Social Engineering

Vishing

ビッシング(Voice Phishing)

Category: Social Engineering / Updated: 2026-05-26

📖

Overview

ビッシング(Vishing:Voice Phishing)とは、電話を使ったソーシャルエンジニアリング攻撃です。攻撃者は銀行、クレジットカード会社、政府機関、IT部門などの信頼できる組織を装って電話をかけ、被害者から個人情報、認証情報、金融情報などを詐取します。「Voice」と「Phishing」を組み合わせた造語です。

ビッシングの特徴は、電話というリアルタイムの音声コミュニケーションを利用する点にあります。人間は音声でのやり取りにおいて相手を信頼しやすい傾向があり、メールよりも心理的な操作が効果的に機能します。攻撃者は緊急性を演出し、被害者に考える時間を与えずに即座の行動を促します。

近年ではVoIP(Voice over IP)技術やAI音声合成技術の発展により、発信者番号の偽装(Caller ID Spoofing)やディープフェイク音声の生成が容易になっています。これにより、攻撃者は正規の電話番号を表示させたり、実在する人物の声を模倣したりすることが可能となり、ビッシング攻撃の高度化が急速に進んでいます。

🔬

Details

ビッシングの一般的な手法

最も一般的なビッシング手法はテクニカルサポート詐欺です。攻撃者はMicrosoftやAppleなどのテクニカルサポートを装い、「お使いのコンピュータにウイルスが検出されました」などと告げ、リモートアクセスソフトのインストールや偽のセキュリティソフトの購入を促します。

また、銀行・金融機関を装った詐欺では、「不正取引が検出されました」と告げて口座番号やPINコードの確認を求めます。税務機関を装った詐欺では、「未払い税金がある」「逮捕令状が出ている」などの脅迫的な言辞で即座の支払いを要求します。

Caller ID Spoofing(発信者番号偽装)

Caller ID Spoofingは、発信者番号表示を任意の番号に偽装する技術です。VoIPサービスやSIPプロトコルを利用して、銀行や政府機関の正規の電話番号を表示させることが可能です。被害者は発信者番号を確認して正規の着信と信じてしまうため、攻撃の成功率が大幅に向上します。

対策として、米国ではSTIR/SHAKEN(Secure Telephony Identity Revisited / Signature-based Handling of Asserted information using toKENs)という通信事業者レベルの発信者認証フレームワークが導入されています。

AIディープフェイク音声によるビッシング

AI音声合成技術の進歩により、数秒間の音声サンプルから特定の人物の声をクローンすることが可能になっています。攻撃者はCEOや上司の声を模倣し、緊急の送金指示や機密情報の提供を求めるディープフェイクビッシングが報告されています。

このような攻撃では、受信者は相手の声が本物であると確信するため、通常のビッシングよりも遥かに高い成功率を示します。組織は音声による指示だけでなく、別のチャネルでの本人確認を義務付けるプロセスの整備が急務です。

ロボコールとIVR詐欺

ロボコールは自動音声システムを使って大量の電話をかける手法で、ビッシングの大量送信手段として利用されます。「あなたのアカウントに問題が発生しました。1を押してオペレーターにつなぎます」といったIVR(Interactive Voice Response)メニューを模倣し、被害者を攻撃者に直接つなぐか、電話番号を入力させて折り返し詐欺に利用します。

🛡️

Security Measures

  • 01
    不審な着信への対応ポリシーの策定:金融機関やIT部門からの予期しない電話には、一度切断して公式の電話番号に折り返すというポリシーを全従業員・家族に周知してください。正規の組織は、電話で暗証番号やパスワードを聞くことはありません。
  • 02
    発信者番号を過信しない教育:Caller ID Spoofingにより、表示される電話番号は偽装可能であることを従業員に教育してください。公式の番号が表示されても、それだけでは正規の着信であることの保証にはなりません。
  • 03
    音声指示の多チャネル検証:電話による送金指示や機密情報の提供依頼は、メール・チャット・対面など別のチャネルで必ず確認するプロセスを確立してください。AI音声による偽装への対策として不可欠です。
  • 04
    ロボコール対策サービスの導入:通信事業者が提供する迷惑電話フィルタリングサービスやSTIR/SHAKEN認証対応サービスを利用し、偽装された着信をブロックまたは警告表示する仕組みを導入しましょう。
  • 05
    ビッシングシミュレーション訓練:メールフィッシング訓練と同様に、電話ベースのソーシャルエンジニアリング訓練を定期的に実施し、従業員のビッシング識別能力を向上させてください。
  • 06
    緊急性を演出する手法への警戒:「今すぐ対応しないとアカウントが凍結される」「逮捕される」などの脅迫的な表現は、ビッシングの典型的な手法です。冷静に対応し、時間をかけて事実確認を行うことの重要性を啓発しましょう。
⚠️

Incidents

📋 AIディープフェイク音声によるCEO詐欺(2019年)

2019年、英国のエネルギー企業の幹部が、親会社CEOの声をAIで模倣したビッシングにより約22万ユーロ(約2,600万円)を詐取されました。攻撃者はAI音声合成技術を用いてドイツ人CEOの声のアクセントやイントネーションまで再現しました。

幹部は電話の相手がCEO本人であると確信し、指示通りにハンガリーのサプライヤーの口座に緊急送金を実行しました。資金はその後メキシコなどの複数の口座に転送され、回収は困難となりました。AI音声を使ったビッシングの初期の重大事例として世界的に報道されました。

📋 Twitter従業員へのビッシング攻撃(2020年)

2020年7月の大規模なTwitterアカウント乗っ取り事件では、攻撃者がTwitterのIT部門を装って従業員に電話をかけるビッシング手法が使用されました。攻撃者はVPNの設定問題を口実に従業員に社内ツールの認証情報の再入力を促しました。

リモートワーク環境下での電話サポートという設定が自然であったため、複数の従業員がこの手口に引っかかりました。取得した認証情報を使って管理ツールにアクセスし、バラク・オバマ、ジェフ・ベゾスなど著名人のアカウントを乗っ取り暗号資産詐欺を実行しました。

📋 日本における特殊詐欺(オレオレ詐欺)の高度化

日本では「オレオレ詐欺」として知られるビッシング攻撃が長年にわたり社会問題となっています。近年では手法が高度化し、警察官・弁護士・銀行員など複数の役割を演じる「劇場型詐欺」が主流となっています。

2024年の被害額は過去最悪水準を記録し、特に高齢者が標的にされています。最近ではAI音声合成を活用して家族の声を模倣するケースも報告されており、従来の「合言葉」などの対策も突破されるリスクが高まっています。金融機関と警察の連携による未然防止の取り組みが強化されています。

🔗

Related Terms

フィッシング スミッシング(SMS詐欺) スピアフィッシング プリテキスティング ディープフェイク悪用