セキュリティ組織の米サンズ・インスティチュートは2008年9月8日、公式ブログにおいて、電話を使ったフィッシング詐欺「音声フィッシング(ボイスフィッシング、ビッシング)」の手口が巧妙化しているとして注意を呼びかけた。

 フィッシング詐欺とは、実在する企業/組織をかたる偽メールを送信し、その企業などが運営するWebサイトそっくりの偽サイトへ誘導し、個人情報を入力させて盗むネット詐欺のこと。2004年ごろに出現し、現在までに多くの被害をもたらしている。

 2006年の中ごろからは、電話を使ったフィッシング詐欺が出現し始めた。音声(voice)を使ったフィッシング(phishing)なので、「ボイスフィッシング(voice phishing)」や「ビッシング(vishing)」などとも呼ばれる。

 音声フィッシングの典型的な手口は、金融機関などをかたる偽メールを不特定多数の送信し、メール中の電話番号に連絡して確認の手続きをしないと、口座を閉鎖するなどと脅かすもの。逆に、連絡をすれば何らかの特典を得られるとするものもある。

 そして、電話をかけると自動応答のメッセージが流れ、電話の番号ボタンを使って口座情報やパスワードなどを入力させようとする。本物の金融機関が使っている自動応答メッセージを“流用”する場合もあるので、メッセージだけから本物かどうかを判断することは難しい。

 このため、電話をかける前に、メールに記載された電話番号かどうかを確認することが「音声フィッシング対策」となる。実際、多くのユーザーは、確認作業を行うだろうとしている。

 ただしユーザーの多くは、検索サイトを使って電話番号の正当性を確認する可能性が高い。偽メールがかたる企業名や電話番号などで検索をかけて、上位に表示されたWebページを判断材料にするだろう。攻撃者は、これを逆手に取る。

 まず、偽の電話番号を掲載した偽のWebページを用意。SEOを駆使して、偽メールに記載した電話番号やその企業/組織名で検索した場合に、その結果の上位に表示されるようにしておく。こうしておけば、検索サイトで確認したユーザーはまんまとだまされる危険性が高い。実際、セキュリティ企業の米ウェブセンスは、中国のユーザーをターゲットとしたこの手口を最近確認している。

 これらの手口に加え、本物の企業/組織サイトが不正アクセスされて、Webページに記載された電話番号を改ざんされる恐れもあるという。この手口を使った攻撃は確認されていないものの、正規サイトへの攻撃が相次いでいる現状では、実際に起こり得るとして、サンズのスタッフは警告している。

 音声フィッシングにだまされないためには、特定の検索サイトの結果だけをうのみにしないことが重要だとしている。複数の検索サイトの結果や、その企業/組織の印刷物、電話番号案内サービスといった複数の情報源から入手した電話番号を比較した上で、その真偽を判断することを勧めている。