セキュリティの
学び場

ビッシングとは？

ビッシング（Vishing）は、フィッシング詐欺の一形態であり、音声を用いて攻撃を仕掛けてくる詐欺の手法です。主に電話を通じて行われ、「Voice（ボイス） + Phishing（フィッシング） = Vishing（ビッシング）」から派生した言葉であり、ボイスフィッシングとも呼ばれます。攻撃者は、役所・銀行・企業といった信頼できる組織の人員になりすまし、標的のユーザーに架電またはSMS（携帯電話番号へのショートメッセージ）を送信します。その後、被害者に対してクレジットカードの詳細や個人情報の提供を要求し、様々な手法を用いて人間の感情や欲望を操りながら攻撃を行います。

ビッシングの手口

ビッシングは、電話や留守電などの音声メディアを用いる点が特徴的です。また、電話に誘導する方法としてSMSやメールを使用することもあり、このように被害者から電話をかけさせる手法をリバース・ビッシングと呼ぶ場合があります。

オペレータによる手口

攻撃者は、役所・銀行・企業などの人員になりすまし、標的のユーザーに電話をかけてクレジットカード番号や銀行口座番号などの個人情報、場合によっては金銭を盗み取ろうとします。また、友人のふりをして送金を促す手法や、雇用主のIT部門を語ることもあります。

ロボコールによる手口

あらかじめ作成しておいた音声を標的となるユーザの電話に発信します。ユーザは音声ガイダンスに従って偽のオペレータに電話したり、攻撃者の管理するWebサイトへアクセスします。

SMSやメールによる手口（リバース・ビッシング）

ユーザに直接電話をかける方法以外に、SMSやメールを読んだ被害者から電話をかけさせる手法（リバース・ビッシング）もあります。見に覚えのない請求書、賞金やクーポンの当選や緊急事態が発生したと警告するメッセージをSMSやメールでユーザに送信し、記載されている番号へ電話をかけさせるようにユーザを誘導します。

上記以外にも、不正なネット広告やポップアップの警告から電話へ誘導するといった手口も存在します。

ビッシングとスミッシングの違い

ビッシングとよく似た詐欺にスミッシングがあります。スミッシングはメールや電話の代わりにSMSを用いるフィッシングの一種です。スミッシングは、SMSに含まれたリンクを踏ませることで不正なアプリのインストールを促したり、個人情報を入力させる偽サイトへ誘導します。SMSはメールに比べて開封率が高く、また、普段利用しているサービス（宅配便や金融機関など）からのSMSは特に緊急性が高い場合もあるため、読まれやすい傾向にあります。このため、攻撃者がフィッシングに利用するスミッシングの事例が増えています。

ビッシングはメールやSMSに比べ、さらに「緊急性」を装うことが可能であり、また、実際にありそうな自動音声などを交えて「本物らしく」振る舞うことで被害者をだまそうとします。

ビッシング対策

ビッシングからの被害に遭わないために気をつけるべきことがあります。

• ・電話やメール、知らない番号からのSMSメッセージが不審であれば無視する
• ・見覚えがない番号は留守番電話に切り替える
• ・携帯電話の迷惑電話対策機能を利用することも有益です
• ・不審な電話番号をGoogleなどの検索エンジンで検索すると、迷惑電話や勧誘電話として記録されている場合があるので確認する
• ・オペレータとの電話では、重要情報を伝えないようにする。クレジットカード番号、パスワード、マイナンバーカード情報などの重要な個人情報をまともな企業が電話で聞いてくることはありません。

ビッシングは、巧妙な手口で個人情報を盗み取ろうとする詐欺です。被害に遭わないために対策を講じましょう。