ビッシング(ボイスフィッシング) | Codebook|Security News
Codebook|Security News > セキュリティ用語解説 > ビッシング(ボイスフィッシング)

ビッシング(ボイスフィッシング)

ビッシング(ボイスフィッシング)とは、ソーシャルエンジニアリング攻撃の一種で、電話音声通話を使ったフィッシングのことです。「音声フィッシング」と呼ばれることもあります。日本においては、2024年秋頃からビッシング攻撃が増えていると報告されています(*)。

銀行を装った偽電話を企業の代表電話宛てにかけ、「インターネットバンキングの電子証明書の更新が必要」などともっともらしい口実を用いて電話に出た担当者のメールアドレスを聞き出し、このアドレス宛てに個別のフィッシングメールを送付するというのが代表的なケースです。このメールには通話時に聞き出した担当者の名前や部署名などが記載されていて本物らしく見える上、電話を繋いだままフィッシングサイトに認証情報を入力させるケースもあるため、正規の手続きだと誤認しやすくなっています。

このほか、攻撃者が標的企業のIT担当者やヘルプデスクになりすまして従業員に電話をかけ、「多要素認証(MFA)の設定のため」などもっともらしい口実で従業員を誘導し、認証情報を盗み出すケースもあります。また、逆に一般従業員を装った攻撃者が企業のITヘルプデスクへ電話をかけ、「パスワードをリセットして欲しい」などと伝えて新たなパスワードを入手し、企業システムへ不正に侵入して機微なデータを盗み出すケースなども報告されています(*2) 。

Eメールなどの文面とは異なり、電話では相手の声や話し方から「実在の担当者らしさ」や「実在の従業員らしさ」を感じやすく、緊急性を強調されることで冷静な判断が難しくなりがちです。加えて、直接の会話を通じて心理的に追い込まれるため、騙されやすい状況が生まれやすくなっています。こうした音声というコミュニケーション手段の特性が、ビッシングの危険性を高める要因となっています。近年では、ディープフェイクなどのAI技術が悪用され、本物の人物の声を模倣した音声を使ったビッシング攻撃も確認されています。このため、電話の相手の声だけを根拠に信用することが以前にも増して危険になっています。

(*)参考:フィッシング対策協議会「フィッシングレポート2026

(*2) 関連記事:「Scattered Spider、VMware ESXi狙ったアグレッシブな攻撃キャンペーンを実施

Special Feature特集記事

Cyber Intelligenceサイバーインテリジェンス

Security情報セキュリティ