ビッシング(音声フィッシング攻撃)とは、ソーシャルエンジニアリングの手法によって電話や音声メッセージを不正に使用し、銀行の詳細情報やパスワードなどの機密情報を開示するように個人を説得することです。ビッシング攻撃は企業に対して行われることもあり、その場合、攻撃者はインターネットサービスの従業員になりすましてその企業のパスワードや情報にアクセスします。

ビッシング攻撃の目的は、攻撃者が金銭的利益になる情報を提供するようターゲットを説得することです。これは、クレジットカードの窃盗から個人のアイデンティティの窃盗まで多岐にわたります。企業を標的にする場合のビッシングの目的も同様に金銭的利益ですが、通常、将来の攻撃へのセキュリティ対策に関する情報を入手することが主な関心事になります。

詳細情報

フィッシング、ビッシング、スミッシングの違い

フィッシング:認証情報や機密情報を窃取する目的で、信頼できる人や組織になりすます攻撃の総称です。フィッシングの最も一般的な形態はEメールフィッシングであり、多くの場合、CEOが標的になりビジネスEメールアカウントが侵害されます

スミッシング:詐欺的なテキストメッセージで被害者とやり取りするフィッシング攻撃の一種です。

ビッシング:前述のとおり、電話や音声メッセージで被害者とやり取りするフィッシング攻撃の一種です。

ビッシング攻撃の仕組み

ビッシング攻撃には通常、次の3つのステップがあります。

1. 電話番号の収集

これは、通常、他のフィッシング手法を使用したり、飲食店や小売店など、人々が電話番号を提供する可能性が高い企業に保存されている個人データにアクセスしたりして行われます。攻撃者は、誰かが電話に出てその番号を確かめることを期待して、同じ市外局番の電話番号を使用して複数の人に電話をかけるソフトウェアを使用することもあります。ビッシング攻撃が行われる場合、発信者IDプロファイルは偽物で、地元の市外局番または銀行などの信頼できる組織から電話がかかってきたかのように見えます。

2. 信頼の獲得

この手口では、クレジットカード会社、配送業者、あるいは公共サービスのふりをして、信頼を獲得しようとします。これは、「許可されていないユーザーがあなたのクレジットカードを使用したので、今すぐ本人確認を行って請求を停止してください」などの緊急とされる要求と組み合わされることがよくあります。このような緊急メッセージの目的は、被害者をパニックに陥れて、情報を確認せずに応答させることです。

3. 金銭的な利益を目的とした個人情報の獲得

ビッシング攻撃が成功すると、攻撃者は獲得した個人情報を使用して金銭的な利益を得ます。盗んだクレジットカード番号を使用して購入したり、新しいクレジットカードを申請したりする可能性があります。適切な情報があれば、攻撃者は被害者のアイデンティティを盗んだり、銀行口座を空にしたりすることができるのです。ビッシング攻撃を認識できると、攻撃者からお金を守ることができます。

ビッシング攻撃を認識する方法

ビッシング攻撃を認識するには、攻撃者があなたをだまそうとする方法とその目標を把握する必要があります。企業で最近発生した技術的な問題や不審なEメールなど、標的になる可能性のあるものを認識し、警戒を怠らないようにします。ビッシング攻撃は機密情報の取得を目的として設計されており、個人および企業を標的にする可能性があります。進行中のビッシング攻撃に気づくことが最大の防御策となります。

ビッシング攻撃の兆候

  • ビッシング攻撃の主な警告サインは、電話の相手が情報を要求することです。攻撃者の中にはすでに部分的な情報を持っていて、それを活用してまだ取得していない情報を共有するように説得する者もいます。銀行口座情報、マイナンバー、またはその他の個人情報を要求する相手には常に注意してください。
  • 恐怖、欲望、切迫感などの心理的な戦術の使用。逮捕が迫っているとか、アカウントに緊急の問題が生じているといった脅しは、よく確認せずに行動を起こすように仕向けるためのものです。このような電話がかかってきても落ち着いて電話を切ることが、ビッシング攻撃を回避する主な方法です。
  • アカウントの問題やテクニカルサポートに関する電話。多くの場合、不意にポップアップが表示され、そこにはデバイスが感染していることが示され、テクニカルサポートを装ったフリーダイヤルに電話をかけるよう促すメッセージが表示されます。

詳細情報

ビッシング攻撃の主な標的

ビッシング攻撃で企業を標的にする場合は、新入社員、人事部門、IT部門、コールセンターが狙われます。新入社員や他の組織に電話をかける従業員は、標的にされるリスクが高くなります。ビッシング攻撃者は、通常、テクニカルサポートのふりをして、コンピューターへのアクセスを提供するように説得します。攻撃者が被害者に悪意のあるコードを含むソフトウェアをインストールさせて、企業へのさらなるアクセスを試みることもあります。

個人を標的にする場合は、通常、大手銀行や配送サービスにアカウントがある可能性が高い平均的な消費者を狙います。ビッシング攻撃では、攻撃者の詐欺が明らかになることを避けるために、詳細については曖昧にすることがよくあります。間違った銀行名を使用しては、銀行口座が危険にさらされていることを信じさせることはできません。攻撃者は恐怖、欲望、パニックを利用して、攻撃を認識できないようにします。

ビッシング攻撃の5つのタイプ

タイプ説明
1. ウォーダイヤリングウォーダイヤリングタイプのビッシング攻撃では、サイバー犯罪者が特定の市外局番に電話をかけ、自動メッセージを使用して被害者に恐怖心を植え付けます。地元の銀行、企業、または警察署を装って、アカウントが侵害されていないことを確認する電話をかけ、住所や銀行口座情報、さらにはマイナンバーなどの機密情報を要求するのが一般的です。
2. VoIPVoIPは、サイバー犯罪者が偽の番号の背後に隠れているため、特定するのが最も難しいビッシング手法の1つです。このような番号は通常、1800で始まる番号だったり、地元の市外局番の付いた偽の番号だったりします。
3. ダンプスターダイビングダンプスターダイビングは、あまり知られていませんが、まさにその名のとおりの手法です。この手法では、犯罪者が銀行やその他の重要な組織の裏にあるゴミ集積所を漁り、被害者に対して標的型攻撃を実行するのに十分な情報を収集します。犯罪者が収集できる可能性がある情報には、アカウントの種類に関する情報、電話番号、Eメールなどがあり、ソーシャルエンジニアリング技術を使用して攻撃を進めます。
4. 発信者IDのスプーフィングこのタイプのビッシング攻撃はVoIPに似ていますが、発信者IDに番号ではなく、「IRS」や「警察署」というメッセージが表示される点が異なります。
5. テクニカルサポート攻撃者は、Apple、Microsoft、Bank of Americaといった大企業のカスタマーサポートを装います。銀行が電話でマイナンバーなどの個人情報を尋ねることは決してないことを覚えておいてください。

ビッシング攻撃の回避と防止

ビッシング攻撃を回避するために取るべき最も重要な行動は、冷静さを保ち、機密情報を漏らさないことです。この戦略はビッシング攻撃者には効果的で、攻撃を未然に防ぐことができます。企業の場合は、従業員が企業を守るために適切な行動を取ることができるようにするための、追加のステップがあります。ビッシング攻撃の防止は、電話を切るといった簡単なことですが、攻撃の回避に役立つ追加の対策があります。

ビッシング攻撃を回避するための4つのヒント

  1. 情報を保護する。ログイン情報やパスワードを漏らしたり、パスポートや運転免許証の情報を共有したりしないでください。これにより、アカウントとアイデンティティの安全性が高まります。
  2. 電話お断りリスト(National Do Not Call Registry System)に登録する。これは未承諾の電話リストから電話番号を削除する無料のサービスです。ビッシング攻撃はこのリストに従いませんが、正当な組織は電話をかけてこないため、不明な発信者が正当である可能性が低くなります。
  3. 不明な番号を確認する。モバイルアプリケーションを使用して、電話をかけてきた不明な番号を確認します。
  4. 不明な着信をボイスメールに転送する。または、不明な着信をボイスメールに転送してから、該当者に直接かけ直すこともできます。銀行が電話をかけているように見えるが疑わしい場合は、銀行に直接電話して、連絡したかどうかを確認します。注意深くなることで余分な時間がかかるかもしれませんが、大切な個人情報を漏らすよりは時間をかけた方が良いでしょう。

企業がビッシング攻撃を防止する方法

ビッシングを防ぐための最良の企業戦術は、優れたサイバーセキュリティを実践することです。まず新入社員向けのセキュリティ意識向上トレーニングを実施して、ビッシング攻撃者が企業にもたらす危険性を新入社員が理解できるようにします。従業員に、確認済みの技術者以外には自分のコンピューターへのアクセスを許可しないことを徹底させます。

不審なインシデントを報告し、ビッシングの可能性のある電話を受けたときに電話を切ることで、ビッシング攻撃を防ぐことができます。企業に対するビッシング攻撃が成功すると、さらなるセキュリティリスクにつながる可能性があるため、防止することが重要です。ただし、すでにビッシング攻撃を受けた場合でも、回復する方法はあります。

専門家からのヒント

従業員向けの包括的なサイバーセキュリティトレーニングプログラムを実施する方法については、このガイドで説明されているヒントに従ってください。業界に影響を及ぼそうとする最も一般的な攻撃者や、従業員が標的になる仕組みについて最新情報を把握して、セキュリティに積極的に取り組む方法を学ぶことが不可欠です。これには、フィッシングの試みを見つける方法に関するトレーニングが含まれます。記事:従業員向けの包括的なサイバーセキュリティトレーニングプログラムを作成する方法

ビッシング攻撃から回復する方法

ビッシング攻撃から回復するプロセスは、それが詐欺であることに気付いた時期によって異なります。対応に最適な時期は攻撃中または攻撃の直後がですが、被害にあった後でも回復は可能です。犯罪の報告はその第一歩となります。

ビッシング攻撃の進行中に取るべきステップ

電話中にそれがビッシング攻撃であることに気付いた場合は、電話を切ってください。ビッシング攻撃者は、あなたが与えなければ、コンピューターや個人情報にアクセスすることはできません。電話を切った後は、必ずその番号を報告します。特に企業情報を標的にしていた場合は報告する必要があります。

ビッシングの被害者が取るべきステップ

ビッシングなどのソーシャルエンジニアリング攻撃のためにすでに情報を与えてしまった場合でも、実行できる手順があります。最初にすべてのパスワードを変更し、金融機関に電話して犯罪を報告します。連邦取引委員会は、ビッシングに関する報告を求めています。情報を与えてしまったサイトやサービスが何であれ、優先的に注意する必要があります。

多要素認証を使用するアカウントもあれば、新しいデバイスがアクセスしたときに通知するアカウントもあります。このような安全対策をチェックして、まだ機能していることを確認します。また、クレジットカード会社や銀行など、侵害された情報を所有するサービスプロバイダーにも連絡する必要があります。このような手順を取ることで、ビッシング攻撃による今後の被害を最小限に抑えることができます。

バートは、クラウドストライクの脅威インテリジェンスのシニアプロダクトマーケティングマネージャーであり、脅威の監視、検知、インテリジェンスにおいて20年を超える経験を持っています。ベルギーの金融機関でネットワークセキュリティ運用アナリストとしてキャリアをスタートさせた後、米国東海岸に移り、3Com/Tippingpoint、RSA Security、Symantec、McAfee、Venafi、FireEye-Mandiantなどの複数のサイバーセキュリティ企業に入社し、製品管理と製品マーケティングの両方の役割を果たしました。