電話を起点に企業の銀行口座やオンラインバンキングを狙う「ボイスフィッシング(vishing)」が、国内で一段と巧妙化している。日本サイバー犯罪対策センター(JC3)も注意喚起を行っており、特に経理・財務・総務など送金や口座情報を扱う部門は、従来の「メールのフィッシング対策」だけでは防ぎ切れない局面に入っている。攻撃者は電話というリアルタイム性と心理的圧力を利用し、被害者に本人確認情報の提供や、不正な操作を“今すぐ”実行させる。ここでは、最新の手口のポイントと、企業が実装しやすい実務対策を整理する。
ボイスフィッシングとは何か
ボイスフィッシングは、金融機関や決済事業者、場合によっては警察・公的機関を名乗る電話で担当者を誘導し、認証情報の詐取や不正送金につなげる詐欺手法だ。メールやSMSのフィッシングと組み合わされることが多く、電話で信用させた上で偽サイトに誘導したり、ワンタイムパスワード(OTP)や認証アプリの確認コードをその場で聞き出したりする。企業の口座は取引額が大きく、権限者が業務上の理由で手続きを急ぎやすい点が狙われる。
巧妙化の核心は「電話×誘導」の分業
最近の特徴は、単なる口座番号の聞き出しではなく、被害者の端末操作を細かく指示し、正規の認証プロセスをすり抜ける点にある。攻撃側は次のような“分業型”の流れを組み立てる。
なりすましの精度が上がっている
金融機関の担当部署名、実在するコールセンター風の言い回し、もっともらしい「不審取引の検知」「口座凍結の可能性」「本人確認の再実施」などを用い、担当者の不安と責任感を刺激する。電話番号の偽装(番号表示のすり替え)や、折り返し電話をさせないための口実も使われる。
偽サイト・偽手続きへの誘導が前提
電話の会話だけで完結させず、「案内したURLを開いて手続き」「メールで送った確認フォーム」「サポート用の画面共有」など、別チャネルに接続させるのが定石だ。ここでID・パスワードを入力させるだけでなく、OTPを“確認のため読み上げてください”と要求し、リアルタイムで口座にログインして送金する。
正規のセキュリティ機能が逆手に取られる
二要素認証や生体認証があっても、攻撃者が通話で操作を誘導し、被害者自身に認証を通過させれば突破される。つまり技術的な防御だけでは不十分で、業務プロセスと人の判断を含めた対策が必須になる。
被害が起きやすい企業の条件
狙われやすいのは、送金や口座管理が特定の担当者に集中している企業、繁忙期で確認手順が省略されやすい企業、外部委託(記帳代行・給与計算・支払代行)とのやり取りが多い企業だ。また「代表電話→担当者へ転送」の運用だと、一次受けが“緊急案件”として優先してしまい、攻撃者のペースに乗りやすい。加えて、金融機関の正規連絡と詐欺電話の区別が難しくなっているため、個人の経験則に頼る運用は限界を迎えている。
企業が取るべき実務対策
ボイスフィッシング対策は、電話の取り扱いルールと送金プロセス、そして認証情報の管理を一体で整えることが要点だ。すぐに着手でき、効果が高い順に整理する。
「電話で認証情報は扱わない」を明文化する
ID、パスワード、OTP、確認コード、暗証番号、認証アプリの表示番号などは、電話口で一切共有しないルールを就業規則・手順書に明記する。例外を作らないことが重要で、例外があると攻撃者はそこを突く。社内FAQとして「金融機関が電話でOTPを聞くことはない」「画面共有の要求は原則拒否」といった判断基準を短文化して配布する。
折り返し確認の“公式手順”を用意する
電話を受けた担当者が単独で判断しないよう、折り返し先は“受電した番号”ではなく、社内で管理する正規の問い合わせ先(通帳・契約書・社内台帳に記載の番号)に限定する。受電時には相手の部署名・担当者名・要件・受付番号を聞き取り、いったん電話を切ってから上長またはセキュリティ窓口に共有するプロセスを標準化する。
送金は「権限分離」と「遅延」を設計する
不正送金の多くは短時間で完結するため、送金フローに“止められる余地”を組み込む。具体的には、作成者と承認者を分ける二重承認、一定額以上の送金は別経路の承認(対面・社内チャットでの確認)を必須化、当日即時振込を制限し、可能な範囲で予約振込に寄せる。金融機関側の設定で振込上限額や振込先登録の制限、登録後の利用開始までの待機時間を設けられる場合は積極的に使う。
振込先変更・緊急支払いの検証ルールを徹底する
「請求書の口座が変わった」「至急この口座へ」「手数料を避けるため別口座へ」といった依頼は、ボイスフィッシングやBEC(ビジネスメール詐欺)の典型だ。取引先の連絡先は“過去に使用した番号・担当者”に限ってコールバックし、メール本文や電話で提示された番号には折り返さない。検証項目をチェックリスト化し、証跡(いつ、誰が、どの番号で確認したか)を残す。
端末操作の誘導に乗らない教育を行う
「今から言う通りに操作してください」「セキュリティ設定を更新します」「確認のためコードを読み上げてください」という誘導が出た時点で詐欺を疑う訓練を行う。経理・財務だけでなく、代表電話を受ける総務・受付にも同等の教育が必要だ。実例ベースのロールプレイを短時間で繰り返すと定着しやすい。
検知と封じ込めのためのログ・アラートを整備する
オンラインバンキングのログイン通知、振込実行通知、振込先追加通知を必ず有効化し、担当者個人のメールではなく部門共有の監視先にも配信する。認証アプリの追加や端末変更が行われた場合にアラートが出る設定があるなら有効化する。可能であれば、資金移動が発生したタイミングで経理責任者に自動で通知が飛ぶ仕組みを作る。
万一電話を受けてしまった場合の初動
少しでも不審に感じたら、その場で追加情報を渡さず通話を終了し、社内の所定手順で報告する。もしID・パスワード入力、OTP提示、振込実行などを行ってしまった可能性がある場合は、時間との勝負になる。金融機関へ緊急連絡して取引の停止・口座凍結・振込組戻しの可否を確認し、社内では該当端末のネットワーク切断、認証情報の変更、関連アカウントの棚卸しを同時並行で進める。被害の有無が未確定でも、早期連絡が結果を左右する。
まとめ:技術対策だけでは防げない「声の攻撃」
ボイスフィッシングは、人の判断と業務の隙を突いて正規の認証を通過させる攻撃であり、セキュリティ機能を導入していても運用設計が弱いと被害に直結する。企業は「電話で認証情報を扱わない」「折り返し確認の公式手順」「送金の権限分離と上限制御」「振込先変更の厳格な検証」をセットで整備し、経理・財務だけでなく一次受け部門も含めて訓練することが重要だ。声による詐欺が高度化する今、最も効果的な防御は“迷ったら切る、確認は公式手順でやり直す”という組織的な習慣化にある。