全3904文字
PR

 米連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は2020年8月下旬、「ビッシング(vishing)」に関するセキュリティー勧告を合同で発表した(図1)。

図1●FBIとCISAによるセキュリティー勧告
図1●FBIとCISAによるセキュリティー勧告
米連邦捜査局(FBI)と米国土安全保障省サイバーセキュリティー・インフラストラクチャー・セキュリティー庁(CISA)は、テレワーカーを狙った「ビッシング」詐欺が相次いでいるとして合同で注意を呼びかけた。(出所:FBIとCISA)
[画像のクリックで拡大表示]

 ビッシングとは電話を使ったフィッシング詐欺。ボイスフィッシング(voice phishing)の略である。「音声フィッシング」などとも呼ばれる。一般的なフィッシングは偽メールなどを使うのに対して、ビッシングはユーザーに電話をかけて偽サイトに誘導し個人情報などを入力させる。

 ビッシング自体は目新しくない。15年以上前から存在する手口だ。だが新型コロナウイルス禍でテレワークが一般的になっている昨今、ビッシングが新たな脅威になっている。FBIとCISAは2020年7月中旬、米国のリモートワーカーをターゲットにした大規模なビッシングキャンペーンを確認したという。一体、どのような手口なのだろうか。

電話を使って偽サイトに誘導

 従来のビッシングは主に銀行の口座情報を狙っていた。攻撃者は銀行の担当者を装って被害者候補に電話をして、偽のネットバンキングサイトなどに誘導。暗証番号などを入力させて盗む。

 偽の電話番号を記載した偽の銀行サイトを立ち上げて、被害者候補から攻撃者に電話をかけさせる手口もある。この場合は攻撃者から電話をかけるビッシングの逆になるので、リバースビッシングとも呼ばれる。

 だが最近のビッシングの標的は、企業のVPNにログインするためのパスワードだ。コロナ禍により、現在では多くの企業がVPNによるテレワークを導入している。VPNはテレワークの要。インターネットと社内LANの境界に設置したVPN製品を突破されると、社内の機密情報を盗まれてしまう。

 しかもテレワークでは対面での確認が難しくなり、電話やビジネスチャットなどに頼らざるを得なくなっている。攻撃者はそこに目を付けた。電話を使って偽のVPNログインサイトに誘導し、ログインに必要なパスワードなどを盗むのだ。