ボイスフィッシング(ビッシング)は産業化している-暗躍するサイバー攻撃グループ|セキュリティニュースのセキュリティ対策Lab

投稿日時: 2026年04月28日更新日時: 2026年04月28日

電話やメッセージを使った詐欺（ヴィッシング）は今や「個人の思いつき犯罪」ではありません。セキュリティ企業Flareがダークウェブフォーラム・Telegramチャンネル・地下マーケットプレイスの調査に基づいて発表した分析により、電話詐欺が「Caller-as-a-Service（CaaS）」として高度に産業化・分業化された組織犯罪エコシステムを形成していることが明らかになりました。

採用プロセス・研修マニュアル・リアルタイム管理・歩合制の報酬体系——正規のコールセンター企業と区別がつかない組織構造が、詐欺の世界に定着しています。

この記事のサマリー

FBIの統計によれば、2023年に60歳以上の米国高齢者が電話詐欺で34億ドル（約5,100億円）の被害を受けています。
ヴィッシング（電話詐欺）は2025年に449%増加し、1件あたりの平均被害額は3,690ドル（約55万円）に上ります。
詐欺組織は地下フォーラムやTelegramで採用広告を掲載し、仮想通貨ウォレットの残高スクリーンショット（約47万5千ドル）を「実績証明」として使用します。
報酬体系は成功1件あたり1,000ドルの固定報酬＋追加歩合、または週固定給1,500ドルなどの体系が確認されています。
ネイティブ英語話者を優先採用する傾向が確認されており、特定の地域・文化圏への標的型攻撃を意図した組織的な採用活動が行われています。
詐欺エコシステムはインフラ構築・ソーシャルエンジニアリング実行・資金洗浄が分業化された「役割分担型サプライチェーン」を形成しています。

1 ボイスフィッシング(ビッシング)とは何か
2 CaaSの産業構造——正規のコールセンターと見分けがつかない運営体制
3 CaaSの役割分担型エコシステム
4 日本のセキュリティ担当者へのポイント
- 4.1 「電話が来た時点で既に個人情報は漏洩済み」という前提で行動する
- 4.2 緊急性・権威性・秘密保持の3要素に対する組織的な防御文化
  - 4.2.1 有効なのは「確認プロセスの制度化」のみ
5 よくある質問（FAQ）
- 5.1 参考情報

ボイスフィッシング(ビッシング)とは何か

ボイスフィッシング(ビッシング)とは音声（Voice）とフィッシング（Phishing）を組み合わせた言葉で、電話を通じて被害者を騙し、個人情報・金融情報の窃取や送金を実行させる詐欺の総称です。架空の法執行官・銀行担当者・テクニカルサポート担当者などを装い、緊急性と心理的圧力を組み合わせることで被害者の正常な判断を妨げます。

日本でも法人を標的にしたボイスフィッシング（ボイスフィッシング・ビジネスメール詐欺の電話版）による被害が急増しており、山形鉄道で1億円の不正送金被害や、ベルトラ子会社でフィッシングメール→SNS誘導→電話指示という複合手口で5,000万円の被害が発生しています。

関連：2025年に発生したボイスフィッシング(ビッシング)の事例と対策

CaaSの産業構造——正規のコールセンターと見分けがつかない運営体制

採用プロセス——地下版のLinkedIn求人広告

Flareの調査によれば、詐欺グループはダークウェブの地下フォーラムやTelegramチャンネルで正式な求人広告を掲載しています。正規企業が求人広告に「財務の健全性・顧客の声・社員の笑顔」を使うように、地下の採用広告では仮想通貨ウォレットに約47万5千ドル（約7,100万円）の残高があることを示すスクリーンショットを「実績証明（Proof-of-Profit）」として掲示します。

この「実績証明」が本物か偽造かを問わず、その目的は志望者の不信感を払拭し参加を促すことにあります。

これは正規のスタートアップ企業が調達額や顧客事例を強調して人材採用するメカニズムと心理的に同じです。

求人候補者は一方的に採用されるのではなく、報酬条件を比較検討し、交渉し、コミットメントを判断します。正規の求人市場と区別のつかないダイナミクスで採用市場が機能しています。特にネイティブ英語話者を優先する傾向が顕著で、英語圏の被害者を主要ターゲットとした地域的・文化的な標的設定を意図した採用です。

報酬体系——成果報酬と固定給のハイブリッド

Flareが確認した報酬モデルは以下の3つです。

成果連動型として、成功した1コールあたり1,000ドルの固定報酬に加え、獲得した資金の一定割合が上乗せされます。獲得額が大きいほど割合が増加する構造になっています。

固定週給型として、週給1,500ドルが固定で支払われるモデルです。

ハイブリッド型として、固定報酬と成果報酬を組み合わせたモデルです。

注目すべき点は、「ソーシャルエンジニアリングの成功（被害者からの情報取得や送金の同意）が即座の金銭化を意味しない」という運営者自身の発言です。これは詐欺のプロセスが初回の電話通話を超えた複数ステップを含むことを示しており、「コール担当者」と「資金洗浄担当者」の役割が分離されていることを示します。

研修とリアルタイム管理——「ソーシャルエンジニアリングの最適化」

詐欺組織内のコール担当者は放任されているのではなく、リアルタイムの監督とパフォーマンスフィードバックを受けながら業務を行います。これにより、ソーシャルエンジニアリングの技術が実行されるだけでなく、継続的に改善・最適化されます。正規の営業マネージャーがコール録音をレビューしてフィードバックする「セールスフロア」と同じ構造です。

CaaSの役割分担型エコシステム

Flareの分析によれば、Caller-as-a-Serviceは以下の役割が分業化された「攻撃ライフサイクルのサプライチェーン」を形成しています。

役割	担当内容
インフラ・ツーリング担当	発信者番号偽装（スプーフィング）ツール、通話インフラ、被害者リスト・漏洩認証情報の調達
ソーシャルエンジニアリング実行担当（コール担当者）	実際の電話による被害者への心理的操作・情報窃取・送金指示
資金洗浄担当	獲得した資金・アクセス権の換金・転送

特に「被害者リストや漏洩認証情報をダークウェブの地下マーケットから調達する」という構造が重要です。ダークウェブで販売されている漏洩アカウント情報・個人情報が、ヴィッシング攻撃の「ターゲットリスト」として直接利用されています。これはデータ漏洩事案が「それ単体の問題」ではなく、その後の電話詐欺・なりすまし詐欺の素材として組み込まれるという「連鎖的な被害構造」を示しています。

日本のセキュリティ担当者へのポイント

「電話が来た時点で既に個人情報は漏洩済み」という前提で行動する

CaaSは漏洩した認証情報や個人情報を出発点として被害者を特定し、その情報を「信頼性の演出」に利用します。「なぜ自分の名前を知っているのか」「口座番号の一部を言えるのか」という事実が被害者の疑心を払拭し、詐欺を成立させる鍵になります。

緊急性・権威性・秘密保持の3要素に対する組織的な防御文化

CaaSのコール担当者は「緊急性の演出（今すぐ送金しないと）」「権威性（警察・銀行・経営幹部を装う）」「秘密保持（他の人には話さないで）」の3要素を組み合わせることで確認手順を省略させます。この3要素が揃う電話・チャット・メールには組織として一律に確認手順を踏むことを義務化することが最大の抑止力です。

有効なのは「確認プロセスの制度化」のみ

ヴィッシング・ボイスフィッシングは悪意あるコード・URL・添付ファイルを一切含まないため、技術的なセキュリティ製品では検知できません。「別経路（既知の電話番号への折り返し）での確認義務化」「一定金額以上の送金への多重承認」「経営幹部からの緊急指示でも手順をスキップしない組織文化」のみが実効性のある対策です。

よくある質問（FAQ）

Q. Caller-as-a-Service（CaaS）とは何ですか？ 電話詐欺（ヴィッシング）をサービス化・産業化した犯罪エコシステムです。採用・研修・歩合制報酬・リアルタイム管理など正規のコールセンター企業と同様の運営体制を持ち、インフラ・ソーシャルエンジニアリング・資金洗浄が役割分担されています。

Q. ヴィッシングはなぜアンチウイルスで防げないのですか？ ヴィッシングは電話音声によるソーシャルエンジニアリングであり、悪意あるコード・URLを一切使用しないためです。技術的なセキュリティ製品は人間の判断と行動を監視・制御することができません。

Q. 法人が特に注意すべきヴィッシングの手口は何ですか？ 経営幹部・財務部門・取引先を装った「緊急送金指示」と、銀行・官庁を装った「口座・認証情報の確認要求」が代表的です。「今日中に処理してください」「上長には私から説明します」という文言が含まれる場合は特に警戒が必要です。

Q. 日本でもCaaSの被害は発生していますか？ はい。日本では「ボイスフィッシング」として法人・個人双方への被害が増加しています。山形鉄道への1億円不正送金事案ではベトナム人グループが逮捕されており、国際的な詐欺グループが関与していることが確認されています。