ビッシングとは？具体的な手口や被害リスク、対策方法を解説

フィッシングとの違い

ビッシングとフィッシングは、ともにユーザーを騙して個人情報を盗み取る点では共通していますが、手法に違いがあります。

ビッシングは音声通話を使用するのに対し、フィッシングは主に電子メールを利用した詐欺行為です。

ターゲットとなりそうなリストを基に大量のメールを送り、巧みな手口を使って情報を盗み取ろうとします。

具体的には、銀行やクレジットカード会社の名前を騙ったメールを送り、本物と同じようにWebサイトへと誘導します。

フィッシングとビッシングには多少の違いがありますが、どちらも個人情報を不正に取得しようとする悪質な行為であることに変わりはありません。

【関連記事】フィッシング詐欺とは？具体的な手口や被害に遭わないための対策

スミッシングとの違い

スミッシングはSMSを利用した詐欺行為であり、ビッシングとは使用するツールが異なります。

スミッシングの特徴としては、受信者がクリックしてしまいたくなる文章とともに、フィッシングページのリンクが記載されている点です。

また、マルウェアをホストするWebサイトのリンクが添付されているケースもあります。

特に多いスミッシングは、配送会社やカスタマー・サポートになりすます手口です。

ビッシング同様に被害者が後を絶たない詐欺行為であるため、怪しい文章が書かれたSMSには細心の注意が必要です。

【関連記事】スミッシングとは？手口・被害事例・効果的な対策を徹底解説

自動音声通話による誘導

自動音声通話による誘導は、ビッシングの代表的な手口の1つです。

この手口では、自動音声を使って被害者にさまざまな行動を促します。

例えば、「あなたのカードが不正利用されている可能性があります。暗証番号を入力してください」などと指示し、個人情報を入力させようとします。

人との会話だと疑えるというユーザーでも、「自動音声はつい信じてしまう」ということもあるでしょう。

近年では音声合成技術の向上により、自然な口調で会話ができるようになっており、見破るのが難しくなっています。

自動音声通話に対しては、不審な指示には応じず、公式の連絡先に直接問い合わせることが重要です。

特定機関や商材通販のなりすまし

特定の機関や企業になりすますことで、被害者を信用させようとするビッシングの手口もあります。

緊急性を煽り、ユーザーに混乱を与える点が主な特徴です。

具体的には、「総務省の調査です。個人情報保護法の改正に伴い、情報の再確認が必要です」などと嘘の説明をし、個人情報を求めるといった例が見られます。

また、商材の通販を装い、「注文した商品の発送に必要な情報が不足しています。クレジットカード情報を再度お知らせください」などと言い、カード情報を盗み取ろうとするケースもあります。

このような手口に対しては、相手の身元を確認し、不審な要求には応じないことが肝心です。

公的機関や企業が電話で個人情報を聞き出すことは基本的にないため、そのような電話は詐欺の可能性が高いと判断しましょう。

マルチチャンネル詐欺

ビッシングの中には、電話だけでなく、メールやSMSといった他の手段を併用するものもあります。

この手口は、マルチチャンネル詐欺と呼ばれ、複数の方法で被害者を困惑させ、警戒心を緩めさせようとします。

例えば、まず自動音声通話で情報の確認を求め、続いてSMSで偽のURLを送信し、フィッシングサイトに誘導するといった手口で詐欺行為を行うのです。

また、メールで脅迫的なメッセージを送り、電話で問い合わせるよう指示することで、心理的な圧力をかける手口も存在します。

ゆうちょ銀行社員のなりすましによる情報窃盗

ゆうちょ銀行は以前、「銀行などを装った訪問・電話による犯罪（お客さまから直接情報を聞き出す犯罪）」として、ビッシングの注意喚起を行いました。

具体的には、ゆうちょ銀行社員を名乗るものから、「法律ができて、振り込め詐欺の被害金を返金できることになったので、ゆうちょダイレクトの利用申し込みをしてください」との連絡があったとされます。

言う通りに申し込みをしてしまうと、不正送金が行われるリスクがあります。

そもそも、ゆうちょ銀行が記入済みのゆうちょダイレクトの利用申込書を送付したり、パスワードなどを聞き出したりすることはありません。

ゆうちょ銀行から情報を聞き出すような電話がかかってきた際には注意が必要です。

厚生労働省職員のなりすましによる情報窃盗

2024年2月、厚生労働省は「厚生労働省職員や機関を装った不審な電話・メールにご注意ください。」と公式サイトで注意喚起を行いました。

厚生労働省医薬局や医薬生活局を名乗り、「保険証が不正利用されている」「薬が不正処方されている」などと言い、個人情報を聞き出そうとする事案が発生しています。

厚生労働省が個人情報を聞き出すことはないため、個人情報を要求された際はすぐに電話を切るようにしましょう。

ITヘルプデスクのなりすましによる情報窃盗

2020年から2021年にかけて、アメリカでITヘルプデスクの担当者になりすまし、電話をかける手口が複数確認されました。

VPNログイン画面に偽装したフィッシングサイトに誘導され、ログイン情報が不正に抜き取られるといった手口です。

ビッシングの被害により、アカウント情報が盗み出され、企業ネットワークが攻撃者に晒される事態へと発展しています。

この時期には、新型コロナウイルス感染症が流行したことで、コロナ禍に乗じた不正行為が次々と確認されました。

ワクチン予約に関するビッシングや、特別給付金特設サイトを騙ったフィッシングなどの手口が該当します。

ビッシングの脅威を社内で共有する

社内のセキュリティ教育を強化し、ビッシングの手口について共有しておきましょう。

従業員に対して定期的に情報提供を行い、警戒心を維持することが求められます。

具体的には、ビッシングの事例を紹介し、その特徴や対処法について説明するなどの取り組みが考えられます。

こうした継続的な啓発活動により、組織全体のセキュリティ意識を高めていくことが大切です。

不明な電話番号からの着信に注意する

ビッシングを防ぐ上で重要なのは、不明な電話番号や信用できない発信元からの通話には応答を控えることです。

発信元が確認できない通話に対しては、情報を提供しない方針を徹底しましょう。

特に、国際電話や非通知の番号からの着信には注意が必要です。通話中に少しでも不審な点があれば、躊躇せずに通話を切るようにしましょう。

そもそも通話に出ないというのも対策の1つとして考えられます。

緊急を要する電話の対応マニュアルを策定する

ビッシングの手口の中には、緊急を装った不審な通話が含まれることがあります。

このような通話への対処として、事前に対応マニュアルを準備しておくことが有効です。

感情に訴えかける内容には特に注意し、冷静に対処することが大切です。

組織的な対応により、ビッシングの脅威に迅速かつ適切に対処することが可能となります。

多要素認証を取り入れる

情報システムのログインに多要素認証を導入し、セキュリティを強化する対策も効果的です。

多要素認証とは、複数の認証方法を組み合わせて、不正アクセスのリスクを軽減する仕組みのことです。

例えば、指紋認証や顔認証、ワンタイムパスワードの入力などを追加の認証ステップとして設けることが考えられます。

多要素認証を導入することにより、たとえ攻撃者がパスワードを入手したとしても、不正ログインを防ぐことができます。

ビッシングによる被害を防ぐためには、システム面でのセキュリティ強化も欠かせません。

【関連記事】多要素認証（MFA）とは？二要素認証・二段階認証との違いやメリットを解説

ビッシングの攻撃を常に監視・検知する

効果的に防ぐ手段として、ビッシングの攻撃を常に監視・検知する体制を整えることが挙げられます。

不審な通話や通信を早期に発見し、被害を未然に防ぐことが可能となります。

対策のために24時間体制で監視・検知を行うべきですが、自社だけでは限界があるという企業がほとんどでしょう。

そんな時は、セキュリティ対策ソフトの利用や専門家への依頼をご検討ください。

対策ソフトや専門家に任せることで、ビッシングの攻撃だけでなく、幅広いサイバー攻撃に対して有効的な対策を取ることができます。