ビッシング(ボイスフィッシング)とは、電話を通じて行われるフィッシング攻撃の一種です。ビッシング攻撃とは何か、どのように防ぐことができるか、そしてそれらがソーシャルエンジニアリングの大きな枠組みの中でどのように位置づけられるかについて、詳しく学習します。
この記事を読み終えると、以下のことができるようになります。
記事のリンクをコピーする
ビッシングとは、電話を通じて人々を騙し、機密情報を聞き出す行為のことです。ビッシングの被害者は、機密情報を共有する相手が税務当局、雇用主、利用している航空会社、または直接面識のある人物などであると思い込まされます。ビッシングは「ボイスフィッシング」とも呼ばれています。
フィッシングとは、信頼できる当事者を装って機密情報を盗み出そうとする行為の総称です。フィッシングには、メールフィッシング(「フィッシング」とだけ呼ばれることもあります)、ボイスフィッシング(ビッシング)、ホエーリング、 スピアフィッシング など、さまざまな形態があります。
ビッシング攻撃を検知または監視することは困難ですが、ここで重要なのは、攻撃者は同時に異なる媒体を通じて情報へのアクセスを試みることを理解することです。したがって、メールフィッシング攻撃が急増している場合、ボイスフィッシング攻撃も行われている可能性の兆候として捉えることができます。従業員のセキュリティ意識を高めることが最大の盾となるため、組織はこのようなインシデントについて従業員の教育を実施する必要があります。
ビッシングは、ソーシャルエンジニアリングの一種です。攻撃者は、迷惑電話でクレジットカードの詳細を聞き出すなどの被害者が本来なら行わないようなことを要求します。攻撃者は、欲望、恐怖、助けたいという欲求など、人間の基本的な感情を利用します。攻撃者は、緊急事態にいる友人のふりをして、被害者に送金を促すこともあります。また、雇用主のIT部門になりすまし、社内ネットワークにアクセスするためのユーザー名とパスワードを聞き出そうとすることもあります。
ビッシング攻撃には様々な形態がありますが、多く行われる手口には次のようなものがあります。
フィッシングから身を守るために、個人でもできることはたくさんあります。以下がその例です。
企業がビッシング攻撃から身を守るために、文化的、技術的なレベルで実施できる対策がいくつかあります。
教育:現在のビッシングの傾向や一般的な特徴に関して従業員を教育することが重要です。こうすることで、従業員が特定のシナリオに関する知識から攻撃に気付いたり、ビッシング攻撃の特徴があると感じた場合は用心することができるようになります。また、従業員にどのような場合に連絡するか、または連絡しないかについて、上司から注意を促すことも有効です。例えば、CEOが従業員に電話をかけて個人情報を聞き出したり、銀行振込を依頼するようなことはありません。当たり前のことかもしれませんが、それでもCEOはこのことを定期的に伝えておくとよいでしょう。
文化:組織は、従業員がビッシング攻撃の被害に遭ったことを安心して報告できるように努める必要があります。このような場合に備えた手続きを用意し、従業員にそれを認識させ、インシデントを迅速に報告したことで自分に影響がないかというような不安を与えないような信頼できる雰囲気を作り出ることが理想的です。
テクノロジー:電話で行われるビッシング攻撃は、メールでのフィッシング攻撃よりも検出や防止が困難です。しかし、被害対策や監視のために一定の手段を講じることは可能です。