近年、情報セキュリティの分野において、技術的対策のみならず、人の心理や行動に付け入る手口への対応が強く求められています。その中でも特に注目されているサイバー攻撃の手法が「ボイスフィッシング(Voice Phishing)」、通称「ビッシング(Vishing)」と呼ばれるものです。これは、音声を通じて個人情報や認証情報を盗み出す手法です。従来のフィッシング詐欺とは異なる巧妙かつ執拗なアプローチで、被害が拡大しています。
本記事では、企業の情報セキュリティ担当者を対象に、ボイスフィッシングの概要から最新の被害事例、そして有効な対策までを紹介します。
目次
ボイスフィッシングとは
ボイスフィッシングとは、電話や音声メッセージを利用して、個人または企業から機密情報を盗み出す行為を指します。これは、従来の電子メールや偽サイトを用いたフィッシングとは異なり、人間の声や会話を通じて信頼を獲得することによって、情報を引き出す点が大きな特徴です。
米国連邦取引委員会(FTC)のレポートによれば、ボイスフィッシングは2010年代後半から急激に増加しています。特にコロナ禍以降、その手法はますます洗練され、対象も広範囲に及ぶようになりました。音声合成技術(AIボイス)やスプーフィング(発信者番号の偽装)といった新技術の悪用も、その背景にあります。
ボイスフィッシングの種類
ボイスフィッシングにはいくつかの種類があります。代表的なものとしては、まず「銀行職員や公的機関の職員等を装うタイプ」があります。詐欺師は、金融機関や警察、税務署などの名を語り、口座情報や暗証番号を聞き出します。このタイプは、日本でよく知られる「オレオレ詐欺」とも類似していますが、目的と手法において明確な違いがあります。
オレオレ詐欺
「オレオレ詐欺」は、主に高齢者を対象に、家族を装って金銭を騙し取るのが一般的です。これに対して、ボイスフィッシングは企業の従業員やIT管理者を狙い、業務用アカウント情報やVPN接続情報など、システムへの侵入口となる情報を奪い、攻撃の足掛かりにしようとします。
自動音声によるボイスフィッシング
もう一つの手法は、「自動音声を利用した詐欺」です。被害者に対して自動音声メッセージで緊急を装った連絡(例:”口座に不正アクセスがありました。至急××にお電話ください”)を送り、折り返した先で詐欺師が対応し、情報を聞き出します。近年では、AIによって本人そっくりの声を合成し、それを使って企業内での信頼関係を悪用する事例も報告されています。
近年国内外の大企業においても、ボイスフィッシングの被害事例が増えており、改めてその脅威が認識されています。
ボイスフィッシングの被害 事例
ボイスフィッシングで3500万円の被害
英国を拠点とする匿名のエネルギー会社は、2020年にAIによって合成されたCEOの声を使った詐欺事件が発生しました。この事件では、財務担当者がCEOの声と信じて多額の資金(24万ドル以上)を指定口座に振り込み、最終的にその資金がドバイ経由で消失したとされています。
ハッキング手法の1つにボイスフィッシングを利用
また、2022年、米国の大手IT企業シスコシステムズは、従業員が受けたボイスフィッシング攻撃により、社内ネットワークへの不正アクセスを許すという重大なインシデントを経験いたしました。攻撃者はまずSMSや電話を通じて従業員に接触し、偽のITサポート担当者を装って、多要素認証(MFA)のリクエスト承認に誘導しました。
その結果、攻撃者はVPNを通じて社内システムへのアクセスを獲得し、一部のファイルを不正に取得したとされています。この事例によって、多要素認証の限界とともにボイスフィッシングの脅威が浮き彫りになりました。
香川県で法人口座を狙ったボイスフィッシング詐欺が発生、被害額5000万円
2025年3月12日、香川県内の企業がボイス フィッシング詐欺によって5000万円の被害に遭いました。香川県警は、企業や個人に対し、金融機関を装った不審な電話やメールに対する注意喚起を行っています。
山形鉄道が山形銀行を装った ボイスフィッシングで1億円の被害
山形新聞の報道では山形県内で山形銀行を装ったボイスフィッシング詐欺事件が相次ぎ、第三セクター「山形鉄道」が約1億円の不正送金被害に遭っていたことが明らかになりました。
事件は県警によって捜査が進められており、同様の不審電話がソフトウェア開発会社やマスコミ各社にも確認されています。
琉球銀行、ボイスフィッシングにより約1億円 不正送金 被害
2025年4月1日、琉球銀行は法人向けインターネットバンキングサービス「りゅうぎんBizネット」において、複数の不正送金被害が確認されたことを受け、即日振込サービスの一部を緊急停止したと発表しました。被害額は同日午後1時時点で1億円に達しており、再開時期は未定とされています。
同行は「銀行システム自体に問題は確認されていない」と説明しており、今回の被害は利用者を狙った“なりすまし電話”によるソーシャルエンジニアリング的な詐欺のニュアンスがあります
ボイスフィッシングへの対策
ボイスフィッシングへの対応には、技術的な防御策と人的な対策の両方が必要です。まず、スプーフィング(なりすまし)対策として、通信事業者が提供する発信者IDの信頼性確認技術(STIR/SHAKENなど)を導入することが考えられます。国内ではまだ普及が進んでいませんが、米国では2021年よりFCC(連邦通信委員会)の指導のもと導入が進められています。
また、人的な対策として、社内教育と認識向上が欠かせません。
定期的なセキュリティトレーニングを通じて、「電話で認証情報を伝えるべきでない」ことを徹底させる必要があります。特に、IT管理者や経理担当者など、業務上重要な情報にアクセスできる人物には、疑わしい連絡が来た際に確認プロセスを設ける仕組みを導入すべきです。
また、多要素認証(MFA)を導入することで、仮に認証情報が漏洩しても、それだけではアクセスを許可しない体制を築くことができます。MFAは特にVPN接続やクラウドサービス利用時に効果的であり、被害の予防には必須の措置といえます。ただし、前述のように、MFAも完璧ではないことを認識することが重要です。
企業は何か始める?
まずは、社内で起こりうるリスクを洗い出すリスクアセスメントを実施し、どの部門・業務が狙われやすいかを明確にしましょう。その上で、次の三点を基盤とした初期対応を推奨します。
第1に、セキュリティポリシーの見直しと更新を行うことです。電話や音声メッセージによるやり取りの中で、どのような情報を取り扱ってはならないか、また怪しい連絡があった際の報告ルートを明文化することで、従業員にとって理解しやすいポリシーにすることが重要です。
第2に、定期的な訓練とフィッシング模擬演習の実施が有効です。実際の電話を使った模擬詐欺訓練により、従業員のリテラシーを高めるとともに、現場での対応力を養うことができます。
第3に、外部ベンダーとの連携強化です。特にクラウドサービスやサードパーティに委託している業務がある場合、情報の取り扱いや認証プロセスに関する取り決めを明確にし、相互確認体制を整えることが求められます。
まとめ
ボイスフィッシングは、技術の進化に伴ってますます巧妙化しており、もはや個人だけの問題ではなく、企業全体のリスクマネジメントとして捉える必要があります。とりわけ日本企業は、電話によるコミュニケーションが根強く残る文化もあり、ボイスフィッシングのリスクに対して脆弱な面があると言えます。
情報セキュリティ担当者は、技術的な防御策と並行して、組織全体の認識改革を進め、ヒューマンファクターを考慮したセキュリティ体制を構築することが求められます。
