ルーツに立ち返るフィッシング詐欺

音声通話を使ったフィッシング詐欺の手口とは。

コンピューターへのアクセスを求めるテクニカルサポート、支払いを急かす税務署職員、「折り返しの電話」をかけてくる医療機器業者…ほとんどの人は、何らかの形の電話詐欺を受けた経験があるのではないでしょうか。あまり知られていませんが、こういった電話詐欺は「ビッシング」と呼ばれます。

ビッシングとは

ビッシングとは、ボイス(Voice)とフィッシング(Phishing)を掛け合わせた言葉です。似たようなものに、「SMS」と「Phishing」を合わせたスミッシング(Smishing)があります。テレワークへの移行も手伝って、電話による詐欺が盛り返しを見せ、米国では詐欺の危険について法執行機関から定期的に公式発表が出ています(英語資料)。

米国連邦取引委員会の2019年のデータによると、電話を使用した詐欺のうち、金銭をだまし取ることに成功したのはわずか6%でした(英語記事)。しかし、実際にだまし取られた場合の被害額はかなりのもので、中央値は960ドル(約10万円)となっています。

警戒心の強い人でもつい信用してしまうような詐欺の手口は多く、誰でも罠にはまる可能性があります。詐欺のことはよく分かっていると自負する人々も、例外ではありません(英語記事)。

ビッシングは、昔ながらのコミュニケーション手段である電話を使います。このデジタル時代に多発する大規模なデータ漏洩によって、電話詐欺は新たな力を得ることとなりました(リンク先は英語)。詐欺師がこれほど膨大なデータを手にするようになったことは、かつてありません。インターネットを利用した電話技術(VoIP)が普及したことも有利に働き、サイバー犯罪者は電話番号を巧みに操作して自分たちの痕跡を隠せるようになりました。

詐欺電話の種類

詐欺電話の内容は多岐にわたりますが、主に以下のカテゴリに分類できます。

テレマーケティング

テレマーケティング詐欺の場合、信じられないような好条件を提示しておいて「この条件で買えるのは今しかない」という時間的なプレッシャーをかけてくるのが定番です。宝くじに当選した(そもそも宝くじを買っていない人にとっては思いがけないラッキーな話)、クレジットカードの利率が下がるなど、断りがたい魅力的な内容が提示されます。共通する傾向は、その場で決断を迫られるということ、それから、少額ながら前金を支払わなければならないということです。

提示された内容について考える時間があれば、それが詐欺であることは(普通は)すぐに分かります。前金を支払ったとすると、そのお金はただ詐欺師たちの懐に入るわけで、文字どおり犯罪の報酬となります。また、彼らが使用する電話番号データベースに使用価値があることを証明することになり、さらに大勢の人々が電話詐欺に遭うことにもつながります。

行政機関

電話詐欺の中でも多いのが、税金が支払われていない、あるいは金額が不足していると嘘の連絡をしてくる手口です。例えば税務署を名乗る誰かが電話をよこし、未納金を支払わないと罰金が発生すること、しかも猶予期間の終了が迫っていて期限後は金額が上がってしまうことを告げます。

ここでも、時間的制限が効きます。期日の設け方だけでなく、税務署が市民に連絡する場合にどんな手段を普通はとるだろうかと考える時間があれば、普通の人なら詐欺であると見抜くことができるはずです。ところが、期日が迫っている、時間に厳しいことが分かっている行政機関(を装った)からの連絡、といった条件下では、事は詐欺師に有利に運びやすくなります。

テクニカルサポート

頼んでもいないのにテクニカルサポートから電話がかかってくることもあります。テクニカルサポートを装った詐欺電話の場合、著名な大手ブランドの名前をかたるのが一般的ですが、そのブランド製品の実際の利用者に行き当たる可能性を上げるためです。よくあるのは、「あなたのコンピューターで問題が発生している」という内容の電話をかけ、ログイン情報を聞き出したり、コンピューターにリモートアクセスしたりするパターンです。

より巧妙な手口もあります。例えば、あらかじめコンピューターにマルウェアを感染させ、問題が発生したという嘘の説明と問い合わせ用電話番号を記したポップアップウィンドウを表示するなどです。

銀行

どんな詐欺であっても、最終的な目的はお金です。したがって、銀行からの電話を装う詐欺師も当然います。口座で不審な操作があったと連絡してくるのが一般的ですが、その目的は、クレジットカードのセキュリティコードや口座の確認コードといった情報を聞き出すことです。

詐欺電話を見抜くには

詐欺師は常に説得力のある罠を仕掛ける方法を探しているものですが、ほとんどの場合、それが詐欺であることを示す兆候が少なくとも一つは見られます。

  • 銀行や行政機関と思われる電話の発信番号が携帯電話の番号であった場合、ほぼビッシングとみて間違いありません。さらに電話番号の市外局番や国番号が別の地域だった場合、詐欺である可能性は倍増です。ただし、本物らしく見える番号であっても、詐欺ではないという保証はありません。最近は、受信者の電話機に偽の発信者IDを表示させる技術もあります(リンク先は英語)。
  • 相手が機密情報を聞き出そうとしてきた場合、特に脅すような調子で聞いてきたら、それもビッシングであることを示す兆候です。一般的に言って、個人情報を聞き出そうとする行為は詐欺の兆候です。顧客や市民に関して銀行や行政機関が必要とする情報は、本物の銀行員や行政機関の職員なら、おそらくすでに知っているはずです。※これは銀行や行政機関があなた宛に連絡をしてきたときの話であって、あなたの方から銀行や行政機関へ連絡した場合の話ではありません。
  • 相手が金銭の支払いを迫ってきて、さらに期日をちらつかせる場合、それは間違いなく詐欺です。
  • あなたのコンピューターに問題があると電話をしてきた人物が、その問題を修正するソフトウェアをコンピューターにインストールするように指示してきた場合は、あなたにとってよくない結果になる可能性が大です。

電話をかけてきた相手の態度にも、ビッシングであることを示す特徴を見て取ることができます。電話をかけてきた人物の話に混乱がある、言い間違える、非友好的な調子である、くだけた表現を使うなどです。日常会話であれば気にするようなことではないかもしれませんが、本物の電話オペレーターなら、プロフェッショナルな言葉遣いをするように教育を受けているのが普通です。

詐欺電話の被害に遭わないために

上記のような詐欺のサインに一つでも気付いたら、一番良いのはシンプルに電話を切ってしまうことです。その後で、相手が電話で名乗っていた企業や組織に連絡をして、先ほどの電話について報告しましょう。詐欺について寄せられる情報が多いほど、犯人を逮捕する可能性、少なくとも詐欺行為を妨害できる可能性は高くなります。また、テクニカルサポートやカスタマーサポートの電話番号も、公式サイトなどで別途確認しましょう。

さらに、コンピューターへのリモートアクセスをできるようにするプログラムは、どんなに強く言われたとしても、絶対にインストールしないでください。また、危険なアプリケーションをすぐに検知して警告できるようなセキュリティ製品を日ごろから使用することもお勧めします。

ヒント

Windows Downdate攻撃から身を守る方法

Windows Downdateは、最新バージョンのOSを古いバージョンにロールバックさせ、脆弱性が残る状態を復活させ、攻撃者がシステムを容易に侵害できるような状態にする攻撃です。この攻撃のリスクを低減するにはどうしたらよいでしょうか?