Insights

ヴィッシング:知っておくべきポイントまとめ

デジタル技術の発展に伴い、詐欺師は個人や組織を騙して利益を得る新たな手口を生み出しています。最近、被害が拡大している手口の1つがヴィッシングです。これは音声通話を利用して相手を騙し、銀行口座の情報、パスワード、社会保障番号といった機密性の高い情報を聞き出すサイバー攻撃の一種です。

よく知られているヴィッシング攻撃の一例に、Microsoftテクニカルサポート詐欺があります。電話が鳴ります。相手は、Microsoftテクニカルサポートの担当者を名乗り、あなたのコンピューターを監視していたと告げます。そして、あなたのコンピューターがウイルスまたはマルウェアに感染しており、悪意のあるファイルを削除してデータを守るには、すぐにテクニカルサポートを受ける必要があると言います。もちろん、電話の主は「私が喜んでお手伝いします」と親切そうに申し出ます。そして、今すぐ脅威を取り除くためのテクニカルサポートを提案します。相手から求められるのは、たった1つのことだけです。ここからは、いろんなバージョンがあります。例えば、コンピューターへのリモートアクセスを許可するように求めてくる場合(許可した時点で、相手はランサムウェアをインストールするか、身代金を支払うまでファイルを凍結することが可能)、または「脅威を除去する」ソフトウェアをダウンロードするよう促してくる場合(実際には、攻撃者があなたのコンピューターを制御できるようになる)、あるいはテクニカルサポートのサービス料金の支払いを名目にクレジットカード情報を求めてくる場合(情報を提供すると、架空の脅威除去費用を請求されるか、クレジットカード番号などの個人情報が悪用される)などです。

このような詐欺は長年にわたり続いており、世界中の個人や企業が標的にされています。Microsoftは同意や依頼なしに電話をかけることはないと繰り返し注意喚起しており、このようにMicrosoftの担当者を名乗る人物から電話がかかってきた場合、詐欺である可能性が高いと考えられます。しかし、ヴィッシング詐欺の手口はこれだけではありません。
 

Vishing

ヴィッシングとは

「フィッシング」は広く知られたサイバー攻撃ですが、「ヴィッシング」はあまり注目されていません。それでも、どちらも同じくらい危険な攻撃です。ヴィッシングとは、サイバー犯罪者が(フィッシングのようなメールではなく)音声通話を使って個人を騙し、アカウント情報、クレジットカード番号、パスワードといった機密性の高い情報を聞き出そうとする詐欺の一種です。ヴィッシングでは、フィッシングと同様にソーシャルエンジニアリングの手法が用いられます。つまり攻撃者は言葉巧みに被害者の感情に働きかけ、信頼を得てから機密情報を聞き出そうとします。

ヴィッシングの仕掛け

典型的なヴィッシング攻撃の場合、攻撃者は、銀行の担当者や公務員など、信頼を得やすい権威ある立場の人物になりすまし、被害者を信用させようとします。そのうえで、法的措置をちらつかせたり、金銭的な報酬を約束したりして、さまざまな手口で個人情報の開示を迫ります。また、スプーフィングの手法を使い、銀行や政府機関といった正規の発信元からの電話であるかのように見せかけることもあります。「税金が未払いである」、「逮捕状が出ている」、「今すぐ対応しないと車検が切れる」といった電話を受けたことがあるかもしれません。このような電話はヴィッシング攻撃の一例です。攻撃者は脅しの手口を使い、深刻な事態を避けるために「今すぐ」支払いを行うように促して、クレジットカード情報を聞き出そうとします。 

ヴィッシング攻撃は個人や企業に甚大な損害を与える可能性があります。攻撃者が入手した情報は、金銭の窃取、個人情報の悪用、機密性の高いシステムやネットワークへの不正アクセスなどに使用される可能性があります。さらに、ヴィッシング攻撃は、正規の組織に対する人々の信頼を損なう可能性があり、詐欺師がなりすました企業は(攻撃に無関係でも)評判を落とすことになりかねません。

自分の身を守る方法

身に覚えのない電話には常に注意し、発信者の身元を確認するとともに、機密性の高いアカウントには2段階認証を設定します。個人も企業も、常に警戒を怠らず、ヴィッシング攻撃を未然に防ぐ対策を講じることで、ヴィッシングの危険な脅威に巻き込まれるリスクを軽減できます。保護をさらに強化するには、効果的なデータバックアップ・復旧ソリューションの導入を検討しましょう。Rubrikは、サイバーセキュリティとクラウドデータ管理を専門とする企業であり、サイバー脅威から組織を保護するための多様なソリューションを提供しています。 

Rubrikのゼロトラストデータセキュリティソリューションは、失われたデータの復旧や、サイバー攻撃による影響の最小化を支援します。データを定期的にバックアップ・保護し、あらゆる段階で操作の正当性を検証することで、データ損失に対する脆弱性を軽減し、復旧時間を短縮することができます。

FBIの発表によれば、2020年のヴィッシング攻撃は前年比で50%増加し、被害総額は18億ドルに上りました。この統計は、個人や組織が自分自身とスタッフに対する教育を急ぐとともに、ヴィッシング攻撃から身を守るために、複数の対策を早急に講じる必要があることを示しています。