Kaspersky、ビッシング詐欺メールの増加を確認、2022年3月から6月は35万件、6月だけで10万件を検知

[本リリースは、2022年7月11日にKasperskyが発表したプレスリリースに基づき作成したものです]

Kasperskyのリサーチャーは、ビッシング詐欺（音声を使用したフィッシング詐欺）に使われるビッシングメールが、グローバルで2022年3月から6月の4カ月で約35万件、6月は約10万件に上ったことを明らかにしました。最近TikTokの投稿でよく見かける、自動音声通話を使って知人に電話をかけ、口座から多額のお金が引き落とされると脅かすいたずらは、サイバー犯罪者が盛んに使用するビッシング詐欺の手口と同じであると、当社のリサーチャーは注意しています。この手口のいたずら動画が大量にTikTokに上がっていることは、人は音声によって説得された場合、自分がだまされているとは気づきにくいということを、端的に表していると言えます。

ビッシング（ボイス：Voiceとフィッシング：Phishingを掛け合わせた言葉）とは、個人を狙ってサイバー犯罪者宛てに電話をかけさせ、個人や銀行口座の情報などを聞き出す詐欺行為です。この手口は多くのフィッシング詐欺と同様に、大手のオンラインストアや決済システムから通常とは異なるメールが送られてくることから始まります。例えば、偽のPayPalから「あなたの口座から多額のお金を引き落とす請求があった」といった内容です。

 図1：高額な購入を知らせる、偽のPayPalからの通知。キャンセルする場合はカスタマーサポート宛に電話かメールするように促している

ただし、通常のフィッシング詐欺では、フィッシングメールの受信者に対して記載されたリンクから注文をキャンセルするように促すのに対し、ビッシングのメールは、記載されたカスタマーサポート番号へ至急電話させようとします。当社のリサーチャーは、サイバー犯罪者が「電話をかけさせる」手口を意図的に選択していることを強調しています。人々がフィッシングサイトを見ているときは、自身の行動を考えたり、正規のページではないことを示す兆候に気付いたりしますが、電話での会話は注意が散漫になり集中することが難しくなります。このような状況下で犯罪者は、急がせる、怖がらせる、不正な取引をキャンセルするためにクレジットカード情報を至急提供するように求めるなど、できる限りのことをして平静を失わせようとします。サイバー犯罪者は銀行口座情報を入手後、その情報を利用して金銭を窃取します。

当社では、2022年3月から6月までの4カ月間に、電話をかけさせ偽の手続きを促す約35万件のビッシングメールをグローバルで検知しました。特に6月はビッシングメールの数が約10万件になり、今後も増加傾向が続く可能性が高いと予測しています。

図2：ビッシングメールの検知数（2022年3月～6月、グローバル）

TikTokのユーザーたちは金銭目当てではなく動画で見せることが目的のため、事前に詐欺的なメールを送信することも相手から何かを窃取することもありません。電話は自動音声通話を通じて行われ、例えば、いたずらを仕掛ける側は大手オンラインショップのカスタマーサポートを名乗り、電話口の相手から数千ドルの注文を受けたとして承認を求めます。どのように返答しても自動音声は「Thank you, your order has been confirmed.（ご注文は承認されました。ありがとうございました）」と返します。人々は、自動音声通話が返答を聞き間違い、口座から請求額が引き落とされると思ってしまい、慌てふためき、いたずらの標的になっていることに気付きません。自動音声との会話がかみ合わないことが面白いのかもしれませんが、実際のビッシング詐欺の手口と重なります。

Kasperskyのセキュリティエキスパート、ローマン・ディデノック（Roman Dedenok）は次のように述べています。「TikTokでは、ブロガーが電話をかけ、口座からもうすぐ数千ドルが引き落とされると伝えるいたずら動画をよく見かけます。電話を受けた人はその言葉を真に受けて取り乱します。この種の動画を見ると、“こんなことに引っ掛かる人がいるのか”と思いますが、実際に詐欺の電話に遭うと、同時に起きている複数のことに影響されることがよくあります。こうした電話は、ほかのことに気を取られている間に不意を突いてくる可能性があり、電話の相手がいたずら者か、詐欺師か、本物の銀行のセキュリティ専門家かを明確に見極めることが難しいことがあります」

■ ビッシングほか、メール使った詐欺の手口については、Securelistブログ（英語）「Text-based fraud: from 419 scams to vishing」でご覧いただけます。