ビッシングとは

ビッシングの仕組み：手法と戦術

ビッシング攻撃は、テクノロジーとソーシャル エンジニアリングを組み合わせて人間の弱点を突くため、ますます高度になっています。ビッシング攻撃に用いられる最も一般的な手法と戦術の一部を以下に紹介します。

発信者番号の偽装

攻撃者は通信システムを操作して発信者番号を改ざんし、銀行や政府機関、さらには同僚などの信頼できる発信元からの電話に見せかけます。この戦術はやりとりに信憑性を与えることで、ターゲットの防御力を低下させます。発信者番号に関連付けられた従来の認証方法の信頼性が低下していることから、より高度な本人確認手段が強く求められるようになっています。

プリテキスティング

プリテキスティングでは、攻撃者が信憑性の高い「作り話」をねつ造し、被害者に機密情報を開示させます。例えば、偽の銀行からの詐欺の警告や、カスタマー サポート サービスからのアカウント認証を求める電話などが挙げられます。攻撃者は状況が緊迫しているように見せかけたり、権威のある人物を装ったりして被害者を操り、被害者に状況の正当性を精査させないようにすることで、攻撃の成功率を高めます。AIを活用した振る舞い分析では、こうしたソーシャル エンジニアリングが本格的な侵害に発展する前にその兆候を特定できます。

VoIPの悪用

Voice over Internet Protocol (VoIP)システムにより、攻撃者はコストや労力をかけることなく世界中のどこからでも大量の通話を発信できるようになりました。VoIPサービスは、従来の電話回線よりも安全性が低いことが多く、攻撃者自身の身元や所在地を隠すのに最適な手段となっています。攻撃者は人工知能を悪用することでこうした操作の自動化と拡張を行い、キャンペーンの速度と範囲を広げています。ビッシング インシデントの攻撃対象領域を減らすには、VoIP通信の保護が必須です。

自動音声応答(IVR)攻撃

自動音声応答(IVR)システムは、音声入力またはキーパッド入力でユーザーと対話する自動化システムであり、多くの組織がカスタマー サービスやアカウントへの安全なアクセスなどの幅広い用途で使用しています。これらのシステムを標的にするビッシング攻撃は、侵害されたまたは不正なIVRインターフェイスを介してユーザーをだまし、PINやパスワードなどの機密情報を入力させることを目的としています。高度な脅威検出メカニズムでは、IVRで発生する異常なパターンを監視し、これらの脅威をリアルタイムで特定して軽減できます。

AIを悪用したフィッシング攻撃

サイバー攻撃の世界では人工知能(AI)の兵器化が進んでおり、警戒心の非常に強いユーザーでさえもあざむかれるような巧妙な手法が増加しています。フィッシングに関しては、AIによって大規模なフィッシング キャンペーンが可能になるだけでなく、ターゲットに合わせたメッセージを作成してより効果的に操作できるようにもなるため、ビッシングはこれまで以上に危険なものになっています。

音声クローニング

AIを使った音声クローニングは、ビッシング攻撃を変革する存在となっています。現在、組織の重役や家族などの信頼できる個人の声を数分の録音データから再現できるようになっています。この技術によってビッシングの説得力が増すため、被害者をだまして機密情報を漏洩させたり、不正な取引を承認させたりすることができます。

ディープフェイクのビデオ通話

AIは単純な音声の操作にとどまらず、攻撃者がリアルタイムで誰かになりすますディープフェイクのビデオ通話を生成することもできます。このようなビデオベースのビッシング攻撃は、バーチャル会議中の視覚的な手がかりを信頼の根拠とすることが多いリモート ワーク環境で特に効果を発揮します。攻撃者は既知の人物の外見や声を模倣することで、非常に説得力のあるソーシャル エンジニアリング スキームを構築しています。

ロボコール

AIによるロボコールは、これまでの単純な自動メッセージから、人間の会話を模倣した動的な対話へと進化しました。ロボコールは自然言語処理(NLP)を使用して、相手に適した応答を生成するため、対話がよりリアルに感じられます。そのため、攻撃者はビッシングを拡大し、短期間で数百人や数千人の潜在的な被害者に到達することができます。

AIを悪用したデータ マイニングによる標的型ビッシング攻撃

AIは、ソーシャル メディアのプロファイルや組織のWebサイト、漏洩したデータベースなど、公開されている膨大なデータをふるいにかけ、高度に標的を絞ったビッシング攻撃を生成できます。攻撃者は潜在的な被害者に関する情報を細かく収集することで、パーソナライズされた説得力のあるビッシングを生み出し、攻撃の成功率を上げています。その結果、被害者の特定の状況や関係性を悪用した、より標的を絞った攻撃が増加しています。

AIが進化し続けると同時に、こうした高度なビッシング技術によってもたらされる脅威も進化しているため、これらの新たなリスクを検出して阻止できるAI活用型のセキュリティ ソリューションを採用して、攻撃者の一歩先を行く必要があります。

以上の手法を理解することで、特に攻撃手法が進化し続ける現在、ビッシングに関連するリスクをより適切に予測し、軽減することができます。

ビッシングの脅威が増大している理由

ビッシングが増加した理由として挙げられるのが、サイバー犯罪の巧妙化とモバイル通信の普及です。攻撃者は、高度なソーシャル エンジニアリングで人間の脆弱性を突き、従来のセキュリティ対策を回避しています。また、さまざまなデジタル手段による相互接続とリモート ワークの増加により、電話で個人を操作して機密情報を開示させる新たな機会も増えています。

さらに、大量の個人情報がオンラインで入手できるため、攻撃者は標的を絞った非常に説得力のあるビッシングを生成するようになっています。正当性を装うのに十分な個人情報を簡単に収集できるため、最も警戒心の強い個人でさえも詐欺の検出が難しくなっています。AI技術が進歩するにつれ、攻撃者自身も機械学習や音声合成ツールを駆使して、信頼できるエンティティーの非常にリアルななりすましを作成しています。これは、組織や個人に大きな脅威をもたらします。実際、過去1年間でAIによるフィッシング攻撃(ビッシングを含む)は60%増加しています。

実例

高度なビッシング キャンペーンは世界中で拡大しつつあります。サイバー犯罪者は心理学とテクノロジーを使用してターゲットをあざむき、リテラシーの高い人物が相手でも、数百万ドルをだまし取る場合があります。例えば、韓国ではビッシング攻撃が急増しており、2022年8月には、ある医師が現金、保険、株式、仮想通貨で合わせて300万ドル相当の被害を受ける事例も確認されています。この事例では、詐欺師は韓国の地方の法執行機関の職員になりすましていました。なお、ThreatLabzでは、2023年、極めて身近なところでビッシング攻撃を確認(および阻止)しています。

別の例では、香港のある財務担当者が2,500万ドルを支払いました。これは、ディープフェイクの「最高財務責任者」とビデオ会議で通話した結果、発生しました。攻撃者はこの担当者をだましてビデオ通話に参加させました。担当者は他に数人のスタッフが参加していると思っていましたが、実際にはディープフェイクで再現された人物とのビデオ通話に参加させられていたのです。

2023年夏、攻撃者はAI技術を使用してZscalerのCEOであるJay Chaudhryになりすまし、ビッシング攻撃を実行しました。この攻撃の流れは以下のとおりです。

1. 攻撃者がWhatsAppでZscalerの従業員に電話をかける。
2. 攻撃者はAIによる音声クローニングを使用してJayの声を模倣。長いやり取りやなりすましの発覚を避けるため、コミュニケーションが成立するとすぐに電話を切る。
3. 攻撃者はJayを装ってその後すぐにテキスト メッセージを送信し、「ネットワークの状態が悪い」とフォローを入れる。
4. 攻撃者はWhatsAppのテキスト メッセージで、相手のZscaler従業員に特定の金額のギフト カードの購入を指示。
5. 従業員はこれを不審に思い、直ちにセキュリティ部門に報告する。
6. ThreatLabzの調査チームが調査を行い、複数のテクノロジー企業を標的とした広範なキャンペーンの一環であることが判明。

増大する脅威への対抗力を高めるには、従来の防御策を超えるサイバーセキュリティへと進化させなければなりません。疑わしいパターンをリアルタイムで検出し、きめ細かなレベルでリスクを評価できるAI活用型のシステムが不可欠になりつつあります。高度なリスク管理機能を統合すれば、巧妙化が進むビッシング スキームの被害を防ぎ、自社と従業員をより適切に保護することができます。

一般的なビッシングのシナリオ

ビッシング攻撃にはさまざまな形態があり、それぞれが信頼を悪用し、被害者に機密情報を共有させるように設計されています。ここでは、サイバー犯罪で使用される最も一般的な戦術をいくつか紹介します。

• 銀行詐欺：銀行の担当者を装った人物がターゲットに電話をかけ、アカウントが侵害されたと話します。個人情報を提供するように圧力をかけ、「安全な」アカウントに資金を送金させようとまでします。
• テクニカル サポート詐欺：攻撃者は信頼できる組織のテクニカル サポート担当者になりすまし、被害者のデバイスにマルウェアが侵入したと警告します。そして、その問題を「解決」するためのリモート アクセスを要求します。しかし、実際にはデータの窃取や悪意のあるソフトウェアのインストールを実行するための策略です。
• IRS/税金詐欺：攻撃者はIRSや税務当局の担当者をかたり、未払いの税金の請求を支払わない限り、逮捕や法的措置を取ると脅します。多くの場合、ギフト カードや電信送金などの追跡不可能な方法による支払いが要求されます。
• CEO詐欺(ビジネス メール詐欺):攻撃者は上級管理職になりすまして従業員を標的にし、緊急の電信送金や社内の機密情報の開示を指示します。多くの場合、一刻を争う緊急事態を装います。

ビッシング、フィッシング、スミッシングの違い

ビッシング、フィッシング、スミッシングの3種類の攻撃はいずれも、被害者を操って機密情報を漏洩させることを目的としたソーシャル エンジニアリング攻撃です。主な違いは、配信方法と人間の信頼を悪用するための具体的な戦術です。これらの違いを理解することは、特にサイバー犯罪の技術が進化し続けるなか、堅牢で予防的なセキュリティ戦略を策定するために欠かせません。

フィッシング

フィッシングはおそらく最もよく知られている攻撃で、通常は正当な企業や政府機関、信頼できる個人などを装った詐欺メールが使われます。ほとんどの場合、ログイン認証情報や財務情報などの機密情報を盗むことを目的としています。

フィッシングでは切迫感や恐怖心を悪用して、被害者に不正なリンクをクリックさせたり、感染した添付ファイルをダウンロードさせたりします。メールはプライベートでも仕事でも主要なコミュニケーション ツールであるため、フィッシング攻撃は広範囲に及んでおり、早期に発見されなければ壊滅的な被害をもたらす可能性があります。

スミッシング

スミッシングはフィッシングの最近の進化形で、SMSやテキスト メッセージを通じて個人を標的とします。スミッシング メッセージはフィッシング メールと同様に、銀行や配送サービス、同僚などの信頼できる送信元から送られたように見えることが多く、通常は悪意のあるリンクや機密情報の共有を促す内容が含まれています。

この方法はテキスト メッセージの即時性と手軽さを悪用しているため、ユーザーは疑うことなくすぐに応答する可能性が高く、特に危険です。スマートフォンが普及し、SMSでのやりとりが増えていることから、スミッシング攻撃が急増しています。

ビッシング

この記事で前述したように、ビッシングは通常は電話による音声通信によって被害者を操作します。攻撃者は、テキストやAIによる音声クローン技術を通じて、税務当局などの権威者やテクニカル サポート担当者、さらには困窮している家族になりすますことができます。

この攻撃の目標はフィッシングやスミッシングと同じで、パスワードやクレジット カード番号などの機密情報を盗むことや、資金移動などの特定の行動を取らせることです。ビッシングには、リアルタイムに会話して人間の心理を直接悪用するというレイヤーが加わるため、一旦立ち止まり、状況を客観的に見ることが難しくなっています。

攻撃ベクトルと戦術の主な違い

フィッシングは、メールを主な攻撃手段として使用しており、書面によるコミュニケーションを通じて被害者をだまします。攻撃者は正当な組織を装うために、巧妙に作成されたメール テンプレートやロゴを使用します。これらのメールには通常、悪意のあるリンクや添付ファイルが含まれており、そこをクリックまたはダウンロードすると受信者のシステムの脆弱性が悪用されます。

スミッシングは、簡潔で緊急性を伝える手段であるSMSの特性を悪用します。メッセージには、悪意のあるリンクを隠すための短縮URLが含まれている場合があります。モバイル デバイスはユーザーの日常生活に深く組み込まれているため、自分の個人用デバイスで受信したメッセージは信頼されやすい傾向があります。

ビッシングは、音声の対話を利用するため、テキストでは簡単に伝わらないプレッシャーや感情操作のレイヤーが追加されます。攻撃者は電話番号を「偽装」するなどして、政府機関や有名な機関などの正当な発信元から電話がかかってきたように見せかけることがあります。

ビッシングから個人と組織を保護する方法

巧妙化が進むビッシング攻撃ですが、ここではそのリスクを軽減するために組織ができる取り組みを紹介します。適切な施策を実施すれば、音声ベースのフィッシングの脅威から個人と企業の情報を確実に保護することができます。

セキュリティ意識向上トレーニング

ビッシング攻撃の手口を従業員に定期的に教育することが非常に重要です。包括的なトレーニング プログラムを実施することで、従業員は一方的な電話や圧力をかける戦術、機密情報の要求などの危険な兆候を認識することができます。攻撃の成功を防ぐには、危険を認識することが第一の防御線となります。

発信者を認証する手順

発信者を認証する厳格な手順を実装することで、ビッシングの被害に遭う可能性を減らすことができます。従業員は機密情報を共有する前に、公式の番号に電話をかけ直す、または多要素認証(MFA)で発信元を確認するなどの検証手順に従うようにしてください。

スパム対策技術の使用

AIによるスパム対策と通話フィルタリングの技術を活用することで、不審な電話や一方的な電話がかかってくる前にブロックできます。これらのツールはパターンを分析し、潜在的なフィッシングを検出するため、ビッシング攻撃に対する保護レイヤーが追加されます。

インシデント対応計画

ビッシング攻撃がすり抜けた場合の被害を最小限に抑えるためには、堅牢なインシデント対応計画を立てる必要があります。明確な手順を用意して、不審な電話の報告と潜在的な侵害の調査を行うことで、脅威を封じ込めるための迅速な行動を取れるようにします。

AIセキュリティと脅威インテリジェンス

AI活用型のセキュリティ ソリューションを組み込めば、ビッシング キャンペーンをリアルタイムで検出して対応する組織の能力が向上します。これらのシステムは脅威インテリジェンスを活用することで、新たなビッシングの手法を特定し、脅威の状況の変化に応じて進化する予防的な防御を実現します。

今後の展望：多層型のゼロトラスト アプローチの重要性

フィッシング、スミッシング、ビッシングはすべて、サイバーセキュリティの最も弱い部分である人間の行動を悪用します。これらの脅威に効果的に対抗するにはゼロトラスト アプローチを採用して、信頼できる通信、プラットフォーム、ユーザーは一切存在しないと考える必要があります。

このパラダイム シフトには、AIを活用した監視、継続的な認証、エンドポイント保護を統合した多層型の防御戦略が必要です。ユーザーの教育と最先端のテクノロジーを組み合わせることで、攻撃者の一歩先を行き、ソーシャル エンジニアリングの被害に遭うリスクを大幅に減らすことができます。

進化する脅威に先んじるために、防御も進化させる必要があります。すべてのメール、SMS、電話に対して常に懐疑的な視点を持ち、慎重に対応することが重要です。フィッシング、スミッシング、ビッシングには固有の特徴があり、それぞれがもたらす脅威に対処するのは簡単ではありません。しかし、AIで強化された統合セキュリティ戦略を採用することで、これら3種類の攻撃すべてがもたらすリスクを軽減し、より回復力のある安全なデジタル環境を構築できます。

Zscalerのソリューション

進化する脅威から組織を効果的に保護するには、フィッシングを防ぐ高度な制御を組織のゼロトラスト戦略に統合する必要があります。この防御戦略の最前線にあるのが、堅牢なゼロトラスト アーキテクチャー上に構築されたZscaler Zero Trust Exchange™です。

Zero Trust Exchangeは、サイバーセキュリティに対する包括的なアプローチを採用して以下のことを実現し、攻撃チェーンの複数の段階にわたって、従来のフィッシング攻撃とAIを悪用したフィッシング攻撃のいずれをも効果的に阻止します。

フィッシングとC2をAIで防止

ZscalerのAIモデルは、既知のフィッシング サイトとゼロ号患者のフィッシング サイトを検出して認証情報の盗取やブラウザーの悪用を防止するとともに、トラフィック パターン、動作、マルウェアを分析して、新たなコマンド＆コントロール(C2)のインフラをリアル タイムで検知します。

ファイルベースのAIサンドボックスで防御

AIを活用するインラインのZscaler Sandboxは、従業員の生産性を維持しながら、悪意のあるファイルを速やかに検出します。ZscalerのAIによる即時判定技術は、ゼロデイ脅威を含む精度の高い有害なファイルを速やかに識別し、隔離して防止するため、ファイルが分析されるのを待つ必要がありません。

Web脅威をAIでブロック

AI活用型のZscaler Browser Isolationは、ゼロデイ脅威をブロックしながらも、業務上必要なサイトには適切にアクセスできるようにします。ZscalerはAIを活用したスマートな分離機能で危険なサイトを特定し、ユーザーを隔離してそのサイトを開き、コンテナー化された安全な環境でピクセルデータをストリーミングします。

Zscalerの強力なフィッシング防御の機能については、Zscalerの専門の担当者によるデモをご依頼ください。ZscalerがAIベースの最先端の脅威からどのように保護するかをご紹介します。

Zscalerの2025年のサイバーセキュリティの予測で、ビッシングの増加が見込まれる理由をご確認ください。