Vishing攻撃とは？

Vishing攻撃とは？

技術的には、これはフィッシング攻撃の一種で、攻撃者がメールではなく電話や音声通話を使って被害者を引き寄せる手口です。なお、「Vishing」という言葉は、voice（音声）とphishing（フィッシング）を組み合わせたものです。これで多くがご理解いただけたら幸いです。

Vishing攻撃はどのように動作し、なぜ行われるのか？

他の攻撃と同様、この攻撃の仕組みは3つの要素から成り立っています。

• 攻撃者: Vishingを利用して他者を騙すサイバー犯罪者やハッカーのことです。
• 被害者: 重要な情報が漏れてしまう個人または組織を指します。
• 悪用される脆弱性: Vishingでは、人がパニックに陥ったり恐怖を感じたりする傾向をついて、攻撃者が被害者に重要な情報を提供させる状況を作り出します。

攻撃の流れ

攻撃者またはその集団は、一度に同じ番号の組み合わせを含む多数の番号に自動的に電話をかけるコンピュータシステムを利用します。この一斉発信は、少なくとも1～2件が潜在的な被害者に繋がることを期待して行われます。

電話が繋がると、攻撃者は公認の担当者や政府機関、銀行、金融機関の代表を装い、即時の対応を求める状況を作り出します。

例えば、悪意を持つ者は、国税局からの電話であり、次の1時間以内に税金還付が受けられると被害者に伝える場合があります。金額の振込手続きを進めるため、被害者は正しい口座情報やネットバンキングのパスワード、ATMの暗証番号を今すぐ提供するよう求められます。

さらに、攻撃者は直ちに行動を起こさない場合の悪い結果の例を提示することもあります。例えば、銀行口座が凍結されるか、多額の返済を強いられると伝える場合があります。

これらにより被害者にパニックが生じ、百人や千人に一人が罠に陥る可能性があります。

以前は、Vishingの電話番号が被害者の電話画面に表示されていました。しかし、今日の高度な電話技術では、発信者の身元を隠すことが可能です。

Vishing攻撃の動機は以下のとおりです：

• ‍被害者から金銭をだまし取る: 抽出された情報とハッカーの技量によっては、Vishingは被害者から金銭をだまし取るために利用されます。最新の市場調査によれば、ギフトカードでの支払いを利用したVishing攻撃は、2020年の米国で被害額が1億2000万ドルに上りました。世界的に見ればさらに深刻な状況です。
• ‍重要な顧客情報の窃盗と第三者への転売: 顧客情報は企業にとって大変価値が高く、サービスの販売に活用されます。そのため、ハッカーは顧客データを収集し、これを企業に転売することがあります。
• ‍技術力の誇示: ハッカーは自らの実力を示すために、Vishing攻撃を行う場合もあります。

Vishing vs フィッシング vs Smishing

フィッシングは、攻撃者がソーシャルエンジニアリングを用い、人の感情の弱みを突く手法です。脅迫的な内容や特典、魅力的なメールが被害者に送られ、悪意のあるリンクやソフトウェアが含まれている場合、そのリンクやソフトの利用を促され、結果として金銭が盗まれたり、データが抜き取られたりします。

Vishingとsmishing (smishingの定義) はほぼ同様の手法ですが、Vishingは音声通話で、smishingはSMSで行われる点が異なります。

‍

Vishingの手法

以下は、よく使われるVishingの手法です：

1. ‍VoIP

VoIP（Voice Over Internet Protocol）は、発信者の身元を完全に隠せるため、最も有名なVishingの手法です。VoIP番号は特定の場所に紐付けられず、通常は1-800で始まります。

2. ‍Caller ID Spoofing

Caller ID Spoofingは、発信者のIDを隠し、誰が電話をかけているかを分からなくする手法です。これにより、攻撃者は攻撃中に場所や身元を隠すことができます。

3. ‍Wardialing

特定の場所に向け、銀行や警察署に関するメッセージを含む電話をかけるソフトが存在します。通話が繋がると、自動再生される録音メッセージが流れ、金融情報などの提供の緊急性が強調されます。

4. ‍Dumpster Diving

攻撃者は、銀行、金融機関、税務署などの組織のゴミ箱をあさり、重要な情報が含まれている可能性のある資料を探すことがあります。

‍

よくあるケースや実例

以下は、よく見られるVishing攻撃の例です：

• ‍技術サポート

攻撃者は、利用中の技術の信頼できる技術サポートを装い、魅力的な契約や大幅な割引を提供すると偽り、オファーを受けるために重要な情報を求める場合があります。

• ‍銀行や金融機関

ハッカーは銀行の担当者を装い、非常に有利なローンのオファーを伝えることがあります。その後の手続きのため、個人情報や職業、金融に関する重要な情報を求めてきます。

• ‍投資やその他の金融サービス

一部のVishing事例では、少額の投資で大きなリターンが得られると被害者を誘い込むケースがあります。攻撃者は高い収益率を謳った新しい投資制度、積立投資、株式などを提案することがよくあります。

投資を始めるために、特定の銀行情報が求められます。

• ‍医療サービス

攻撃者は、医療の緊急事態や、より良い医療支援を提供する制度を装い、被害者を騙す場合もあります。

‍

Vishingを見抜くには

• 電話で求められる情報に注意を払うこと。
• 過剰な情報を求められる場合、Vishingの可能性が高いです。
• ハッカーが使用する番号は、しばしば迷惑電話として表示されます。そのような電話には応対しないこと。
• Vishingの発信者は非常に焦り、即時の対応を強く求めることが多いです。

Vishing攻撃を防ぐ

Vishingは非常に一般的なため、Vishing攻撃を避ける方法を学ぶことは、被害を抑え安全を保つ上で重要です。以下に、サイバー攻撃の一種であるVishing攻撃の防止策をいくつかご紹介します。

• 外部の者と過度な情報を共有しないこと。
• 確認済みの番号のみ応対すること。
• ギフトカード、バウチャー、大幅割引などの申し出に引き込まれないこと。いかなる制度も、インターネットや公式サイトなど複数の情報源で確認すること。
• 権限のある者以外にリモートでのコンピュータアクセスを許可しないこと。

‍

まとめ

サイバー犯罪者が蔓延する現代では身を守るのが難しい状況です。Vishing攻撃は非常に信憑性があり、執拗に迫ってくるため完全に避けるのは困難ですが、一定の知識と警戒心で安全を保つことが可能です。