ビッシングとは何か?
ビッシングとは、悪意のあるエンティティが被害者に電話で接触し、ソーシャル・エンジニアリング手法によって被害者の信頼を得ようとし、機密データを取得したり、資金を引き出したり、その他の方法で被害者に危害を加えるサイバーセキュリティ攻撃と定義されている。
これは基本的に音声メディアを通じて行われるフィッシング攻撃の一種であり、これがヴィッシング攻撃と呼ばれる所以である。
ビッシング攻撃のメカニズム
ビッシングは通常、緊急または不安を煽るような電話の形をとります。例えば、被害者の口座がハッキングされ、本人確認や口座の再開のためにPIN番号が必要であるといった内容です。
また、内国歳入庁(IRS)や社会保障庁など、政府機関を代表して電話をかけてきたと名乗ることもあります。被害者がお金を借りているとか、懸賞に当選したなどと主張することもあります。
これらはすべて「ビッシング」(議論されているように、電話詐欺を示す「ボイス」と「フィッシング」を混ぜたフレーズ)のケースである。フィッシングとは、サイバー犯罪者が人々を騙して金銭、個人データ、秘密情報などを引き渡させようとするあらゆる行為を指す言葉である。同様に、電子メールやショートメッセージ、テキストメッセージングシステム(「スミッシング」)も詐欺に使われることがある。
ビッシングとは、犯罪者が被害者の電話を利用して、その人に危害を加えたり、犯人に何らかの利益をもたらしたりする情報を引き出すサイバー犯罪である。
サイバー詐欺師は、洗練されたソーシャル・エンジニアリングのテクニックを使い、被害者に個人データ、さらには銀行口座や企業秘密へのアクセスを提供するよう説得する。スミッシングやフィッシングと同様、ビッシングは、発信者の要求に応じることが適切な対応であると被害者を説得することに重点を置いている。発信者は、政府当局、税務署、被害者の金融機関、警察などを装うことが多い。
この手口の成功は、効果的なソーシャル・エンジニアリング、つまり人の心理を利用して説得力を持たせることにかかっている。ヴィッシングの加害者は、被害者に要求された情報を提供しなければならないと思わせるために、脅迫や積極的な説得を用いる。被害者はまた、正しく電話をかけ直さなければ起訴されたり銀行口座が凍結されたりする危険性があることを伝える脅迫的な音声メッセージを受け取ることもある。
ビッシングの仕組みは?
フィッシング攻撃者は、発信者番号通知を偽装して、信頼できる企業や地域コードから電話がかかってきていると被害者を騙すことがよくある。
彼らはしばしば信頼できる団体を装い、被害者を騙してデータを共有させる。例えば、銀行やクレジットカード会社の役員、債権者、国税庁の捜査官を装うこともある。このような詐欺師は、被害者が電話に出ると切迫感を煽り、被害者の感情を利用して要求に応じさせます。
ヴィッシングにはさまざまな形態があるが、その目的は常に同じである。金銭的な利益を得るため、あるいはID窃盗などの他の犯罪を犯すために、被害者を騙して個人情報を吐かせることである。
このような攻撃が説得力を持つ理由の一つは、詐欺師が他の情報源から得た個人情報を使って、ビッシングの試みが合法であるように見せかけることができることである。
最も一般的なヴィッシングの種類
1.ウォーダイヤル
2.VoIPベースの攻撃
3.発信者番号通知スプーフィング
4.コンテナでの清掃
1.ウォーダイヤル
ウォーダイヤリングは、さまざまな種類のテクノロジーを使って自動的に多数の電話番号に連続してダイヤルするもので、通常はセキュリティやITインフラの欠陥を発見するために行われる。
ハッカーは、安全でないモデムを見つけるために、しばしばワーダリアリングツールを使用する。時間はほとんどかからない
詐欺師がモデムに接続されている番号のリストを突き止めたら、そうするように。
2.VoIPベースの攻撃
インターネット接続を介した音声およびマルチメディア・コンテンツの転送は、VoIP(Voice over Internet Protocol)として知られている。ユーザーは、コンピュータ、スマートフォン、VoIP電話やWebリアルタイム通信(WebRTC)対応サイトなどの他のデジタル・プラットフォームを通じて、VoIPを使用して音声通話を行うことができます。
VoIPは、従来の電話システムにはない付加的な機能を備えていることが多く、個人にとっても企業にとっても有益な技術である。また、企業にとっても、コミュニケーションを統一する手段として有用です。
残念ながら、VoIPは詐欺師によって悪用され、ビッシング攻撃を仕掛けることがある。攻撃者はドメインを登録し、組織のネットワーク・ログイン・ページに似せたフィッシング・ページを作成する。その結果、脅威者が開始したVoIP通話は、同じネットワークから発信されているように見える。さらに、VoIPは多要素認証を必要とすることが多いため、発信者は被害者に詐欺ページにアクセスし、詳細情報を共有するよう求めることがあります。
3.発信者番号通知スプーフィング
なりすましとは、発信者が自分の身元を隠すために、着信画面に表示される情報を意図的に改ざんすることです。詐欺師は、発信者番号通知を地元の番号から発信されているように見せかけたり、被害者がすでに信頼している企業や政府機関になりすましたりするために、「なりすまし隣人」の手口をよく使います。
このような通話に応答すると、攻撃者は、詐欺行為に使用できる資金や重要な データを盗み出そうとする。詐欺スクリプトは、発信者が合法的であるという確信をさらに強めるため、発信者IDスプーフィング攻撃の重要な部分です。
4.コンテナでの清掃
銀行、企業ビル、その他の機関のゴミ箱(物理的なものもデジタルなものも)をあさることは、ヴィッシング被害者の連絡先情報を収集する簡単で一般的な手段である。
犯罪者は、シュレッダーにかけられた文書、廃棄された記憶装置、古いカレンダー、コピーなどから、対象を絞ったスピアフィッシング攻撃を実行するのに十分な情報を集めることができる。
フィッシング攻撃の防止:2022年に向けた8つのベストプラクティス
一度ヴィッシング攻撃の餌食になると、その影響を覆したり、損害を回復したりすることは難しい。たとえ法執行機関が犯人を特定したとしても、損害を回復することは困難である。そのため、以下のベストプラクティスに従うことで、ビッシング攻撃を防ぐための積極的な対策を講じることが極めて重要である:
ヴィッシングを防ぐためのグッドプラクティス
1.VPN接続
仮想プライベートネットワーク(VPN)は、インターネット上で共有される情報を保護し、詐欺師があなたの連絡先情報を入手することを困難にします。
VPNはネットワーク・トラフィックを暗号化し、IPアドレスをマスクしたVPNサーバーに到達する前に、安全なトンネルを通して送信する。その結果、脅威行為者はあなたの居場所を知ることができず、ソーシャル・エンジニアリング攻撃の実行が困難になる。意図した被害者は、発信者に自分の居場所を尋ねるだけで、その電話が正当なものかどうかを確認することができる。
2.緊急」コールを警戒すること。
緊急感を煽るような電話をかけてきた場合は、赤信号と考えるべきです。例えば、ビジ ネス業者は、被害者が実際に銀行口座を渡したり、未払いの請求書をすぐに支払ったりしなけれ ば、悪影響が及ぶ可能性があると説得しようとするかもしれない。
電話を切るか、発信者の連絡先を聞き、後でかけ直すと伝えましょう。詐欺であれば、電話をかけてきた相手はさらに圧力をかけるか、電話を切るのが普通です。
3.ロボコール着信拒否ツールを使う
一般的にコールフィルターとして知られるロボコール遮断ツールは、自動化されたコールを検出するコンピュータプログラムである。第三者機関がワーダリング技術を使用している場合、ロボコールブロッカーはそれを特定し、即座にブロックします。
4.社内プロセスの導入
組織の一般的な番号が鳴ったとき、誰が電話を取るのだろうか? 間違った従業員の手に渡ってしまう可能性はないだろうか?
あるユーザーから別のユーザーへ電話を渡すと、混乱が生じ、組織の従業員が電話の相手が誰なのかわからなくなる可能性がある。
良い電話から悪い電話を選別するために、専属の受付担当者を雇うことは、必要な場合に有用であり、また、他の人に電話を渡す際に、誰が電話してきたかを全従業員が確認するようにすることができる。
もう一つの選択肢は、電話を渡す前に、受信者が別の公式ルートを通じて「依頼者」に直接確認するプロセスを作ることである。
5.すべてのデバイスに多要素認証があることを確認する。
安全性の高いパスワードを使用することは非常に良いことですが、多要素認証は、あなたのアカウントが単一のパスワードで侵害されないようにするためのセキュリティの追加レイヤーを提供します。
グーグルは、2021年までに1億5,000万人のユーザーに多要素認証を義務付け、脅威に対するセキュリティ層を強化することで、漏洩したアカウント数を50%減らすと発表した。
結論
ビッシングはあなたの組織にとって大きな関心事ではないかもしれませんが、そうであるべきです。あなたの会社や同僚がどれほど賢く、有能であっても、ソーシャル・エンジニアリングの手口は、誰もが油断してしまうほど強力です。
ヴィッシングについて知った以上、この情報を従業員と共有することが重要である。
電話をかけてきた人に質問し、正式なルートを通じて誰かに情報を確認することが、安全なデータとサイバー事件やデータ侵害のリスクの違いになることを伝えましょう。
