| 自動音声を併用するボイスフィッシングが多発 ~ネットバンキングの法人口座を守る~ | |
|---|---|
| 作成日時 25/03/25 (10:51) | View 904 |
全国の金融機関が注意喚起
2025年3月、山形県と香川県で金融機関を騙るフィッシング※によって、一般企業が多額の資金を奪われる事件が発生しました。電話を使うボイスフィッシングを併用した手口で、この攻撃は2024年の秋頃から顕在化。同年12月には警察庁が、“今、企業の資産(法人口座)が狙われている!!”と、警鐘を鳴らしていたものです。
※フィッシング(phishing):メールやSMS(ショートメッセージ)などで不正なサイトに誘導し、金融機関に登録した認証情報や企業システムのアカウントなどを盗み取る攻撃。
ボイスフィッシングに対する注意勧告の一部 出典:警察庁 「サイバー警察局便り」
今回の被害が表面化した前後から、東京信用金庫やきらやか銀行、三十三銀行、PayPay銀行、第四北越銀行、秋田銀行、鶴岡信用金庫、住信SBIネット銀行など、全国の地方銀行、信用金庫などの金融機関が、ボイスフィッシングに対する警戒を促しています。
自動音声を起点に混乱を誘う
メガバンクに比べると、法人口座の数と預金総額も小規模の地方金融機関の場合、サイバー犯罪が起きても、新手の手口が使われていたり、巨額の被害が出ていたりしなければ、大きな動きになることは少ないのですが、今回のように全国の組織が注意を呼びかけたということは、この時期に攻撃が多発していたと考えて間違いないでしょう。
攻撃の流れを以下に示します。手口の特徴は、自動音声と電話による直接の対話、メールを使い分けていた点にあります。
1.金融機関を騙る自動音声の電話で、インターネットバンキングにおける法人口座の契約者情報の更新を求める
2.ガイダンスに従って応答すると、攻撃者からの直接の電話に切り替わる
3.メールアドレスを求められ、伝えるとフィッシングサイトのURLを記したメールが届く
4.サイトに法人名や契約者IDなどを入力すると、攻撃者が電話で送金の確認などに必要な認証情報の登録を指示
5.攻撃者は4.で窃取した情報を使って口座にアクセスし不正送金を完了
山形の被害総額は10億円
被害が表面化している山形では、山形銀行を装う自動音声に第三セクターの山形鉄道が応じて1億円を超える被害が発生しました。地方紙と地元局が3月中旬までに伝えたところによると、10社前後が警察に被害届けを出しており、被害総額は10億円近くに達するとされています。
香川の事件は、製造業の会社が信用金庫の職員を名乗る人物の指示を受け、伝えられたサイトから入力したパスワードなどの認証情報を盗まれ、約5,000万円が不正に送金されました。香川県では高松市を中心に、同様の手口が100件以上確認されており、金融機関と警察が注意を呼びかけています。
年度替わりの繁忙期を狙う?
今回、偽装された地銀をはじめ、警戒を呼びかけた金融機関の多くは、“当行から電話や電子メールなどで、インターネットバンキングの契約者情報を問い合わせることは一切ない”というメッセージを発しています。
このような情報が周知されていれば、今回のような犯罪は成り立ちません。しかし、大手企業や公共機関の経理部門などで、銀行と日常的に接しているスタッフなら猜疑心を懐くとしても、中小企業でいくつもの業務を兼任している人は、簡単には犯罪と見抜けないでしょう。
前述した地方紙によると、被害を受けた組織の担当者は、“ネット銀行が使えなくなると困る”という焦りから、自動音声とその後の指示に従ってしまったとされています。無機質な自動音声は感情が入り込む余地が少ないため、契約者情報の更新という定期的な事務作業の入口として、警戒心を抱かせない効果もありそうです。
電話を受けた側が指示に従った背景には、金融機関の社会的信用もあったはずです。そしてこの時期に攻撃が集中したのは、多くの企業も金融機関も年度替わりの繁忙期、担当者の異動も重なって慌ただしい日々を狙った可能性は高く、国内のビジネス事情も考慮した周到な犯罪と言えます。
フィッシングが鎮静化しない二つの理由
法人を狙うフィッシングは、今回のような不正送金以外にも多発しています。
ここ数年で増加しているのは、企業社会での依存度が高まったクラウドサービスを狙う攻撃。Microsoft 365などのクラウド側に機密情報が集中する組織は多く、Microsoft社や企業の管理部門などを騙ってサービスを使うための認証情報を盗む手口は頻発しています。
一定の準備が必要で難易度が高いため、攻撃が起きる頻度は低いのですが、経営層など特定の標的を槍(スピア)で突くように狙い、企業システムへのログイン情報や業務上の機密を騙し取るスピア・フィッシングのような手口も深刻な被害を出しています。
古典的なサイバー犯罪と言えるフィッシングが鎮静化しない理由は、まず今回の金融機関を狙った事件にも当てはまりますが、人の知識と経験の不足、ちょっとした勘違いやミスを突くことです。フィッシング対策の教育を実施している企業でも、ヒューマンエラーをゼロにするのは困難です。
フィッシング報告件数とインターネットバンキングでの不正送金被害額
もう一つの理由は、攻撃側の手口も日々進歩している点が挙げられます。
ここ数年の動きとして、攻撃の分業化があります。ランサムウェア攻撃は、プログラム生成、不正侵入とデータの暗号化、身代金の取り立てなどの作業を分化して提供するRaaS(Ransomware as a Service)という攻撃の基盤が存在しますが、この分野もPhaaS(Phishing as a Service)という形で役割分担が進みました。
偽サイトの構築、標的企業のリスト化、メールの作成、攻撃の実行など、ダークウェブでタスクやツールの供給、そして実行犯の募集も行われています。フィッシング自体は、マルウェアの生成・管理などに要する専門知識が不要なため、もともと参入障壁は低かったのですが、PhaaSのような基盤ができたことで、攻撃初心者の大量参入も懸念されます。
侮れない攻撃側の情報力
フィッシング対策協議会や情報処理推進機構(IPA)など、フィッシング対策を呼びかけてきた業界団体では、攻撃側の技術が進歩した近年は、偽サイトと巧妙なフィッシングメールは、専門家でも簡単には見破れないと警鐘を鳴らしています。
犯罪を助長する環境も整い、例えば、不正送金の受け皿になる金融機関の口座はダークウェブで入手できます。また不正に得た資金は、“出し子”がATMから出金する方法から、匿名性が高い暗号資産に換金して洗浄する手口に進化しました。
インターネットバンキングにおける不正送金が増加した要因
出典:警察庁 「令和6年におけるサイバー空間をめぐる脅威の情勢等について」
情報力のアップも侮れません。前半で触れた地銀を騙った自動音声は、企業のサイトなどで公開していない部署の電話番号にもかかったとされています。攻撃リストを作るグループが何らかの方法で集めたデータをPhaaSに流した可能性もありそうです。
多層型の防御でフィッシング被害を防ぐ
法人におけるフィッシング対策は、繰り返し注意喚起されてきた点ですが、やはり基本の実践とその繰り返しに行き着きます。
・知らない番号からの発信はすぐに信用しない
・特に金融機関が関係する連絡は、代表番号や問い合わせ窓口に確認を
・メール記載のリンクからはアクセスしない -公式サイトか公式アプリを使う-
従業員・職員の個々の行動に加えて、法人は以下の方法でリスクの低減が求められます。
・不審なメールをブロックするメールセキュリティシステムの稼働
・認証情報をガードする多要素認証の追加
・従業員・職員に対する定期的なトレーニングの実施
自社システムやクラウドサービスへのログイン時の認証を強化する多要素認証は、不正利用のリスクを大幅に下げますが、ワンタイムパスワードなどの認証要素を盗み取るリアルタイム型フィッシングという手口も確認されているため、100%のブロックは保証されません。
リアルタイム型フィッシングの攻撃手口
出典:警察庁 「令和6年におけるサイバー空間をめぐる脅威の情勢等について」
フィッシング対策でも、複数の角度からガードを固める多層型防御の考え方が有効です。上記した以外にも、マルウェアの自動検出、社内システムにおける不審な振る舞いを検知するログの定期チェック、そして非公開の電話番号や従業員リスト、自社を騙った偽サイトの存在など、自社に関する情報の流通を検知するダークウェブモニタリングのようなツールも安全強化に欠かせません。このような技術・手法を適切に配置し、フィッシングメールやボイスフィッシングの受信、そして万一、フィッシングを起点に攻撃を受けたときの早期対応に備えてください。
