日本サイバー犯罪対策センター (JC3) が 6 月 4 日、法人口座を狙うボイスフィッシング (vishing) の被害が巧妙化しているとして注意喚起した。SMS とメールでネットバンキングの偽ログイン画面に誘導し、ID とパスワードを抜いた上で、電話で本人確認を装いながら追加の認証情報を声で聞き出す ハイブリッド型が中心になっている。2025 年だけで数億円規模の不正送金が確認されている。
「声で聞き出す」攻撃面が拡大している理由 #
従来のフィッシングは「偽ページに入力させる」一方向の罠だったが、vishing は 会話の応答 を盗む。攻撃者は、抜いた ID/Pass で銀行サイトに同時ログインし、ワンタイムパスワード入力欄を出したまま「セキュリティ強化のためアプリを入れてください」と被害者に電話する。被害者がプッシュ通知のワンタイムを読み上げた瞬間、攻撃者は別端末で送金処理を完了する。MFA を破ったのではなく、被害者本人にリアルタイム中継させた わけだ。
法人だけが狙われる理由と防御 #
個人ではなく法人が標的になるのは、限度額・送金頻度・経理担当の権限 が揃うからだ。経理担当は外部からの請求書連絡に慣れており、「業務電話」を疑う閾値が低い。さらに「セキュリティアプリ」と称してインストールさせるのは多くが 遠隔操作ツール (TeamViewer・AnyDesk の改造版・国産 RAT) で、入った瞬間に PC ごと持っていかれる。
防御は技術より 手順の固定化 が効く。① 銀行からの電話は折り返し公式番号でしか受けない、② OTP は決して口頭で読み上げない、③ 振込承認は最低 2 名のオフライン確認をルール化する、の 3 点を社内手順に書くだけで、本攻撃の成立条件はほぼ消える。FIDO2 ハードキーや、銀行側の「OTP を電話越しに使わせない」UI 変更も並行で必要だが、まずは経理現場の運用を見直すフェーズだ。
COMMENTS 0
No comments yet — be the first to leave one.