電話がかかってきているように見せかけます。
詐欺師はこの手法を使用して相手を騙し、電話でパスワードや口座番号などの個人情報を提供させます。
これらは詐欺師にとって簡単なことです。
なぜなら、あなたが詐欺師のサービスにサインアップしたり、彼らとのアカウントを設定したりしたときに、既に彼らが必要とする情報を提供しているからです。
ビッシング攻撃を防ぐには?
ビッシング攻撃の犠牲者にならないために、身を守る方法をご紹介します。
- ビッシングが心配なら、積極的に行動することが身を守る最善の方法です。
- 知らない番号からの電話には出ないでください。もし電話番号が公開されている場合、オンラインでは利用できないようにすることができます。
- 知らない番号番号からの電話で、クレジットカード番号、社会保障番号、またはPINなどの個人情報を求められた場合は、すぐに電話を切ってください。
- かかってきた電話が怪しいと思った場合は、その会社の公式番号に電話して、その電話が本物かどうかを確認してください。
- 電話で話してみて詐欺やなりすましの心配がある場合は、すぐに銀行やクレジットカード会社に連絡して、不審な活動を報告してください。
結論
フィッシングは、デジタル化以前の時代にさかのぼる、原初の詐欺の手口のひとつです。
ネットワークベースの通信やデータの普及により、攻撃者が実際の電話を模倣することはより簡単になりました。
とはいえ、ビッシングは個人生活や仕事において注意を払うことで回避することができます。
電話でのすべての会話を注意深く吟味し、電話越しに重要な情報を決して話さないことで、このような攻撃を避けることができます。
フィッシング、なりすまし、ソーシャルエンジニアリングなど、その他のメールベースの攻撃からの防御については、今すぐDMARCアドバイザーにご相談ください!
まずはメールの状況を確認するために、PowerDMARCのトライアルをお試しください!
