ビッシング びっしんぐ
音声フィッシング電話詐欺ソーシャルエンジニアリングなりすまし情報詐取VoIP
ビッシングについて教えて
ビッシングとは
ビッシング(Vishing) とは、Voice(音声)+ Phishing(フィッシング) を組み合わせた造語で、電話を使って個人情報や認証情報をだまし取る攻撃手法です。メールやWebを使う通常のフィッシングと異なり、「人の声」という心理的な圧力を武器にするのが最大の特徴です。
攻撃者は「銀行のセキュリティ部門」「クレジットカード会社」「警察・税務署」などの権威ある組織になりすまし、「不正利用が検出されました」「今すぐ手続きしないと口座が凍結されます」といった緊急性・恐怖感を演出して、相手の判断力を奪います。近年はAIによる音声合成技術の進化で、知人や上司の声を模倣した攻撃も登場しており、被害が拡大しています。
ビッシングは個人だけでなく企業にとっても深刻な脅威です。経営者や経理担当者を狙い、電話一本で数百万円の送金指示を出させる「CEO詐欺(BECの音声版)」などの事例も報告されており、情シス部門だけでなく全社的な対策が求められます。
ビッシングの仕組みと攻撃パターン
典型的な攻撃フロー
| ステップ | 内容 | 攻撃者のテクニック |
|---|---|---|
| ① ターゲット選定 | 電話帳・SNS・漏洩データから候補者を絞る | 会社名・役職・メアドなど事前リサーチ |
| ② 発信番号偽装 | 銀行や公的機関の番号に見せかける | スプーフィング(番号偽装)技術 |
| ③ なりすまし接触 | 権威ある組織の担当者として電話 | 制服・肩書き・専門用語で信頼構築 |
| ④ 緊急性の演出 | 「今すぐ対応しないと大変なことに」 | 焦らせて冷静な判断を奪う |
| ⑤ 情報・送金の要求 | 暗証番号・OTP・振込先の指示 | 「システム確認のために必要」と正当化 |
主な攻撃シナリオ
- 金融機関なりすまし — 「カードの不正利用を検知しました。暗証番号を確認させてください」
- IT部門なりすまし — 「社内システムに侵入の痕跡があります。今すぐVPNパスワードを変更してください」
- 税務署・警察なりすまし — 「未納税があります。今日中に電子マネーで支払わないと逮捕します」
- CEO詐欺(音声版) — 上司や経営者の声を模倣し「至急、取引先に〇〇万円振り込んで」
覚え方
「V」は Voice(声)の V! フィッシング(Ph)の「Ph」を「V(Voice)」に替えたのがビッシング。 メールで来るのがフィッシング、電話で来るのがビッシング!
歴史と背景
- 2000年代前半 — VoIP(インターネット電話)の普及により、攻撃者が低コストで大量の電話をかけられるようになる
- 2006年頃 — セキュリティ研究者がフィッシングの音声版として「Vishing」という用語を使い始める
- 2010年代 — スマートフォンの普及と番号偽装(スプーフィング)サービスの登場で攻撃が容易化
- 2016年〜 — BEC(ビジネスメール詐欺)の派生として、音声を使ったCEO詐欺が企業で多発
- 2020年〜 — 新型コロナのリモートワーク普及で「IT部門なりすまし」攻撃が急増。在宅で孤立した社員を狙いやすくなる
- 2022年〜 — 生成AI・音声クローン技術の進化により、知人・上司の声を数秒の音声データから再現できるディープフェイク音声攻撃が登場
- 現在 — フィッシングメールと組み合わせた「マルチチャネル攻撃」が主流化。メール→電話の二段階でだます手口が増加
フィッシング・スミッシングとの比較
ソーシャルエンジニアリング攻撃は「どの通信手段を使うか」で分類されます。
ビッシングが特に危険な理由
電話という手段は、メールと比べて「人間的な信頼感」を生み出しやすいという特性があります。
| 比較ポイント | メール(フィッシング) | 電話(ビッシング) |
|---|---|---|
| 確認しやすさ | URLや送信元を目視確認できる | 音声は後から見返せない |
| 心理的圧力 | 比較的冷静に読める | リアルタイムで返答を迫られる |
| 偽装の難易度 | 技術的知識が必要 | 口だけで演じられる |
| 証拠が残るか | メールが証拠になる | 通話録音しないと証拠なし |
| 番号偽装 | 送信元偽装は高度 | 無料ツールで番号偽装が可能 |
ビッシングへの対策
個人・従業員向け
- 知らない番号からの電話には慎重に — 公式番号を自分で調べ直して折り返す
- 電話口では絶対に暗証番号・OTPを言わない — 正規の銀行・企業は電話でこれらを聞かない
- 「今すぐ」を要求されたら一旦切る — 緊急性の演出は詐欺の典型的手口
- 発信元番号を信じない — 番号はいくらでも偽装できる
企業・情シス部門向け
- 従業員への定期的なセキュリティ教育 — ビッシングのシナリオを具体的に共有する
- 振込・情報開示の手続きルール化 — 電話だけでの指示では動かないルールを徹底
- コールバック認証の導入 — 名乗り出た組織の公式番号に自分からかけ直して確認
- インシデント報告フローの整備 — 不審な電話を受けたら即報告できる体制を作る
- AI音声検知ツールの導入検討 — 音声クローンを検出する技術が登場してきている
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| NIST SP 800-177 | フィッシング対策を含むメールセキュリティガイドライン |
| NIST SP 800-50 | セキュリティ意識向上トレーニングの構築ガイド |
| RFC 4474 | SIPによる音声通話の発信元認証(番号偽装対策の基礎) |
| STIR/SHAKEN | 米国の電話番号認証フレームワーク(スプーフィング対策標準) |
関連用語
- フィッシング — メールを使って偽サイトへ誘導し、個人情報をだまし取る攻撃手法
- スミッシング — SMSを使ったフィッシング攻撃の総称
- ソーシャルエンジニアリング — 技術的手段ではなく人間の心理を利用して情報を詐取する攻撃の総称
- スプーフィング — 発信元の番号・アドレスなどを偽装する技術・行為
- BEC(ビジネスメール詐欺) — 経営者や取引先になりすまして不正送金を指示するメール詐欺
- 多要素認証 — パスワード以外の認証手段を組み合わせることで不正アクセスを防ぐ仕組み