ボイスフィッシング被害急増！金融機関を装った電話詐欺から身を守る最新対策

bgt?aid=250609106691&wid=001&eno=01&mid=s00000005993007035000&mc=1

金融機関を狙った新たな脅威「ボイスフィッシング」とは
実際の被害事例から見る攻撃手口の巧妙化
1. 琉球銀行の事例：被害総額約1億円
2. 山形鉄道の被害：約1億円の損失
生成AIを悪用した新たな脅威
個人・企業ができる効果的な対策
被害に遭った場合の対応
今後の展望と継続的な対策
一次情報または関連リンク

金融機関を狙った新たな脅威「ボイスフィッシング」とは

最近、銀行などの金融機関を装った電話による詐欺「ボイスフィッシング（ビッシング）」の被害が急速に拡大しています。2025年に入ってから琉球銀行、山形銀行、筑波銀行など複数の金融機関で被害が確認されており、その被害総額は1件につき数千万円から1億円規模に達しているケースも報告されています。

ボイスフィッシングは、従来のメールを使ったフィッシング詐欺とは異なり、電話を使って直接被害者とコンタクトを取る手法です。攻撃者は自動音声システムや生成AIを活用して、まるで本物の銀行員のように振る舞い、企業の担当者から口座情報やログイン情報を巧妙に聞き出します。

実際の被害事例から見る攻撃手口の巧妙化

琉球銀行の事例：被害総額約1億円

琉球銀行では、法人ネットバンキング「りゅうぎんBizネット」を標的としたボイスフィッシング攻撃により、複数の企業が被害に遭いました。最大被害額は約5000万円、総被害額は約1億円に上るという深刻な状況です。

攻撃者の手口は非常に巧妙で、以下のような複数のパターンが確認されています：

パターン1：ヘルプデスクなりすまし
攻撃者は琉球銀行のヘルプデスクを装い、「登録情報の更新が必要」という名目で自動音声電話をかけ、担当者からIDやパスワードを直接聞き出しました。

パターン2：偽サイト誘導型
銀行の担当者になりすまして電話をかけ、担当者のメールアドレスを聞き出した後、そのアドレス宛てに偽サイトのURLを送信。偽サイト上で契約情報を入力させる手口も確認されています。

山形鉄道の被害：約1億円の損失

地方鉄道会社である山形鉄道も、同様の手口により約1億円もの被害を受けています。この事例からも分かるように、ボイスフィッシングの標的は金融機関だけでなく、一般企業にも広がっていることが明らかです。

bgt?aid=250609106868&wid=001&eno=01&mid=s00000012042012010000&mc=1

bgt?aid=250609106866&wid=001&eno=01&mid=s00000016565003012000&mc=1

生成AIを悪用した新たな脅威

最近の攻撃者は、生成AIを悪用してより巧妙な手口を編み出しています。特に注目すべきは「社長の声を生成AIで学習」するという手法です。

この手法では、攻撃者が事前に企業の社長や幹部の声を録音・学習し、生成AIを使って偽の音声を作成します。そして、その偽音声を使って従業員に電話をかけ、「緊急の資金移動が必要」などと指示して不正送金を実行させるのです。

現役のCSIRTアナリストとして多くの企業のインシデント対応に携わってきた経験から言えば、この手法は特に中小企業にとって非常に危険です。なぜなら、従業員が社長の声を聞き慣れており、疑うことなく指示に従ってしまう可能性が高いからです。

個人・企業ができる効果的な対策

基本的なセキュリティ意識の向上

まず重要なのは、従業員一人ひとりのセキュリティ意識を高めることです。以下のポイントを必ず覚えておいてください：

金融機関は電話で口座情報を聞かない：正規の金融機関が電話でパスワードやIDを聞くことは絶対にありません
緊急性を煽る電話は要注意：「今すぐ」「緊急」といった言葉で急かす電話は詐欺の可能性が高いです
折り返し確認の徹底：疑わしい電話があった場合は、一度電話を切って公式の連絡先に確認を取りましょう

技術的な対策の導入

個人や中小企業でも導入できる技術的な対策として、以下のようなものがあります：

1. 総合的なセキュリティソフトの導入
包括的なアンチウイルスソフトを導入することで、フィッシングサイトへのアクセスをブロックしたり、怪しいメールやURLを事前に検知したりできます。最新のアンチウイルスソフトには、AIを活用した高度な脅威検知機能も搭載されており、従来の手法では検知が困難な新しいタイプの攻撃にも対応可能です。

2. VPNによる通信の暗号化
企業の重要な通信には VPN を活用しましょう。VPN を使用することで、万が一偽サイトにアクセスしてしまった場合でも、通信内容が暗号化されるため、情報漏洩のリスクを大幅に軽減できます。

組織的な対策の確立

企業としては、以下のような組織的な対策を講じることが重要です：

多重認証の導入：ネットバンキングには必ず多要素認証を設定する
権限分散：大額の送金には複数人の承認を必須とする
定期的な訓練：模擬的なフィッシング攻撃を実施し、従業員の対応力を向上させる
インシデント対応計画：被害に遭った場合の対応手順を事前に策定しておく

被害に遭った場合の対応

万が一ボイスフィッシングの被害に遭ってしまった場合は、迅速な対応が被害を最小限に抑える鍵となります：

即座に金融機関に連絡：不正送金の疑いがある場合は、すぐに利用している金融機関に連絡して口座を凍結してもらいましょう
警察への届出：サイバー犯罪相談窓口や最寄りの警察署に被害届を提出します
証拠保全：通話記録、メール、アクセスログなど、関連する証拠をすべて保存してください
システムの緊急点検：マルウェア感染の有無など、システム全体のセキュリティ状況を点検します

今後の展望と継続的な対策

ボイスフィッシングは今後さらに巧妙化していくことが予想されます。生成AIの技術進歩により、人間が見分けることが困難なレベルの偽音声が作られる可能性もあります。

そのため、セキュリティ対策は一度導入すれば終わりではなく、継続的なアップデートと見直しが必要です。最新の脅威情報を常にチェックし、対策を適宜更新していくことが重要です。

また、個人レベルでもアンチウイルスソフトや VPN などのセキュリティツールを定期的に更新し、最新の脅威に対応できる状態を維持することが大切です。

ボイスフィッシングは「人の心理」を巧妙に突いた攻撃手法です。技術的な対策と併せて、人的な対策も充実させることで、より強固なセキュリティ体制を構築できるでしょう。