不正検知・ノウハウ

  •  PR 

ビッシング(ボイスフィッシング)とは?手口や対策を徹底解説

ビッシングとはフィッシング詐欺の一つで、音声を使用した詐欺行為です。

別名ボイスフィッシングとも呼ばれ、被害に遭うと個人情報や金銭を騙し取られるリスクがあります。

そこで本記事では、

    • ビッシング(ボイスフィッシング)の概要
    • ビッシングとフィッシングメール・スミッシングとの違い
    • ビッシングの手口と被害事例
    • ビッシングの被害を防ぐ対策

などを紹介しますので、ぜひ最後までご一読ください。

なお、年々巧妙化するフィッシング詐欺に対して、企業側にも専門的な対策が求められます。

当サイトでは、「Webサイト運営事業者が対応するべきフィッシング対策」がわかる資料を無料配布していますので、下記のバナーからお気軽にダウンロードしてください。

\自社のなりすましサイトの検知・フィッシング対策に!/鉄壁PACKforフィッシング詳細やお問合せはこちら

ビッシング(ボイスフィッシング)とは

ビッシングとは、音声を使用して攻撃を仕掛けてくる詐欺のことです。

ビッシングは「Voice(ボイス) + Phishing(フィッシング) = Vishing(ビッシング)」からくる造語で、ボイスフィッシングとも呼ばれます。

フィッシング対策協議会では、ビッシングを下記のように定義しています。

ビッシングとは、適当に電話をかけて応答した相手に「○○銀行の△△ですが、お客様 の口座取引の調査をしております。」などと、音声により相手をだまして個人情報を引き出そうとする行為です。

※引用:フィッシング対策協議会

ビッシングで電話の応答をおこなうのは、人間だけとは限りません。不正者が機械応答システムを使用して、コストをかけずに大量のビッシングを仕掛けるケースも存在します。

なお、本記事では主に4種類あるフィッシングのなかでも「ビッシング」に絞って手口や対策を紹介します。

フィッシングの他の種類の手口や対策に関しては、下記の記事で詳しく解説していますので気になる方はご覧ください。

ビッシングとフィッシングメール・スミッシングの違い

前提として、次の3つの不正行為はすべてフィッシングの一種です。

  1. ビッシング
  2. フィッシングメール
  3. スミッシング

そのなかで、ビッシング・フィッシングメール・スミッシングには、下記のような違いがあります。

ビッシングフィッシングメールスミッシング
概要音声を使用した詐欺メールを使用した詐欺テキストメッセージ(SMS)を使用した詐欺
特徴直接声を聞くことで、普段慎重なユーザーも騙されやすい近年は懐疑的なユーザーが多く、クリック率は低い「携帯電話のショートメール」という身近なもので詐欺を仕掛けてくるため、ユーザーも騙されやすい
手口「〇〇会社です。料金未納につき法的措置をとることになりました。」などの音声で不安を煽る銀行やクレジットカード会社などを装い、ユーザーにメールを送り、ログイン情報などを確認するように煽る「支払い方法に問題があるので更新してください。」などとメッセージを送り、URLをクリックさせようとする

フィッシングメールは主にメールを使用して攻撃するのに対し、ビッシングは電話(音声)を使用して騙す詐欺です。

また、ビッシングとスミッシングは、電話番号を悪用した詐欺という点では共通しています。

しかし、ビッシングは電話(音声を)使用して攻撃するのに対し、スミッシングはテキストメッセージ(SMS)を使用して攻撃する点に違いがあります(※)。

※スミッシングで、不正者が指定した番号に電話をかけるよう要求してくることもあります。

なお、ビッシング・フィッシングメール・スミッシングは、いずれも悪用者の目的が共通しており、個人情報を騙し取ったり金銭を不正に得たりすることが狙いです。

スミッシングについて詳しく知りたい方は、下記の記事をご覧ください。

また、下記の記事では、ビッシング以外のフィッシング攻撃について詳しく解説しています。フィッシング全般の対策をお考えの方は、ぜひチェックしてみてください。

ビッシングの被害で起こり得るリスク

ビッシングの被害で起こり得る主なリスクは、次のとおりです。

【ビッシングの被害で起こり得る主なリスク】

  1. 個人情報を盗まれる
  2. 詐取した個人情報を不正利用される

この「個人情報」に含まれるものは、

  • 名前
  • 住所
  • 電話番号
  • メールアドレス
  • アカウントID
  • クレジットカード情報

など、多岐に渡ります。

そして、不正者は騙し取った個人情報を次のように悪用するのです。

  • アカウントの乗っ取り、なりすまし
  • 流出した情報を使いアカウントにログイン→さらに情報を盗む
  • 金融機関から金銭を盗む
  • ダークウェブという不正を働く者が集まる闇の取引場で売る

ビッシングは、たった1度の被害でも大きなダメージを受けるリスクが潜んでいます。

ビッシングの手口を3つの被害事例と共に紹介

本章では、実際にあったビッシングの被害事例を3つ紹介します。

  1. ゆうちょ銀行社員を名乗って個人情報を詐取する
  2. 税務職員を装って個人情報を聞き出す
  3. 政府機関の職員を騙った電話で未納分の税金の督促をする

事例をみることで、似たような手口を仕掛けられた際に詐欺だと気付きやすくなりますので、ぜひご参照ください。

【事例1】ゆうちょ銀行社員を名乗って個人情報を詐取する

1つ目は、ゆうちょ銀行社員を名乗ってビッシングを仕掛けた事例です。悪用者は詐欺被害に遭った人をターゲットに設定し、被害金の返金に関する電話をかけました。

詐欺被害に遭ったお客さまのご自宅にゆうちょ銀行社員を名乗る者から、「法律ができて、振り込め詐欺の被害金を返金できることになったので、ゆうちょダイレクトの利用申し込みをしてください」と連絡があり、利用申込書に住所・氏名・通帳の記号番号を記入するよう言われた。

※引用:ゆうちょ銀行

そもそも、ゆうちょ銀行が記入済みのゆうちょダイレクトの利用申込書を送るようなことはありません。

もし言われるがままに利用申込書を送付してしまうと、身に覚えのない不正送金が行われるリスクがあるため注意が必要です。

【事例2】税務職員を装って個人情報を聞き出す

2つ目は、税務職員を装ってビッシングを仕掛けた手口です。

悪用者は、マイナンバー制度にまつわるアンケートや年金受給の調査と称して、預金残高や口座情報などを聞き出そうとしました。

国税局や税務職員を名乗る者から電話があり、マイナンバー制度アンケートや年金受給調査と称して、年齢や家族構成、年金の受給状況、預金残高や口座情報などについて聞き出そうとする事例が発生しています。

※引用:国税庁

そもそも、税務職員が納税者に電話で問い合わせる場合、事前に提出した申告書などをもとにその内容を確認することが原則とされています。

少しでも不審だと感じた場合は、その場での回答を避け、最寄りの警察署や税務署に相談しましょう。

【事例3】政府機関の職員を騙った電話で未納分の税金の督促をする

3つ目は、アメリカの政府機関の職員を騙って詐欺の電話をかけた事例です。

不正者はまず、自分が本物の職員であると思わせるためにIRS(内国歳入庁)職員番号や被害者のソーシャル・セキュリティー・ナンバーの下4桁を伝えました。

そして、「未納分の税金があるので、デビットカード(クレジットカード)などですぐに決済するように」と言って支払いを急かしたのです。

悪質なケースでは、「入管職員により国外追放される」「運転免許証が取り消しになる」などと脅し、不安を煽って送金させようとする手口もみられます。

※参考:在ホノルル日本国総領事館

【個人向け】被害に遭わないための3つの対策

ビッシングの被害に遭わないために、個人でできる対策を3つ紹介します。

  1. ​​知らない電話番号からの着信には出ない
  2. 電話で個人情報を伝えない
  3. 電話をかける時はお問い合わせ窓口や公式HPで確認をする

すぐに取り組みやすい対策ばかりですので、ぜひ実践してみてください。

【対策1】知らない電話番号からの着信には出ない

ビッシングは、知らない電話番号からの着信に出ないことが最も有効な対策です。

電話の呼び出し音が響くとつい気になってしまうものですが、知らない番号からの着信に出なければビッシングの被害に遭うことはありません。

どうしても気になる場合は、着信が鳴り止むのを待ってから、履歴の番号を検索してみるのも一つの手です。

万が一、電話に出てしまった時も「怪しい」と感じた時点ですぐに電話を切りましょう。

【対策2】電話で個人情報を伝えない

2つ目の対策は、電話で個人情報を伝えないことです。

悪用者は、ターゲットが不安になるような発言をして脅かすケースがあります。

「あなたの口座から多額の引き落としがされる」「ご利用中のサービスが停止される」などと言われた場合でも、慌ててその場で個人情報を伝えてはいけません。

特に、丁寧な口調のオペレーターに繋がった時などは、油断してつい話してしまいそうになるかもしれませんが、その場での即答は避けましょう。

【対策3】電話をかける時はお問い合わせ窓口や公式HPで確認をする

3つ目は、お問い合わせ窓口や公式HPで調べた番号に電話をかけることです。

そのためにも、事前に公式の番号を電話帳に登録しておき、知らない番号からの着信には出ないようにすることがおすすめです。

ちなみに、有名な企業や公的機関などを装った不正者から不安を煽るメールが最初に届き、その後に偽の電話番号に連絡するよう促される手口もあります。

その場合も、メールに記載されている番号へは発信せず、必ず公式HPで正規の番号を確認するようにしましょう。

ビッシングは企業に与えるダメージも大きい

重要な情報が盗まれてしまうビッシングの被害に遭うと、個人はもちろん企業に与えるダメージも大きいです。

企業の場合はさらに、自社を装ってビッシング詐欺がおこなわれるリスクも潜んでいます。

【ビッシングが企業に与えるダメージの一例】

  • 管理者権限のあるログイン情報を盗まれる
  • 顧客データを含むデータベースに不正アクセスされ、個人情報が流出する
  • アカウントを乗っ取られるおそれがある
  • 自社の名を騙って不正がおこなわれると、ブランドイメージの毀損や信用低下につながるおそれがある
  • クレジットカードの不正利用によるチャージバック対応費用が発生する
  • クレーム対応に追われたり、場合によっては訴訟に発展したりする

個人情報の流出や社会的信用の低下・損害賠償の支払いなどが懸念され、その影響は計り知れません。

加えて、ビッシングを含むフィッシング詐欺は年々手口が高度化・巧妙化していることもあり、企業には専門的な対策が求められます。

炎上や風評被害対策についての資料は以下のボタンからダウンロードできますのでぜひチェックしてみてください。

炎上対策・風評被害対策についての無料のお役立ち資料はこちら

【企業向け】被害に遭わないための対策

2023年のフィッシング対策ガイドラインでは、「Webサイト運営者が考慮すべき要件」が29個挙げられています。

ビッシングもフィッシング詐欺の一種であるため、これらの要件は考慮すべきです。

たとえば、ビッシングでみた場合、下記のような対策が考えられます。

  • 利用者に着信があった時、正規の電話番号かの判断がしやすいように公式HPなどに電話番号を明記しておく
  • 「このような件では当社からお電話することはありません」という内容を掲載して、利用者に周知しておく

そして、「フィッシング詐欺被害の発生を迅速に検知するための対策」で優先度の高い要件の一つが、フィッシング検知に有効なサービスの活用です。

たとえば、下記のような対策を推奨しています。

  • インターネット上の不正活動を24時間体制でモニタリングし、不正を発見次第、URLフィルターへの登録やテイクダウンを行う
  • 検知・通知サービスを活用する

24時間体制の監視をおこない、最新の不正手口に対応するには自社だけでは限界があり、プロの手で網羅的にカバーすることが望ましいと言えます。

そこで、フィッシング対策サービスとしておすすめなのが、かっこ株式会社が提供する「鉄壁PACK for フィッシング」です。

【鉄壁PACK for フィッシングがおすすめの理由】

  • フィッシングが起こるすべてのフェーズでの対策が可能
  • 上記で挙げた「Webサイト運営者が考慮すべき要件」の大半をカバーできる
  • EC向け不正検知で導入実績No.1(※)の「O-PLUX」(ECサイトの不正注文を見抜くクラウドサービス)を運営するかっこ株式会社が提供する安心感

※2024年3月末日時点。株式会社東京商工リサーチの調査

「鉄壁PACK for フィッシング」には、フィッシングドメインやなりすましログインを検知する機能も備わっています。

フィッシング対策を強化したい方は、下記のバナーをクリックのうえお気軽にサービス資料をダウンロードしてください!

\自社のなりすましサイトの検知・フィッシング対策に!/鉄壁PACKforフィッシング詳細やお問合せはこちら

まとめ:ビッシングをはじめフィッシング詐欺への網羅的な対策を

ビッシングは、電話を使った詐欺行為で、フィッシング詐欺の一つです。

ビッシングの被害に遭わないためには、日頃から下記の3つの点を意識することが大切です。

  1. ​​知らない電話番号からの着信には出ない
  2. 電話で個人情報を伝えない
  3. 電話をかける時はお問い合わせ窓口や公式HPで確認をする

また、ビッシングへの対策が必要なのは個人だけではありません。

企業がビッシングを含むフィッシング詐欺の対策を講じると、自社だけではなく利用者の安全を守ることにもつながります。

下記の記事では、最新のフィッシング詐欺の事例と事業者様が取るべき対策を詳しく解説しています。不正対策の参考にぜひご覧ください。

ピックアップ記事

  1. ECサイトでの情報漏洩対策とは?どんなセキュリティ強化をするべきか
  2. ECサイトはセキュリティ対策が必須!導入時の重要なポイント5つを解説
  3. 【後払い未払い発生時の対策】督促手順や支払う意思がない購入者への対応について
  4. 不正アクセスを検知する「不正検知システム」とは?
  5. eKYCとは?注目が集まる3つの理由や、メリット・デメリットを解説!

関連記事

  1. 不正検知・ノウハウ

    クレジットカードの暗証番号とは?忘れた場合の対処法や設定方法を解説

    クレジットカードの暗証番号は、カード所有者であることを証明するためのも…

  2. 不正検知・ノウハウ

    住所を悪用した不正注文の現状とは?配送先の確認方法や誤配送の対策も解説

    「住所を悪用した不正注文を減らしたい」「誤配送にどんなリスクがある…

  3. チャージバック保険に入っていれば安心は間違い

    チャージバック

    チャージバック保険があれば安心は間違い!不正注文検知システムを導入すべき理由を徹底解説

    「チャージバック保険があれば安心でしょ?」「チャージバック保険があ…

  4. 不正検知・ノウハウ

    レピュテーションリスクの7つの種類とは?早めに検知して対策しよう

    企業におけるレピュテーションとは、企業への評判・風評のことを指します。…

  5. 不正検知・ノウハウ

    転売屋対策に効果のある13個の方法を紹介!転売が引き起こすリスクとは?

    転売屋(転売ヤー)は、企業や販売店が対策しにくい問題ではないでしょうか…

EC不正事業者セルフチェックシート
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門
漫画ウサギとカメでわかるどこよりもわかりやすいEC不正注文対策 無料ダウンロード

おすすめ記事

  1. チャージバックとは?不正が起こる原因と事業者が行うべき5つの…
  2. 【2024年最新】クレジットカードの不正利用被害は過去最高額…
  3. フィッシングサイトを検知する3つの方法!企業が受ける被害例も…
  4. 3Dセキュア2.0を導入後も不正注文対策は必要!理由とおすす…
  5. QRコード決済は危険?不正利用される原因や安全に使える電子決…
漫画3匹の子豚でわかるどこよりもわかりやすいWebセキュリティ入門

お役立ち資料

いざという時に。不正アクセス被害後の対応手順マニュアル
  1. 不正アクセス

    ポイントの不正を防ぐ対策とは?ユーザー視点・事業者視点に分けて解説
  2. 不正検知・ノウハウ

    ECサイトの不正注文・セキュリティ対策に必要なコストは?行うべき具体的な対策も紹…
  3. EC構築・ノウハウ

    【事業者向け】電子決済を導入するうえでの注意点4つと店舗に合う電子決済の選び方
  4. 不正検知・ノウハウ

    アドフラウド(adfraud)の具体的な手口と適切な対策方法
  5. セキュリティ用語

    クレジットカードのオーソリゼーション(オーソリ)とは?仕組みや目的を解説
PAGE TOP