その電話、本当に銀行?「認証コードを読み上げて」「至急折り返しを」の一言で迷ったら、それはビッシングかもしれません。
本記事は、見抜き方と“いったん切る→公式で確認”の黄金ルール、リバースビッシングの罠、被害時の連絡先までを、初心者にも分かる手順とチェックリストで解説します。
この記事は以下のような人におすすめ!
- ビッシングとは何か知りたい人
- どのようにビッシングを対策をすればよいか知りたい人
- ビッシングか本物の連絡か判別できず不安な人
目次
ビッシングとは何か?その定義と仕組み
「ビッシング」とは、電話や音声通話を使って個人情報や金銭、ワンタイムパスワードなどをだまし取る詐欺手口のことです。
つまり、メール中心のフィッシングの音声版であり、発信番号の偽装や自動音声、巧みな話術を組み合わせて被害者の警戒心を下げるのが特徴です。
したがって、ビッシングを正しく理解することは、フィッシング全体への防御力を高める近道になります。
1-1. ビッシングの定義(ボイス+フィッシング)
1-1-1. ビッシングの基本定義
ビッシングは「Voice(音声)+Phishing(詐取)」の造語で、電話回線や通話アプリを使ったソーシャルエンジニアリングです。
攻撃者は、銀行や宅配業者、官公庁、ECサイトのサポートなど「もっともらしい肩書き」を名乗り、本人確認やトラブル解決を口実に、口頭での情報提供や指定サイトへのアクセス、折り返し電話を促します。
なぜなら、音声は相手の感情に直接働きかけやすく、緊急性を演出しやすいからです。
1-1-2. 典型的なシナリオ(初心者向け例)
- 事前アラート型:
自動音声で「口座が不正利用されています。至急1を押して担当につないでください」と促し、担当者役が登場。カード番号やワンタイムパスワードを聞き出す。 - サポート偽装型:
「PCがウイルス感染しています」と不安を煽り、遠隔操作ツールのインストールやサブスク決済を誘導する。 - 返電誘導(コールバック)型:
SMSやメールで「至急お電話ください(公式風の番号)」と送り、被害者自らが偽コールセンターへ電話してしまう。
このように、流れはシンプルです。つまり「恐れや焦りを作る」→「正当な手続きに見せる」→「機密を口頭で取得する」または「危険な操作を誘導する」という段階を踏みます。
1-1-3. よく狙われる情報
- クレジットカード番号、有効期限、セキュリティコード
- 銀行口座情報、振込に必要な情報
- ワンタイムパスワード(MFAコード)やパスワードのリセットコード
- 個人情報(氏名、住所、生年月日、社員ID など)
- 端末の遠隔操作権限(サポートを装うケース)
その結果、クレジットカードの不正利用やアカウント乗っ取り、社内システムへの侵入に発展します。
1-1-4. なぜビッシングが効くのか(心理トリガー)
- 緊急性の演出:今すぐ対応しないと「損をする/罰せられる」と思わせる。
- 権威性の利用:銀行や公的機関の名を出し、逆らいにくい空気を作る。
- 返報性の錯覚:丁寧な対応や小さな助けを先に示し、お願いを通しやすくする。
- 一貫性の呪縛:一度「はい」と言うと、その後も要求を受け入れやすい。
したがって、通話では「声の圧」やトーンの演出により、メールより早く判断を誤りやすいのです。
1-2. フィッシング・スミッシングとの違い
1-2-1. 手口の違いと共通点(比較表)
以下は「ビッシング」「フィッシング(メール)」「スミッシング(SMS)」の比較です。まず全体像を把握しておくと、実際の防御策を選びやすくなります。
| 手口 | 主なチャネル | よくある誘導 | 典型的な狙い | 見分け方のポイント |
|---|---|---|---|---|
| ビッシング | 電話・通話アプリ・自動音声 | 緊急対応を装い口頭で本人確認やコード入力を求める、折り返し電話を促す | 口頭での機密情報、ワンタイムパス、遠隔操作権限 | 発信番号の偽装、急がせるトーク、口頭での情報要求 |
| フィッシング | メール | 偽物サイトへ誘導し入力させる | ID/パスワード、カード情報 | 差出人ドメイン、リンク先URL、文面の不自然さ |
| スミッシング | SMS/メッセージ | 偽の配達通知・料金未納でURLクリックを促す | ログイン情報、決済情報 | 短縮URL、差出人表示の偽装、リンク先の安全性 |
共通点は「緊急性・権威性・不安の喚起」を使うことです。
一方で、ビッシングは声による心理的圧力が強く、口頭で即時に情報を取られる点が大きな違いです。
1-2-2. ビッシング特有のリスク
- その場で口頭確認が進み、考える時間が奪われやすい。
- 発信番号の偽装により、スマートフォン画面上は正規の番号に見える場合がある。
- 会話の流れで複数の情報が連鎖的に抜かれやすい(氏名→生年月日→カード情報→ワンタイムコード)。
- 録音の可否や通話ログの追跡が難しく、被害後の立証や再現がしづらい。
だからこそ、通話で「情報を言わせる」要求には原則応じないことが有効です。
1-2-3. 逆ビッシング(リバースビッシング)にも注意
スミッシングやメールで「至急こちらへお電話ください」と誘導し、偽コールセンターへ被害者自身が電話してしまう手口です。
つまり、入り口はSMSやメールでも、決定打が電話であるため、最終的にはビッシングと同じ心理操作が行われます。
1-2-4. それぞれの初動対応のポイント
- ビッシング(電話):
一度切る→公式サイトに掲載の番号へ自分でかけ直す→口頭でコードやカード情報を伝えない。 - フィッシング(メール):
クリック前に送信元とリンク先ドメインを確認→不審なら専用窓口に転送して報告。 - スミッシング(SMS):
短縮URLは開かない→公式アプリやブックマークから直接アクセス→必要なら事業者へ迷惑SMS報告。
ビッシングの具体的な手口
ビッシングは、電話や通話アプリを使って個人情報やワンタイムパスワードをだまし取る詐欺です。
つまり、メールのフィッシングを「声」で行う手口であり、相手の感情に直接働きかけられる点が厄介です。
ここでは、ビッシングの代表的な三つの手口を、流れ・見抜き方・対策の順にわかりやすく整理します。
2-1. 自動音声や偽オペレーターでの誘導
2-1-1. 自動音声(IVR)型の典型的な流れ
- 自動音声が着信し「不正利用の疑い」「アカウント停止」と告げる。
- 「番号を押すと担当につながる」と案内される。
- 偽オペレーターへ接続され、本人確認を名目に情報を口頭で求められる。
- その場でカード番号やワンタイムパスを聞き出す、または特定サイトへのアクセスを指示する。
ポイントは、開始から数十秒で“緊急”モードに入れられ、考える余裕を奪われることです。
2-1-2. 偽オペレーターの話術パターン
- 正当性の演出:社名・部署名・社員番号を即答し、権威性を装う。
- 小出しの確認:氏名や生年月日など、無害に見える情報から積み上げる。
- 二者択一で急かす:「今すぐ停止する」か「被害を受ける」かの選択を迫る。
したがって、ここで会話を続けるほど、相手のペースに乗せられます。
2-1-3. 発信番号偽装と折り返しの罠
- 画面に正規の番号や地域局番が表示されても、発信番号は偽装できます。
- SMSやメールで「至急こちらへお電話を」と誘導し、偽のコールセンターへ“自分から”かけ直させる手口もあります。
- だから、必ず公式サイトに記載の番号を自分で調べ、そこへ発信し直す習慣が有効です。
2-1-4. その場で見抜くチェックポイント
- 口頭でカード情報やワンタイムパスを要求してこないか
- 不自然な緊急性や、即断即決を求める圧力がないか
- 「番号を押して担当へ」と機械的な誘導が続かないか
- 折り返し先の番号やURLを相手が一方的に指定していないか
2-1-5. すぐできる予防策
- 不審な通話は一度切断し、公式番号へ自分で発信し直す。
- 口頭で暗証番号やワンタイムコードは伝えない。
- 家族・社内で「電話での本人確認には応じない」ルールを明文化する。
2-2. 緊急性や恐怖を煽る話術
2-2-1. よく使われる“急がせる”フレーズ
- 「今すぐ対応しないと口座が凍結されます」
- 「〇時までに手続きしないと法的措置になります」
- 「不正ログインが発生、ただちに認証コードを読み上げてください」
このようなフレーズは、考える時間を奪い、誤った判断を引き出すためのテンプレートです。つまり、内容の真偽ではなく“時間制約”で決断させるのが狙いです。
2-2-2. 恐怖と安心をセットで使う“振れ幅戦術”
- 最初に恐怖(凍結・法的措置)を提示し、次に安心(今なら無料で解除)を示す。
- その結果、被害者は“救済”に飛びつきやすくなり、要求(コード読み上げ等)を受け入れてしまいます。
従って、恐怖→救済の二段構えが見えたら、ビッシングを疑って立ち止まりましょう。
2-2-3. 断るための短い定型文
- 「口頭での認証情報の提供は行っていません。公式窓口にこちらからかけ直します。」
- 「メールやSMSの指示には従いません。公式アプリから確認します。」
なぜなら、あらかじめ“言い回し”を準備しておくと、緊張している時でも冷静に対応できるからです。
2-2-4. 会話の主導権を取り戻すコツ
- 相手の所属・氏名・折り返し番号を求め、記録する姿勢を示す。
- 会話を一時停止し、「社内規定に従い確認します」と切断する。
- 公式アプリや会員ページで通知の有無を即チェックする。
2-3. テクニカルサポート詐欺や賞品詐欺の事例
2-3-1. テクニカルサポート詐欺のパターン
- 入口:偽警告画面や自動音声で「ウイルス感染」を告げ、電話を促す。
- 誘導:偽オペレーターが遠隔操作ツールのインストールを指示。
- 要求:サポート契約の前払い、あるいは口座・カード情報の読み上げ。
- 結末:不要な決済や情報流出、端末の乗っ取り。
つまり、技術トラブルの解決を装いながら、支払いと情報の両方を狙います。
2-3-2. 賞品・当選詐欺のパターン
- 入口:「当選しました」「特別オファーです」と電話で興奮させる。
- 誘導:「受け取りには本人確認が必要」として生年月日やカード情報を求める。
- 要求:税や手数料の名目で少額決済を迫り、継続課金に誘導。
その結果、「得する話」のはずが、気づけば定期的な引き落としに変わります。
2-3-3. 企業・組織が狙われる亜種
- ヘルプデスクなりすまし:社員IDやワンタイムコードを電話で取得し、社内システムへ侵入。
- 取引先名を使う“名寄せ”型:実在のプロジェクト名を会話に混ぜ、信頼を獲得。
- 役員なりすまし:秘書・担当者に緊急送金を指示し、承認プロセスを飛ばす。
従って、組織では「電話で認証情報を聞かない・答えない」の一本化が重要です。
2-3-4. 代表的手口の早見表
| 手口 | トリガー | 主要な誘導 | 最終的な要求 | 想定被害 |
|---|---|---|---|---|
| 自動音声→偽オペレーター | 口座凍結通知 | 担当につなぐ、口頭確認 | カード情報・ワンタイムコード | 不正送金・不正決済 |
| テクサポ詐欺 | 偽のウイルス警告 | 遠隔操作ツール導入 | 事前決済・認証情報 | 課金被害・端末乗っ取り |
| 賞品・当選詐欺 | 当選連絡 | 本人確認を口実 | 手数料支払い・個人情報 | 個人情報流出・継続課金 |
| 役員/取引先なりすまし | 緊急依頼 | 通常手順の省略 | 承認なしの送金 | 組織的な金銭被害 |
2-3-5. 迷った時の行動フロー
- 通話は一度切る。
- 公式サイトやアプリで通知の有無を確認。
- 公式番号へ自分で発信し直して事実確認。
- 不審ならメモ(日時・名乗り・内容)を取り、関係部署や家族に共有。
リバースビッシングとは?新たな手口への警戒
リバースビッシングとは、攻撃者が一方的に電話をかけてくる従来のビッシングと異なり、受け手(被害者)に「自分から電話をかけさせる」よう仕向ける手口です。
つまり、SMSやメール、偽ポップアップ、SNSのダイレクトメッセージなどで不安をあおり、「至急こちらの番号へ」「サポート窓口に連絡を」と誘導するのが特徴です。
したがって、表面上は“自分の意思でかけた電話”に見えるため、心理的な警戒が下がりやすく、結果としてビッシングの成功率が高まります。
まず全体像を押さえましょう。
| 比較項目 | 従来のビッシング | リバースビッシング |
|---|---|---|
| 発端 | 攻撃者からの着信 | 被害者が“自分で”発信 |
| 入口チャネル | 電話のみ | SMS・メール・偽警告→電話 |
| 正当性の錯覚 | あり | より強い(自分で番号を押しているため) |
| 主な狙い | 口頭での認証情報・ワンタイムパス | 同左+遠隔操作の許可・高額決済 |
| 見抜きどころ | 非通知・急かしトーク | 発信先番号の真正性・連絡経路の不自然さ |
以上のように、リバースビッシングは“入口”が電話以外である点が肝心です。
だから、リンクも番号も相手の提示に従わず、公式アプリや公式サイトから自力で窓口を探すことが重要になります。
3-1. 受け手から電話をかけさせる手口(逆誘導)
3-1-1. 典型的なシナリオ(時系列で理解)
- 入口メッセージ
「アカウントが停止」「配達の再手配」「料金未納」などのSMS・メール・ポップアップが届く。 - 時間制限で焦らせる
「本日中」「30分以内」といった締め切りを強調。 - 偽の連絡先を提示
公式風の番号や短縮URLを示し、受け手にコールさせる。 - 偽コールセンターへ接続
権威的な肩書きの“オペレーター”が登場し、本人確認を名目に情報を聞き出す。 - 決定打
ワンタイムパスの読み上げ、カード情報の口頭伝達、遠隔操作ツールの導入へ誘導。
つまり、「メッセージで不安→自分で電話→口頭で詐取」という三段構えです。
3-1-2. よく使われる誘導文言
- 「不正利用の疑いがあるため、ただちに下記番号へご連絡ください」
- 「商品の再配達には本人確認が必要です。オペレーターが対応します」
- 「セキュリティ強化のため、認証コードを読み上げてください」
従って、“電話をさせる”文章が来たら、その時点でビッシングを疑いましょう。
3-1-3. なぜ効果的なのか(心理と技術の観点)
- 自己決定の錯覚:自分で発信したため「正しい手順だ」と思い込みやすい。
- 一貫性の圧力:最初の一歩(発信)を踏んだことで、以後の要求を受け入れやすくなる。
- 発信番号への過信:“03”“0120”などの見た目で正当と思い込みやすい。
その結果、通常なら警戒する口頭の認証情報提供にも応じやすくなります。
3-1-4. その場で見抜くチェックリスト
- 連絡先は“相手が示した番号”か。公式アプリ・公式サイト由来か。
- 期限や罰則を根拠に“今すぐ”を強いていないか。
- 口頭でのカード情報・ワンタイムパスの読み上げを要求していないか。
- 折り返し番号や内線の提示が一方的で、確認手段が限定されていないか。
一つでも該当したら、いったん切断し、公式ルートで事実確認しましょう。
3-1-5. 初動対応テンプレート(そのまま使えるフレーズ)
- 個人向け
「口頭での認証情報の提供は行いません。公式アプリから確認後、公式番号へこちらから連絡します。」 - 企業・組織向け
「社内規定により、電話でのMFAコード・パスワード提供は不可です。チケット発行後、正規窓口からの折り返しのみ対応します。」
3-2. マルチチャンネル詐欺・マルチ媒体の組み合わせ手法
3-2-1. 代表的な組み合わせパターン(俯瞰表)
| パターン | 入口 | 中継 | 最終段 | 目的 |
|---|---|---|---|---|
| SMS→電話 | 偽の再配達SMS | 偽番号へ発信 | 口頭で認証情報取得 | 不正送金・不正決済 |
| メール→電話 | アカウント停止メール | 偽コールセンター | MFAコード読み上げ | アカウント乗っ取り |
| 偽警告→電話 | ブラウザ偽警告 | サポート名乗り | 遠隔操作ツール導入 | 端末乗っ取り・課金 |
| SNS→電話 | DMで当選連絡 | 本人確認を口実 | 少額決済→継続課金 | 情報収集・恒常搾取 |
つまり、入口は違っても“最後は電話で詰める”のがビッシングの共通項です。
3-2-2. 攻撃者のプレイブック(運用の実態)
- 名簿の“名寄せ”:流出情報や公開情報を組み合わせ、実在性を演出。
- 台本化:部門名・氏名・ケース番号などの“正当性ワード”を用意。
- ルーティング:自動音声で一次振り分け→説得力あるオペレーターに接続。
- 継続オペレーション:録音・成功パターンの学習で話術を磨く。
このため、単発の通報では止まりにくく、組織的な対策が必要です。
3-2-3. 防御の考え方(経路ではなく“起点”を信頼)
チャネル(SMS・メール・電話)のどれかを信頼するのではなく、常に“起点の正当性”を確認します。したがって、
- 連絡先は必ず公式アプリ・公式サイトから検索し直す。
- メッセージ内の番号・リンクは使わない。
- 口頭での認証情報提供はルールで禁止する。
ゼロトラストの発想で、“誰が言ったか”ではなく“どう検証したか”に軸足を置きましょう。
3-2-4. 具体的対策(個人・組織の実践手順)
- 個人
- ブラウザ・アプリの通知は公式アプリ内で再確認。
- ワンタイムパスは誰にも口頭で伝えない。
- 不審メッセージはスクリーンショット保存→事業者の迷惑報告へ。
- 組織
- 「電話でのMFAコード・パスワード提供は不可」を就業規則・研修に明記。
- 公式連絡先一覧を社内ポータルに固定表示。
- 模擬ビッシング演習(電話・SMS・メール連動)で行動訓練。
- ヘルプデスクは“発信専用番号”を周知し、逆誘導の余地を減らす。
3-2-5. 社内周知に使える“行動フロー”
- メッセージを受信しても、その場で電話しない。
- 公式アプリまたはブックマークからログインし、アラートの有無を確認。
- 問い合わせは公式サイトの番号へ“自分で検索して”発信。
- 口頭でのカード情報・認証コードは一切伝えない。
- 不審なら記録し、所定の窓口へ報告。
被害事例とリスクの実例
ビッシング(音声を使ったフィッシング)は、「個人の油断」を突く小規模詐取から、「企業の運用の隙」を突く大規模情報流出まで、幅広い被害につながります。
ここでは、まず企業の具体事例を時系列で整理し、続いて日本国内の個人被害の傾向と深刻さを、統計に基づいてわかりやすく解説します。
4-1. 企業(Cisco、Googleなど)の被害事例
4-1-1. 直近の代表例(要点まとめ)
| 企業・時期 | 侵入の起点 | 攻撃の要点 | 主な影響の方向性 |
|---|---|---|---|
| Google(2025年6月公開の分析、8月に被害公表) | ビッシングでITサポートを装い通話誘導。SalesforceのConnected Apps承認をだまし取り | 偽の「Data Loader」等を使ってCRMにアクセスさせる手口。電話で“緊急対応”を演出 | 取引先・SMB向けのコンタクト情報などCRMデータの窃取とされる |
| Cisco(2025年7月に発生、公表は8月) | ビッシングにより担当者をだまして第三者CRMへのアクセスを許可 | 攻撃者は音声で正当性を装い、本人確認や手続き“代行”を提案 | 一部顧客情報が第三者CRM側で不正アクセスを受けたと公表 |
以上はいずれも「電話で正規サポートを装い、短時間で“正しい操作”に見える行為を踏ませる」ことが肝です。
つまり、メールやSMSが入口でも、最後は通話で“承認”や“読み上げ”を取る点が、ビッシング特有の決定打になっています。
Googleの脅威分析は、音声によるITサポートなりすましとSalesforce連携アプリの悪用を詳述し、その後Google自身もSalesforce関連のデータ盗難の被害企業に含まれると公表しています。
4-1-2. なぜ“電話”が効くのか(企業視点)
- ITサポートやヘルプデスクを名乗ると、通話の権威性で手順の省略(例:本人確認の簡略化)が起きやすい。
- SalesforceなどSaaSの「承認」「接続コード」など、正規UIに見える操作が多く、電話越しに誘導されると疑いにくい。
- その結果、MFAやゼロトラストの“運用の穴(ヘルプデスクの口頭手続き)”が突破されやすい。
実際、米当局のアドバイザリは、大企業のヘルプデスクが電話でのパスワード/MFAリセットに誘導される手口を繰り返し警告しています。
4-1-3. 類例:ヘルプデスク狙いの“電話社会工学”
カジノ大手MGM Resortsの大規模障害(2023年)でも、攻撃者は電話でヘルプデスク手続きを操作し、被害の起点を作ったと報じられています。
これは「メールでリンクを踏ませる」よりも、「電話で“急いで認証を通す”」方が成功しやすいことを示しています。
4-2. 個人被害の傾向とその深刻さ(年齢層・手口)
4-2-1. 統計から見える“誰が狙われているか”
- 特殊詐欺全体(電話等でだまし取る犯罪類型)の高齢者(65歳以上)被害の認知件数は全体の約半数超。直近上半期は52.9%に達しています。つまり、電話中心の詐欺は依然として高齢層に深く食い込んでいます。
- オレオレ詐欺の年代別では、80代以上が最多で、次いで若年層(20代・30代)の増加が目立つという二極化が見られます。したがって、家族間での情報共有は高齢層だけでなく若年層にも必須です。
4-2-2. 被害の“重さ”を示す指標
- 直近上半期の既遂1件あたりの平均被害額は約464.6万円。中でも警察官などを名乗る手口は1件あたり被害が突出し、全体を押し上げています。つまり、電話で権威を装う類型は“少数でも重い”。
- 架空料金請求の中でも「サポート名目」(偽テクニカルサポート)は、件数は減っても被害額が増加しており、1件あたりの単価上昇が示唆されます。ビッシング型のテクサポ詐欺が「高額化」している可能性があります。
4-2-3. 具体的な“電話での口実”と対策の要点
- 口実の例
- 「口座の不正利用」「アカウント停止」など緊急性の強調
- 「ウイルス感染の疑い」などのテクニカルサポート偽装
- 「当選・返金・還付」等の利益提示と本人確認の口実
- 初動の型(だから、迷ったらこの順で)
- いったん通話を切る
- 公式アプリやWebで通知の有無を自分で確認
- 公式サイトに掲載の番号へ自分からかけ直す
- 口頭でワンタイムパスやカード情報は伝えない
この“切る→確認→自分から発信”の型だけで、ビッシングの大半は防げます。
4-2-4. 家族・組織で決めたい“電話ルール”
- 家族:電話で金銭・番号を確認しない、必ず折り返しは公式番号へ
- 企業:電話でMFAコード/パスワードは扱わない、ヘルプデスクは本人確認を通話だけで完結させない、連絡先は社内ポータル固定
- 教育:ビッシングの最新トレンド(ITサポートなりすまし、CRM連携悪用)を定期的に共有し、録音・内線化で“その場決裁”を回避
ビッシングへの対策(個人・組織別)
ビッシングは「声」で急がせ、口頭で機密を取る詐欺です。
つまり、通話の主導権を取り戻し、公式ルートで検証し、技術と運用で“取らせない・通さない”を徹底することが要点です。以下では、実践しやすい順に対策を整理します。
5-1. すぐ電話を切って、公式窓口経由で対応する方法
5-1-1. 心構え:電話は一度切ってよい
通話は相手の“舞台”。したがって、ビッシングを疑ったら一度切断し、あなたの“舞台”(公式アプリ・公式番号)に場所を移すのが最短で最強の防御です。
5-1-2. 個人向け:公式窓口での再確認フロー
- 通話はいったん切る。
- 公式アプリやWebに自分でログインし、通知・メッセージの有無を確認。
- 問い合わせは公式サイトに掲載の番号へ自分で発信。
- 口頭でワンタイムパスやカード情報を求められたら中断し、別経路で再確認。
移行語で強調すると、つまり「切る→確認→自分からかける」が型です。
5-1-3. 組織向け:ヘルプデスク運用の型
- 電話だけで本人確認を完結させない(工数が増えても別経路で検証)。
- 「電話でMFAコード・パスワード・復旧コードは扱わない」を規程化。
- 公式連絡先の“固定リスト”を社内ポータルに掲示し、そこ以外は不可とする。
- 重要依頼は必ず発信側(正規窓口)からの折り返しに限定する。
5-1-4. その場で使える定型フレーズ
- 「口頭での認証情報の提供は行いません。公式アプリから確認後、公式番号へこちらから連絡します。」
- 「社内規定により、電話ではMFAやリセットはできません。チケットを発行してください。」
5-1-5. 迷ったときの“切りどき”早見表
| 状況 | 取るべき行動 |
|---|---|
| 口頭でワンタイムパスの読み上げを要求 | すぐ切断→公式番号へ自分から発信 |
| 締め切りや罰則で急かす | いったん切断→公式アプリで通知確認 |
| 発信元番号や肩書きで権威を装う | 記録だけ取り、通話は継続しない |
| 折り返し先の番号やURLを指定 | 使わず、あなたが公式サイトで検索 |
5-2. 多要素認証(MFA)の導入とその効果
5-2-1. なぜMFAがビッシングに効くのか
パスワードが漏れても、追加要素がなければログインが完了しません。
したがって、ビッシングで“口頭の認証コード”を狙われても、運用次第で被害を大幅に抑えられます。
5-2-2. 認証方式の目安(安全性と運用性)
| 方式 | 例 | 強さの目安 | ビッシング耐性 | メモ |
|---|---|---|---|---|
| SMSコード | 携帯に届く6桁 | 中 | 低(読み上げさせやすい) | 最低限の保険としては有用 |
| 認証アプリ(TOTP) | Microsoft/Google Authenticator等 | 中〜高 | 中(口頭要求に注意) | オフラインでも使える |
| プッシュ+番号一致 | アプリ通知で番号を選択 | 高 | 高(なりすましが難しい) | 誤承認リスクを抑制 |
| セキュリティキー(FIDO2) | 物理キー | 最高 | 最高(口頭で奪えない) | 管理と予備の用意が必須 |
つまり、物理キーや番号一致プッシュを優先し、やむを得ずSMSを使う場合でも“口頭読み上げ禁止”を徹底します。
5-2-3. 個人・組織での設定ベストプラクティス
- 個人:主要アカウントはTOTP以上、重要サービスは物理キー化。バックアップコードは紙で保管。
- 組織:管理者・特権アカウントは物理キーを標準に。一般ユーザーは番号一致のプッシュを既定にし、SMSを最終手段へ。
5-2-4. “MFA疲労”と電話誘導への対処
- 連続プッシュは拒否。なぜなら、攻撃者は意図的に通知を連打して承認を誘うからです。
- 覚えのない要求が来たら、業務端末のネットワークを切り、ヘルプデスクに別経路で報告。
- 電話で「今から送るコードを読み上げて」と言われたら、その場で終了。
5-2-5. 失敗しないバックアップ運用
- 物理キーは最低2本セット(保管場所を分ける)。
- 復旧コードはオフライン保管し、写真・クラウド共有は避ける。
- アカウント引き継ぎ時の手順(退職・端末紛失)を文書化。
5-3. 通話アプリでのフィルタリング・番号ブロック対策
5-3-1. 発想の転換:「入れさせない」が最強
ビッシングは会話が始まった時点で不利。したがって、着信段階でのブロックと識別を強化し、接触機会を減らしましょう。
5-3-2. スマホ標準機能の使いどころ
- 未登録番号をサイレント化(履歴だけ残し、即応はしない)。
- 迷惑電話識別をオンにする(OSやキャリア機能の活用)。
- 留守番電話を活用し、折り返しは公式番号へ自分から。
5-3-3. 通話フィルタアプリを使う際のポイント
- 権限は最小限に。なぜなら、通話履歴や連絡先は個人情報の塊だからです。
- ブラックリストよりホワイトリスト運用(許可した番号だけ通知)。
- 誤判定を前提に、重要連絡先は事前登録しておく。
5-3-4. 家族・組織での“番号運用”ルール
- 家族:金融機関・宅配・学校などの公式番号を共有リスト化。
- 組織:取引先の正規番号をCRMで一元管理し、外から提示された番号は使用禁止。
- 変更時は差し替え通知を全員に配布し、旧番号はすぐに“注意喚起”タグを付与。
5-3-5. フィルタの限界と補完策
- フィルタは万能ではないため、最終判断は「口頭で機密は言わない」。
- 会話の要点(名乗り・日時・要求)をメモ化し、違和感があれば中断。
- その結果、仮に“すり抜け”られても、被害の芽で止めやすくなります。
万が一被害に遭ったときの対応
ビッシング(音声通話を悪用する詐欺)は、気づいた直後の行動が被害拡大を左右します。
つまり、「通話を切る→公式ルートで止める→しかるべき窓口に報告する」という順番が肝心です。
以下では、実際に役立つ連絡先と、いつ・どこに・何のために連絡するかを、迷わないように整理します。
6-1. 被害報告先・相談先(警察、銀行、フィッシング対策協議会など)
6-1-1. 初動の黄金フロー(10分/1時間/24時間)
- 最初の10分
- 通話をただちに終了。
- 口頭で伝えてしまった情報を洗い出す(カード番号、ワンタイムパス、住所など)。
- カード会社・銀行の公式窓口に連絡し、利用停止や口座の緊急対処を依頼。フィッシング対策協議会も、カード情報を入力してしまった場合はカード会社の紛失・盗難窓口へ直ちに連絡するよう明記しています。
- 1時間以内
4. 影響するアカウントのパスワード変更と再ログイン確認(メールの乗っ取りや不審操作がないか)。
5. 不正送金・不正決済の有無をオンライン明細で確認し、疑わしければ銀行協会の案内に従って被害申告。 - 24時間以内
6. 警察へ相談・届出(被害の証拠保全・口座凍結の補助につながるため)。都道府県警のサイバー相談窓口一覧や警察相談専用電話 #9110が利用できます。
7. フィッシング対策協議会へ報告(フィッシング情報の共有・サイト閉鎖調整に活用されます)。
8. メールやSMS経由の場合は迷惑メール相談センターへ転送(証拠蓄積と対策強化につながります)。
6-1-2. 警察への通報・相談の使い分け
| 目的 | どこに | 具体例 |
|---|---|---|
| 緊急時(犯人が目の前/直後の被害) | 110 | 緊急性が高い場合の通報。 |
| 緊急でない相談・被害届出 | 警察相談専用電話 #9110 | かけた地域の警察本部などの相談窓口につながる全国共通番号。 |
| 専門的なサイバー相談 | 都道府県警のサイバー犯罪相談窓口 | 相談窓口一覧から各県の連絡先へ。 |
ポイントは、被害の有無に関わらず早めに相談しておくことです。なぜなら、被害口座の凍結や事実関係の確認には時間がかかるためです。
6-1-3. 銀行・カード会社:止める・戻すのための連絡
- 銀行(不正送金・口座情報漏えい)
まずは取引銀行へ連絡。全国銀行協会の「金融犯罪に遭った場合のご相談・連絡先」から各行の連絡先を確認できます。時間外でも24時間の窓口が整備されている銀行が多く、迅速な口座保全が可能です。 - クレジットカード(番号を読み上げた/入力した)
すぐに紛失・盗難デスクへ。東京都クレジットカード犯罪対策連絡協議会の「紛失時連絡先一覧」は主要カード会社の窓口を網羅しています(情報は2025年6月現在)。 - 連絡時に伝えること
- いつ、どの番号から、どんな名目で電話があったか
- 伝えてしまった情報の範囲(カード番号、ワンタイムパスなど)
- 現在の被害状況(利用通知・明細の異常など)
6-1-4. 専門窓口への報告:再発防止に効くルート
- フィッシング対策協議会
「フィッシングの報告」ページから、メールやサイトURLを報告可能。稼働中のサイトはJPCERT/CCと連携して閉鎖調整が進みます。つまり、あなたの報告が次の被害を防ぐ力になります。 - 迷惑メール相談センター
迷惑・フィッシングメールはmeiwaku@dekyo.or.jpへ転送提供が可能。集約データは対策強化に活用されます。 - IPA(情報セキュリティ安心相談窓口)
技術的な疑問や復旧手順の相談ができます(電話 03-5978-7509、平日)。したがって、設定見直しや端末の安全確認に不安があるときは活用しましょう。
6-1-5. 企業・学校など“組織アカウント”で被害が疑われる場合
- まず社内の情報システム部門/CSIRTに連絡(電話ではなく社内公式チャンネルで)。
- 端末のネットワークを一時遮断し、MFAの再発行・パスワードリセットを申請。
- ヘルプデスクに「電話ではMFAコードを扱わない」社内規程がある場合は、通話でのやり取りを止める。
- 取引先情報やCRMにアクセスする権限がある場合は、権限の一時停止を依頼。
これらは、警察・協議会が示す一般指針(口頭での認証情報を扱わない、正規窓口で再検証する)にも合致します。
6-1-6. 証拠保全チェックリスト(後から効く)
- 通話履歴・録音(可能なら)、着信画面のスクリーンショット
- 伝達された折り返し番号・担当者名・“ケース番号”と言われた文字列
- SMS/メール本文、リンク先のURL表示、ヘッダー情報(可能な範囲で)
- オンライン明細の異常箇所、時刻、金額
- 相談・連絡した窓口、日時、担当者名(時系列メモ)
