米連邦捜査局(FBI▼)と米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA▼)は2020年8月下旬、「ビッシング(vishing)」に関するセキュリティー勧告を合同で発表した(図1)。
ビッシングとは電話を使ったフィッシング詐欺▼。ボイスフィッシング(voice phishing)の略である。「音声フィッシング」などとも呼ばれる。一般的なフィッシングは偽メールなどを使うのに対して、ビッシングはユーザーに電話をかけて偽サイトに誘導し個人情報などを入力させる。
ビッシング自体は目新しくない。15年以上前から存在する手口だ。だが新型コロナウイルス禍でテレワークが一般的になっている昨今、ビッシングが新たな脅威になっている。FBIとCISAは2020年7月中旬、米国のリモートワーカーをターゲットにした大規模なビッシングキャンペーンを確認したという。一体、どのような手口なのだろうか。
電話を使って偽サイトに誘導
従来のビッシングは主に銀行の口座情報を狙っていた。攻撃者は銀行の担当者を装って被害者候補に電話をして、偽のネットバンキングサイトなどに誘導。暗証番号などを入力させて盗む。
偽の電話番号を記載した偽の銀行サイトを立ち上げて、被害者候補から攻撃者に電話をかけさせる手口もある。この場合は攻撃者から電話をかけるビッシングの逆になるので、リバースビッシングとも呼ばれる。
だが最近のビッシングの標的は、企業のVPN▼にログインするためのパスワードだ。コロナ禍により、現在では多くの企業がVPNによるテレワークを導入している。VPNはテレワークの要。インターネットと社内LANの境界に設置したVPN製品を突破されると、社内の機密情報を盗まれてしまう。
しかもテレワークでは対面での確認が難しくなり、電話やビジネスチャットなどに頼らざるを得なくなっている。攻撃者はそこに目を付けた。電話を使って偽のVPNログインサイトに誘導し、ログインに必要なパスワードなどを盗むのだ。