ビッシングとはフィッシング詐欺の一つで、音声を使用した詐欺行為です。
別名ボイスフィッシングとも呼ばれ、被害に遭うと個人情報や金銭を騙し取られるリスクがあります。
そこで本記事では、
- ビッシング(ボイスフィッシング)の概要
- ビッシングとフィッシングメール・スミッシングとの違い
- ビッシングの手口と被害事例
- ビッシングの被害を防ぐ対策
などを紹介しますので、ぜひ最後までご一読ください。
なお、年々巧妙化するフィッシング詐欺に対して、企業側にも専門的な対策が求められます。
当サイトでは、「Webサイト運営事業者が対応するべきフィッシング対策」がわかる資料を無料配布していますので、下記のバナーからお気軽にダウンロードしてください。
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
目次
ビッシング(ボイスフィッシング)とは
ビッシングとは、音声を使用して攻撃を仕掛けてくる詐欺のことです。
ビッシングは「Voice(ボイス) + Phishing(フィッシング) = Vishing(ビッシング)」からくる造語で、ボイスフィッシングとも呼ばれます。
フィッシング対策協議会では、ビッシングを下記のように定義しています。
ビッシングとは、適当に電話をかけて応答した相手に「○○銀行の△△ですが、お客様 の口座取引の調査をしております。」などと、音声により相手をだまして個人情報を引き出そうとする行為です。 ※引用:フィッシング対策協議会 |
ビッシングで電話の応答をおこなうのは、人間だけとは限りません。不正者が機械応答システムを使用して、コストをかけずに大量のビッシングを仕掛けるケースも存在します。
なお、本記事では主に4種類あるフィッシングのなかでも「ビッシング」に絞って手口や対策を紹介します。
フィッシングの他の種類の手口や対策に関しては、下記の記事で詳しく解説していますので気になる方はご覧ください。
ビッシングとフィッシングメール・スミッシングの違い
前提として、次の3つの不正行為はすべてフィッシングの一種です。
- ビッシング
- フィッシングメール
- スミッシング
そのなかで、ビッシング・フィッシングメール・スミッシングには、下記のような違いがあります。
ビッシング | フィッシングメール | スミッシング | |
---|---|---|---|
概要 | 音声を使用した詐欺 | メールを使用した詐欺 | テキストメッセージ(SMS)を使用した詐欺 |
特徴 | 直接声を聞くことで、普段慎重なユーザーも騙されやすい | 近年は懐疑的なユーザーが多く、クリック率は低い | 「携帯電話のショートメール」という身近なもので詐欺を仕掛けてくるため、ユーザーも騙されやすい |
手口 | 「〇〇会社です。料金未納につき法的措置をとることになりました。」などの音声で不安を煽る | 銀行やクレジットカード会社などを装い、ユーザーにメールを送り、ログイン情報などを確認するように煽る | 「支払い方法に問題があるので更新してください。」などとメッセージを送り、URLをクリックさせようとする |
フィッシングメールは主にメールを使用して攻撃するのに対し、ビッシングは電話(音声)を使用して騙す詐欺です。
また、ビッシングとスミッシングは、電話番号を悪用した詐欺という点では共通しています。
しかし、ビッシングは電話(音声を)使用して攻撃するのに対し、スミッシングはテキストメッセージ(SMS)を使用して攻撃する点に違いがあります(※)。
※スミッシングで、不正者が指定した番号に電話をかけるよう要求してくることもあります。
なお、ビッシング・フィッシングメール・スミッシングは、いずれも悪用者の目的が共通しており、個人情報を騙し取ったり金銭を不正に得たりすることが狙いです。
スミッシングについて詳しく知りたい方は、下記の記事をご覧ください。
また、下記の記事では、ビッシング以外のフィッシング攻撃について詳しく解説しています。フィッシング全般の対策をお考えの方は、ぜひチェックしてみてください。
ビッシングの被害で起こり得るリスク
ビッシングの被害で起こり得る主なリスクは、次のとおりです。
【ビッシングの被害で起こり得る主なリスク】
|
この「個人情報」に含まれるものは、
- 名前
- 住所
- 電話番号
- メールアドレス
- アカウントID
- クレジットカード情報
など、多岐に渡ります。
そして、不正者は騙し取った個人情報を次のように悪用するのです。
- アカウントの乗っ取り、なりすまし
- 流出した情報を使いアカウントにログイン→さらに情報を盗む
- 金融機関から金銭を盗む
- ダークウェブという不正を働く者が集まる闇の取引場で売る
ビッシングは、たった1度の被害でも大きなダメージを受けるリスクが潜んでいます。
ビッシングの手口を3つの被害事例と共に紹介
本章では、実際にあったビッシングの被害事例を3つ紹介します。
- ゆうちょ銀行社員を名乗って個人情報を詐取する
- 税務職員を装って個人情報を聞き出す
- 政府機関の職員を騙った電話で未納分の税金の督促をする
事例をみることで、似たような手口を仕掛けられた際に詐欺だと気付きやすくなりますので、ぜひご参照ください。
【事例1】ゆうちょ銀行社員を名乗って個人情報を詐取する
1つ目は、ゆうちょ銀行社員を名乗ってビッシングを仕掛けた事例です。悪用者は詐欺被害に遭った人をターゲットに設定し、被害金の返金に関する電話をかけました。
詐欺被害に遭ったお客さまのご自宅にゆうちょ銀行社員を名乗る者から、「法律ができて、振り込め詐欺の被害金を返金できることになったので、ゆうちょダイレクトの利用申し込みをしてください」と連絡があり、利用申込書に住所・氏名・通帳の記号番号を記入するよう言われた。
※引用:ゆうちょ銀行
そもそも、ゆうちょ銀行が記入済みのゆうちょダイレクトの利用申込書を送るようなことはありません。
もし言われるがままに利用申込書を送付してしまうと、身に覚えのない不正送金が行われるリスクがあるため注意が必要です。
【事例2】税務職員を装って個人情報を聞き出す
2つ目は、税務職員を装ってビッシングを仕掛けた手口です。
悪用者は、マイナンバー制度にまつわるアンケートや年金受給の調査と称して、預金残高や口座情報などを聞き出そうとしました。
国税局や税務職員を名乗る者から電話があり、マイナンバー制度アンケートや年金受給調査と称して、年齢や家族構成、年金の受給状況、預金残高や口座情報などについて聞き出そうとする事例が発生しています。
※引用:国税庁
そもそも、税務職員が納税者に電話で問い合わせる場合、事前に提出した申告書などをもとにその内容を確認することが原則とされています。
少しでも不審だと感じた場合は、その場での回答を避け、最寄りの警察署や税務署に相談しましょう。
【事例3】政府機関の職員を騙った電話で未納分の税金の督促をする
3つ目は、アメリカの政府機関の職員を騙って詐欺の電話をかけた事例です。
不正者はまず、自分が本物の職員であると思わせるためにIRS(内国歳入庁)職員番号や被害者のソーシャル・セキュリティー・ナンバーの下4桁を伝えました。
そして、「未納分の税金があるので、デビットカード(クレジットカード)などですぐに決済するように」と言って支払いを急かしたのです。
悪質なケースでは、「入管職員により国外追放される」「運転免許証が取り消しになる」などと脅し、不安を煽って送金させようとする手口もみられます。
※参考:在ホノルル日本国総領事館
【個人向け】被害に遭わないための3つの対策
ビッシングの被害に遭わないために、個人でできる対策を3つ紹介します。
- 知らない電話番号からの着信には出ない
- 電話で個人情報を伝えない
- 電話をかける時はお問い合わせ窓口や公式HPで確認をする
すぐに取り組みやすい対策ばかりですので、ぜひ実践してみてください。
【対策1】知らない電話番号からの着信には出ない
ビッシングは、知らない電話番号からの着信に出ないことが最も有効な対策です。
電話の呼び出し音が響くとつい気になってしまうものですが、知らない番号からの着信に出なければビッシングの被害に遭うことはありません。
どうしても気になる場合は、着信が鳴り止むのを待ってから、履歴の番号を検索してみるのも一つの手です。
万が一、電話に出てしまった時も「怪しい」と感じた時点ですぐに電話を切りましょう。
【対策2】電話で個人情報を伝えない
2つ目の対策は、電話で個人情報を伝えないことです。
悪用者は、ターゲットが不安になるような発言をして脅かすケースがあります。
「あなたの口座から多額の引き落としがされる」「ご利用中のサービスが停止される」などと言われた場合でも、慌ててその場で個人情報を伝えてはいけません。
特に、丁寧な口調のオペレーターに繋がった時などは、油断してつい話してしまいそうになるかもしれませんが、その場での即答は避けましょう。
【対策3】電話をかける時はお問い合わせ窓口や公式HPで確認をする
3つ目は、お問い合わせ窓口や公式HPで調べた番号に電話をかけることです。
そのためにも、事前に公式の番号を電話帳に登録しておき、知らない番号からの着信には出ないようにすることがおすすめです。
ちなみに、有名な企業や公的機関などを装った不正者から不安を煽るメールが最初に届き、その後に偽の電話番号に連絡するよう促される手口もあります。
その場合も、メールに記載されている番号へは発信せず、必ず公式HPで正規の番号を確認するようにしましょう。
ビッシングは企業に与えるダメージも大きい
重要な情報が盗まれてしまうビッシングの被害に遭うと、個人はもちろん企業に与えるダメージも大きいです。
企業の場合はさらに、自社を装ってビッシング詐欺がおこなわれるリスクも潜んでいます。
【ビッシングが企業に与えるダメージの一例】
|
個人情報の流出や社会的信用の低下・損害賠償の支払いなどが懸念され、その影響は計り知れません。
加えて、ビッシングを含むフィッシング詐欺は年々手口が高度化・巧妙化していることもあり、企業には専門的な対策が求められます。
炎上や風評被害対策についての資料は以下のボタンからダウンロードできますのでぜひチェックしてみてください。
【企業向け】被害に遭わないための対策
2023年のフィッシング対策ガイドラインでは、「Webサイト運営者が考慮すべき要件」が29個挙げられています。
ビッシングもフィッシング詐欺の一種であるため、これらの要件は考慮すべきです。
たとえば、ビッシングでみた場合、下記のような対策が考えられます。
|
そして、「フィッシング詐欺被害の発生を迅速に検知するための対策」で優先度の高い要件の一つが、フィッシング検知に有効なサービスの活用です。
たとえば、下記のような対策を推奨しています。
- インターネット上の不正活動を24時間体制でモニタリングし、不正を発見次第、URLフィルターへの登録やテイクダウンを行う
- 検知・通知サービスを活用する
24時間体制の監視をおこない、最新の不正手口に対応するには自社だけでは限界があり、プロの手で網羅的にカバーすることが望ましいと言えます。
そこで、フィッシング対策サービスとしておすすめなのが、かっこ株式会社が提供する「鉄壁PACK for フィッシング」です。
【鉄壁PACK for フィッシングがおすすめの理由】
|
※2024年3月末日時点。株式会社東京商工リサーチの調査
「鉄壁PACK for フィッシング」には、フィッシングドメインやなりすましログインを検知する機能も備わっています。
フィッシング対策を強化したい方は、下記のバナーをクリックのうえお気軽にサービス資料をダウンロードしてください!
\自社のなりすましサイトの検知・フィッシング対策に!/詳細やお問合せはこちら
まとめ:ビッシングをはじめフィッシング詐欺への網羅的な対策を
ビッシングは、電話を使った詐欺行為で、フィッシング詐欺の一つです。
ビッシングの被害に遭わないためには、日頃から下記の3つの点を意識することが大切です。
- 知らない電話番号からの着信には出ない
- 電話で個人情報を伝えない
- 電話をかける時はお問い合わせ窓口や公式HPで確認をする
また、ビッシングへの対策が必要なのは個人だけではありません。
企業がビッシングを含むフィッシング詐欺の対策を講じると、自社だけではなく利用者の安全を守ることにもつながります。
下記の記事では、最新のフィッシング詐欺の事例と事業者様が取るべき対策を詳しく解説しています。不正対策の参考にぜひご覧ください。