銀行を名乗って企業に電話をかけ、手続き名目でメールアドレスを聞き出した上で偽メールを送ってIDやパスワードを盗み取る「ボイスフィッシング」という新たな手口が確認されていることが、警察庁への取材で分かった。最初に電話をすることで、偽メールの信憑性(しんぴょうせい)を高めているところが特徴。警察庁は銀行に対策を依頼するとともに注意を呼びかけている。
巧妙な手口
「○○銀行です。ネットバンクの電子証明書の更新手続きが必要です」
こうした電話がかかってくるのは企業の窓口。「更新用のリンクを送るので、メールアドレスを教えてください」という相手にアドレスを教えてしまえば、実際にそれらしい偽メールが届く。
電話でやりとりに沿っているため、信じ込んだ担当者は言われるままにメールに書かれたURLを開く。この時点でマルウェアに感染させられたり、インターネットバンキングのパスワードなどを入力してしまえばそれを悪用される。
昨秋から急増
偽サイトのURLを添付したメールが送って偽のウェブサイトに誘導し、情報を盗み取るフィッシングは広く知られているが、警察庁によると昨秋ごろから、金融機関を名乗る偽電話を伴ったフィッシングの手口が、数十件報告されるようになったという。
警察庁の担当者は「知らないアドレスからのメールに注意している人は多いが、一度電話でその件について話しているため、疑いにくくなるという巧妙な手口だ」と話す。
警察庁は既に銀行などに対策を依頼。取引先企業に対し、そうした電話をかけることはない旨を通知してもらった結果、被害報告は急減したというが、担当者は「攻撃がこれで終わるかは分からない。かかってきた番号が本当に銀行のものか直接代表番号に問い合わせて確認するなど、対策を取ってほしい」と呼びかけている。
届け出は10年で75倍
フィッシング対策協議会に寄せられたフィッシング情報の届け出件数は平成26年には約2万件だったが、令和5年には約120万件にまで増加。6年も11月までで約149万件と、既に前年超えとなっている。
フィッシングを仕掛ける犯人側は、盗み取った認証情報を使ってネットバンキングの口座から不正送金したり、勝手に買い物をしたりする。
警察庁によると、ネットバンキングの不正送金被害は平成30年には4・6億円だったが、令和5年には87・3億円にまで増加。6年は上半期で24・4億円と、高い水準が続いている。
スマートフォンのSMS(ショートメッセージサービス)を使った「スミッシング」や、交流サイト(SNS)のダイレクトメッセージ機能を使う手口、システム管理者など特定の人物を狙って次の攻撃につなげるものなど、さまざまな種類がある。新手口が次々に登場しており、警察当局や企業が警戒を強めている。(橋本昌宗)