- Voice(音声)+Phishingの造語。電話で銀行・警察・ITサポートを装い、パスワードや口座番号・ワンタイムパスワードを口頭で聞き出す詐欺だ
- AIによる合成音声技術の進化で、実在する企業の担当者・家族の声を模倣する「ディープフェイク音声」を使ったビッシングが増加している
- 電話口でパスワードやOTPコードを求める連絡はすべて詐欺を疑うべきだ。正規の銀行・企業・公的機関は電話口でパスワードや認証コードを聞くことはない
【深掘り】これだけ知ってればOK!
ビッシングの特徴を理解するには、類似の攻撃・脅威・制度との比較が有効だ。Voice(音声)+Phishingの造語。電話で銀行・警察・ITサポートを装い、パスワードや口座番号・ワンタイムパスワードを口頭で聞き出す詐欺だという点が他との本質的な違いになっている。
実際の被害事例や典型的な手口を見ると、AIによる合成音声技術の進化で、実在する企業の担当者・家族の声を模倣する「ディープフェイク音声」を使ったビッシングが増加しているというパターンが最も多い。この特性を理解することが効果的な対策への第一歩となる。
電話口でパスワードやOTPコードを求める連絡はすべて詐欺を疑うべきだ。正規の銀行・企業・公的機関は電話口でパスワードや認証コードを聞くことはないという観点から、自社の状況に合わせた優先度で対策を進めることが重要だ。完璧なセキュリティはないが、リスクを許容範囲に下げることが目標になる。
よくある誤解
ビッシングは大企業だけの問題という誤解
中小企業も同様のリスクに直面している。むしろセキュリティ投資が限られる中小企業が標的になりやすいケースも多い。
ビッシングの対策は一度設定すれば終わりという誤解
脅威は常に進化しており、一度の設定で永続的な保護は難しい。定期的な見直しと従業員教育の継続が必要だ。
会話での使われ方
ビッシングの被害が増えているので、全社員向けの研修を実施します。技術対策だけでは限界がありますから。
情報セキュリティ責任者が全社的な対策強化を宣言している場面。
ビッシングに遭遇したら、まず何をすればいいですか?
セキュリティインシデントへの初動対応を確認している場面。インシデント対応計画の整備が重要だ。
ビッシングの対策コストと、実際に被害を受けた場合のコストを比較すると、対策投資は明らかに合理的ですね。
経営層に向けてセキュリティ投資の正当性を説明している場面。
【まとめ】3つのポイント
- 「ビッシングの本質」:Voice(音声)+Phishingの造語。電話で銀行・警察・ITサポートを装い、パスワードや口座番号・ワンタイムパスワードを口頭で聞き出す詐欺だ
- 実害を防ぐには技術対策と人的対策の両輪が必要:AIによる合成音声技術の進化で、実在する企業の担当者・家族の声を模倣する「ディープフェイク音声」を使ったビッシングが増加している
- 対策コストは被害発生後のコストより必ず安い:電話口でパスワードやOTPコードを求める連絡はすべて詐欺を疑うべきだ。正規の銀行・企業・公的機関は電話口でパスワードや認証コードを聞くことはないという対策が基本となる
よくある質問
- Qビッシングから身を守るための基本的な対策は?
- A
電話口でパスワードやOTPコードを求める連絡はすべて詐欺を疑うべきだ。正規の銀行・企業・公的機関は電話口でパスワードや認証コードを聞くことはない。最新情報はIPAや各ベンダーの情報を参照することをお勧めします。
- Qビッシングに被害を受けた場合、最初に何をすべきですか?
- A
まずネットワークから隔離し、上長とIT部門への即時報告、記録の保全が初動の三原則です。個人情報が関係する場合は個人情報保護委員会への報告も検討してください。
- Qビッシングは企業だけでなく個人にも関係しますか?
- A
個人にも十分関係します。スマートフォンやPCの管理、パスワードの使い分け、不審なリンクへの注意など基本的な対策は個人でも実施できます。
- Qビッシングと関連するセキュリティ用語を教えてください。
- A
ビッシングとは、電話(Voice)を使って銀行・公的機関を装い個人情報や認証情報を騙し取るフィッシング詐欺のこと。スミッシングとの違いをIT初心者向けに解説します。この分野ではsecurity関連の基礎知識も合わせて学ぶことをお勧めします。
【出典】参考URL
https://biz.kddi.com/content/column/smartwork/what-is-malware/ :マルウェアとセキュリティ脅威の解説
https://eset-info.canon-its.jp/malware_info/special/detail/191031.html :マルウェアの種類と特徴
コメント