ビッシング - ビッシング(音声フィッシング)
電話を使ったフィッシング。音声で緊急性を演出し、判断力を鈍らせて情報を詐取する。
概念図
攻撃シナリオ
カード会社を騙るビッシング
bash
「こちらカード会社のセキュリティ部門です。不正利用を検知しましたので、
本人確認のためカード裏面のセキュリティコードを教えてください」AI 音声合成による経営層なりすまし
bash
(合成音声で CEO の声を再現)
「急ぎで香港の取引先に送金が必要だ。手続きを進めてくれ」ビッシングの基本と心理トリック
ビッシング(Vishing = Voice + Phishing)は電話を使ったフィッシングです。
ヒューマンタッチがあるため、テキスト型よりも判断を誤らせやすく、特に 緊急性・権威・罪悪感 という 3 つの心理トリガーが多用されます。
| トリック | 文面の例 | 効果 |
|---|---|---|
| 緊急性 | 「今すぐ対応しないと口座が凍結されます」 | 考える時間を奪う |
| 権威 | 「私は警察庁サイバー犯罪対策課の者です」 | 反論しにくくする |
| 罪悪感 | 「ご家族が事故を起こし、示談金が必要です」 | 冷静な判断を妨げる |
| 報酬 | 「当選されました。振込先を教えてください」 | 欲につけ込む |
| 親近感 | 「オレオレ、俺だよ」 | 関係性を先に作る |
ビッシングは高齢者向けの「振り込め詐欺」だけでなく、IT 部門や経理担当者を狙った組織向けの攻撃にも広く使われています。
AI 音声合成(ディープフェイク音声)の脅威
2023 年以降、AI 音声合成(ElevenLabs、Respeecher など)の発達により、ビッシングの攻撃精度が飛躍的に上がっています。
数秒の音声サンプル(YouTube 動画やインタビュー記事)だけで、本人そっくりの声で任意の文章を読み上げさせることが可能です。
| 年 | 事例 | 被害額 |
|---|---|---|
| 2019 | 英国エネルギー会社 CEO 詐欺 | ドイツ親会社 CEO の声を AI で模倣し、約 22 万ユーロ(約 3,000 万円)を送金させた。AI 音声詐欺の初期公開事例 |
| 2024 | 香港多国籍企業のビデオ会議詐欺 | 攻撃者がディープフェイク映像と音声で CFO を含む複数の幹部を再現し、経理担当者に 約 2 億香港ドル(約 35 億円) を送金させた |
| 2024 | 米 WPP 社 CEO ディープフェイク | CEO の声と顔を Microsoft Teams 上で再現し、役員から資金と情報を引き出そうとしたが未遂で発覚 |
教訓: 「声を聞いたから本人だ」という直感は、2024 年以降はもはや安全な判断基準ではありません。
音声・映像による本人確認は必ず別の手段で裏取りする運用が必要です。
コールバックフィッシング(逆方向のビッシング)
近年増えているのが コールバックフィッシング と呼ばれる亜種です。
これは以下のような流れで行われます。
- 攻撃者が「請求書」や「サブスクリプション自動更新通知」のようなメールを送付(このメール自体にはマルウェアやリンクは無い)
- 「身に覚えがなければ下記の電話番号までご連絡ください」と電話番号を記載
- スパムフィルタはリンクもマルウェアもない正規メールとして通過
- 不審に思ったユーザーが自ら電話をかけると、攻撃者が用意したコールセンターにつながる
- 「アンインストール用のソフトをダウンロードしてください」と指示され、遠隔操作ソフト(AnyDesk、ScreenConnect)を仕込まれる
「自分から電話をかけた」という心理的な安心感と、セキュリティフィルタが発動しないという技術的な利点を組み合わせた巧妙な手口です。
2022 年以降、BazarCall / Silent Ransom Group などの攻撃グループがランサムウェア攻撃の初期侵入に多用しています。