攻撃と脅威
ビッシング
別称: 音声フィッシング
定義
電話や VoIP など音声経路を利用したフィッシング攻撃。被害者から認証情報・送金・リモートアクセス権を引き出す。
ビッシング(音声フィッシング)は、生通話・自動音声・留守番電話に加え、近年は AI による音声クローンを用いて、銀行・行政機関・IT サポート・経営層などになりすますソーシャルエンジニアリング攻撃です。発信者番号の偽装や事前のリコネとの組み合わせで信憑性を高めるのが一般的です。主な目的は、多要素認証コードの取得、リモートアクセスソフトのインストール誘導、不正取引の承認、ヘルプデスクによるパスワードリセットの誘発などです。対策としては、ヘルプデスクの厳格な本人確認(既知の番号への折り返し、ハードウェアトークンによる確認)、迷惑電話フィルタリング、利用者教育、SMS や電話ベースの認証をフィッシング耐性のある方式に置き換えることが重要です。
例
- 銀行の不正対策部門を装い、「不審な取引を取り消すため」と称してワンタイムコードを聞き出す電話。
- 経営層の声を AI で複製し、経理部門に緊急の海外送金を指示する。
関連用語
フィッシング
信頼できる組織になりすまし、被害者から認証情報を取得したり送金させたり、マルウェアを実行させたりするソーシャルエンジニアリング攻撃。
スミッシング
SMS など携帯端末向けメッセージを用いたフィッシング攻撃。悪意あるリンクのクリックや偽番号への発信、情報の入力を促す。
ソーシャルエンジニアリング
心理的な操作によって人を欺き、攻撃者に有利な行動を取らせたり機密情報を引き出したりする攻撃の総称。
プリテキスティング
攻撃者がもっともらしい状況や身元を作り上げ、対象から情報を引き出したり特定の行動を取らせたりするソーシャルエンジニアリング手法。
テクニカルサポート詐欺
著名ベンダーのテクニカルサポートを装い、リモートアクセスツールの導入、認証情報の提供、虚偽サービスへの支払いをさせる詐欺。
CEO 詐欺
BEC の一種で、攻撃者が経営幹部になりすまして従業員に未承認の送金や機密対応を迫る詐欺。