2025年は、企業や自治体の法人口座を狙う「ボイスフィッシング(ビッシング)」が各地で連鎖しました。新潟の企業では、取引先金融機関を名乗る自動音声と担当者の誘導により、ネットバンキングの認証情報が奪われ約1億9,000万円が送金されました。北陸銀行・北國銀行は相次いで法人向け即時振込の一部を停止し、琉球銀行でも約1億円の被害が判明。国内外では大手企業のCRM環境を巡る音声起点のソーシャルエンジニアリングも表面化し、電話・自動音声・偽サイトを組み合わせた“リアルタイム窃取”型の攻撃が企業オペレーションの隙を突く実情が浮き彫りになりました。
目次
ボイスフィッシング(ビッシング)とは
ボイスフィッシング(ビッシング)とは、電話(自動音声や生声のオペレーター)を起点に、受電者へ操作や入力を促して認証情報やワンタイムパスワードを盗み取る詐欺手口です。
攻撃者は「口座停止」「セキュリティ強化」「情報未更新」などの名目で緊急性を演出し、案内に従った被害者を偽の担当者につなぎます。
続けて、メールやSMSで送る偽サイトに誘導し、インターネットバンキングのID/パスワード、ワンタイムパスワード、取引確認コードなどを入力させ、窃取した情報を使って即時振込等で資金を移動します。来電表示のなりすまし(Caller ID偽装)やIVR風の自動音声、コールバック詐欺、さらには認証コードを電話口で復唱させる“その場”のリアルタイム窃取が特徴で、従来のメール中心のフィッシング(phishing)やSMS中心のスミッシング(smishing)と比べ、心理的圧力と手続きの一体感で防御を突破しやすい点に強みがあります。
山形鉄道(山形銀行を装う音声詐欺)
2025年3月11日、山形鉄道は山形銀行を装った自動音声の電話を起点とするビッシングにより、約1億円の不正送金被害を受けました。
県内では同様の不審電話が他の企業や報道機関でも確認され、警察がフィッシング詐欺として捜査しています。
この事案では、自動音声の案内に続いてサポートを名乗る人物が登場し、偽サイトに誘導してログイン情報やワンタイムパスワードを入力させたとされています。取得した認証情報を用いた不正送金に至る一連の流れが確認されました。
なお、2025年12月4日、この不正送金事件に関与した疑いで、ベトナム国籍のファム・タン・トゥン容疑者(36)=大阪府在住・無職=を窃盗の疑いで逮捕したと発表しました。
シスコシステムズ(CRMユーザ情報の持ち出し)
シスコシステムズは2025年8月1日、社員がボイスフィッシングの標的となった結果、同社が利用する第三者クラウドCRMの一部インスタンスに一時的な不正アクセスが生じ、ユーザーの基本プロフィール情報がエクスポートされたと公表しました
。流出が確認されたのは氏名、組織名、住所、ユーザーID、メールアドレス、電話番号、アカウント作成日に関するメタデータで、機密情報やパスワード、財務情報は含まれていません。
インシデント判明後、同社はアクセスを遮断し、法令に基づき対象者へ通知。従業員教育の強化や対策見直しを進めるとしています。製品やサービスへの影響はないと説明しています。
Salesforce(セールスフォース)への大規模漏洩
これに関連し、各社の Salesforce に接続していた外部連携(例:Salesloft の Drift 連携や Gainsight アプリ)経由でデータが持ち出された疑いが取り沙汰されています。
Salesforce は、プラットフォーム自体の脆弱性は確認されていないとしつつ、連携アプリに紐づくアクセストークンの失効や AppExchange からの一時撤去、影響顧客への個別連絡などの対処を進めています。
Scattered Lapsus$ Huntersのサイバー攻撃は音声通話を起点とするソーシャルエンジニアリング(ビッシング)が併用されました。
英語話者“ITサポートになりすました攻撃者が社員に電話し、Salesforce Data Loader の接続承認や「接続コード」の入力をその場で誘導。これにより攻撃者が管理するデータローダーと被害組織の Salesforce 環境が結び付けられ、API 経由でサポートケースや連絡先などのデータが大量にエクスポートされたとされます。
加えて、Salesloft のリポジトリから発見されたとされる Drift/Drift Email の OAuth トークン悪用、Gainsight アプリ接続に紐づくトークンの乱用など、“外部連携の認可情報”を足掛かりにした横展開が確認されています。
香川県内の企業(社名非公表)
香川県内の企業では2025年3月12日、ボイスフィッシングにより5,000万円の不正送金被害が判明しました。
最初に金融機関を装う自動音声ガイダンスがあり、その後の電話で“担当者”を名乗る男性が企業のメールアドレスを聞き出し、送付したメールのリンクから偽サイトへ誘導。従業員が認証情報を入力したことで、翌日、別の法人口座へ高額送金されていた事実が確認されました。
香川県警は企業・個人に対して、金融機関を名乗る自動音声やメールの誘導に応じないこと、正式な窓口で真偽を確認することを徹底するよう注意を呼びかけています。
新潟県内の企業(社名非公表)
2025年11月18日、新潟県内の企業が取引先金融機関を名乗る自動音声の電話を受けました。「会社情報の未更新により取引停止」などの案内に従って操作すると担当者を名乗る人物につながり、同社の職員は後日届いたメールのサイトにアクセスしてネットバンキングのIDやパスワードを入力しました。
その結果、同社口座から2回に分けて約1億9,000万円が別口座へ送金されていたことが判明しました。
同日には複数の企業から同様の相談が警察に寄せられており、当局は音声連絡を起点に偽サイトへ誘導して認証情報を盗み取る典型的なビッシング事案として捜査を進めています。
琉球銀行
琉球銀行は2025年4月1日、法人向けインターネットバンキング「りゅうぎんBizネット」で複数の不正送金が確認され、同日午後1時時点で被害額が約1億円に達したと発表しました。即時振込を停止し、翌日扱いの予約振込は行員による審査のうえ実行する態勢に変更しています。
同行を名乗る自動音声の偽電話でパスワード等の入力を誘導し、取得した情報で第三者が送金する手口が確認されています。同行はシステムの不具合を否定し、不正アクセスに利用されたとみられるIPアドレスの遮断を進めています。
北陸銀行(法人向けIBの一部停止)
北陸銀行は2025年11月19日、同行を装った自動音声・電話を発端とする不正送金が確認されたとして、法人向けインターネットバンキング(ビジネスIB/ほっと君Web Jr.)の「他行あて(当日・予約)」と「当行あて(予約)」の振込を一時停止しました。当日扱いの振込は窓口で受け付け、手数料はインターネットバンキング扱いとしています。
同行は自動音声案内を一切行っておらず、電話やメールで契約者情報・パスワード等を尋ねることもないと強調。偽の案内に応じて情報を入力しないよう注意を促すとともに、万一情報を伝えてしまった場合は直ちに連絡するよう呼びかけています。
北國銀行(法人向け即時振込の一時停止)
北國銀行は2025年11月17日、同行を名乗る自動音声や電話を起点としたビッシング被害を受け、法人向け「北國デジタルバンキング」の他行あて即時振込を一時停止しました。再開までの間、当日振込は店頭窓口で受け付ける運用に切り替えています。
同行は、自動音声・電話・Eメールで契約情報やログインID、パスワードを問い合わせることはないと注意喚起。疑わしい連絡に応答・入力せず、正規窓口で確認するよう周知しています。
福岡銀行
福岡銀行では、2025年11月27日に同行をかたるボイスフィッシングが確認され、取引先企業6社が合計約8,000万円の被害を受けたことが明らかになりました。
被害に遭った企業には、福岡銀行からの連絡を装った自動音声の電話がかかり、「お客様の情報が更新されていません」「更新しないと口座が凍結されます」といった内容で不安をあおるメッセージが流れたとされています。ガイダンスに従って操作すると「銀行のオペレーター」を名乗る人物につながり、この人物がメールアドレスなどの情報を聞き出したとのことです。
ボイスフィッシングの対策
まず大前提として、銀行や公的機関は電話や自動音声でパスワードやワンタイムパスワードを要求しません。
企業では、経理・資金担当に「電話で認証情報は渡さない」方針を明文化し、応対マニュアルと訓練(電話型/メール型の疑似演習)を定期的に実施します
。技術面では、法人口座の利用端末を固定し、アクセス元IPの制限や端末証明書の利用、承認ワークフローの二重化(別端末・別経路の承認)、即時振込の上限引き下げ・ホワイトリスト化を進めます。
万一、認証情報を入力・共有してしまった場合は、ただちに金融機関へ連絡し口座凍結やトークン失効を依頼、併せて社内のパスワード変更・セッション失効・アクセスログ確認までを緊急対応手順として定めておくことが必要です。








