ビッシングの手口と心理操作
ビッシング(Vishing)は、「Voice(音声)」と「Phishing(フィッシング)」を組み合わせた造語で、電話を使った詐欺の総称です。従来のフィッシング詐欺がメールやSMSを使うのに対し、ビッシングは人間の声による直接的なコミュニケーションを悪用します。
ビッシングの主要な手口
- 1. 自動音声ガイダンス型
- 銀行やクレジットカード会社を装った自動音声メッセージが流れ、「不正利用を検知しました」などと告げる。ユーザーに番号を押させることでオペレーターに接続し、個人情報を聞き出す。
- 2. オペレーター直接対応型
- 最初から生身の人間が対応し、公的機関や企業の担当者を装う。丁寧な言葉遣いで信頼を獲得しながら、巧妙に情報を引き出す。
- 3. 緊急対応要求型
- 「今すぐ対応しないと口座が凍結される」「このままでは逮捕される」など、緊急性を演出して冷静な判断を妨げる。時間的圧迫が最大の武器。
- 4. 上司なりすまし型(CEO詐欺/ホエーリング)
- 企業の経営層や上司を装い、経理担当者に緊急送金を指示。「極秘案件」として他者への確認を禁じ、高額送金を実行させる。
ビッシングの典型的な攻撃フロー
【自動音声ガイダンス型の例】
第1段階:自動音声
「こちらは三井住友銀行カスタマーセンターです。
お客様のキャッシュカードで不正な引き出しを検知しました。
詳細を確認される場合は1を押してください」
↓ ユーザーが1を押す
第2段階:オペレーター登場
「お電話ありがとうございます。セキュリティ部門の田中です。
本日14時32分、ATMで50万円の引き出しがございましたが、
ご本人様でしょうか?」
↓ ユーザー「いいえ、していません」
第3段階:本人確認と称した情報窃取
「やはり不正利用ですね。すぐに口座を停止します。
本人確認のため、お手元のキャッシュカードに記載されている
16桁の番号を教えていただけますか?」
↓ 情報窃取完了
第4段階:追加情報の要求
「セキュリティコードも確認させてください」
「ワンタイムパスワードが届きましたら教えてください」
↓ 完全な[アカウント乗っ取り](/security/accounts/account-takeover/)
心理操作のテクニック
ビッシングが成功する背景には、巧妙な心理操作があります。
| 心理操作技術 | 具体的手法 | 効果 |
|---|---|---|
| 権威の利用 | 銀行員、警察官、上司など権威ある立場を装う | 指示に従いやすくなる |
| 緊急性の演出 | 「今すぐ」「本日中」「あと10分で」など時間制限 | 冷静な判断力を奪う |
| 恐怖の喚起 | 「口座凍結」「逮捕」「解雇」など深刻な結果を示唆 | パニック状態にする |
| 信頼獲得 | 個人情報の一部を先に提示(名前、住所の一部等) | 「本物だ」と思わせる |
| 孤立化 | 「誰にも相談しないで」「極秘案件」と釘を刺す | 第三者の助言を遮断 |
| 善意の装い | 「被害を防ぐため」「あなたを守るため」と強調 | 感謝の気持ちを抱かせる |
これらの手法はソーシャルエンジニアリングの典型的なパターンであり、技術的な脆弱性ではなく人間の心理的弱点を突いた攻撃です。
番号偽装技術(Caller ID Spoofing)
ビッシングで特に危険なのが発信者番号の偽装です。
【偽装の仕組み】
本物の銀行番号:0120-56-3143(三井住友銀行)
↓
詐欺師がVoIP技術を使って同じ番号を表示
↓
被害者の画面には「0120-56-3143」と表示
↓
「本物の銀行からだ」と信じてしまう
偽装が可能な理由:
- 電話網のSS7プロトコルに認証機能が弱い
- VoIP(インターネット電話)サービスでは発信者番号を自由に設定可能
- 一部の海外事業者が規制を無視して提供
対策:
発信者番号が正しくても安心できない。必ず折り返し確認が原則。
企業を狙った1億円被害事例の詳細分析
山形鉄道株式会社の事例(2024年3月)
2024年3月に発生した山形鉄道株式会社の被害は、ビッシングの最も深刻な事例として広く報道されました。以下、詳細な時系列と分析を行います。
事件の概要
| 項目 | 内容 |
|---|---|
| 発生日時 | 2024年3月15日(金)14:30-16:00 |
| 被害企業 | 山形鉄道株式会社 |
| 被害総額 | 約1億円(5,000万円×2回) |
| 攻撃手法 | 社長なりすまし電話(ホエーリング) |
| ターゲット | 経理担当者(女性、40代) |
| 詐欺グループ | 特殊詐欺グループ(逮捕済み) |
詳細な時系列
【2024年3月15日(金)】
14:30 第一報
━━━━━━━━━━━━━━━━━━━━━━
経理担当者の携帯電話に着信
発信者番号:0237-XX-XXXX(社長の直通番号と完全一致)
「社長」の声:
「今、東京で重要な取引先と商談中だ。
急に資金が必要になった。15時までに5,000万円を
以下の口座に振り込んでほしい」
経理担当者:
「5,000万円ですか?金額が大きいので、
専務に確認してもよろしいでしょうか…」
「社長」:
「専務は今日休みだろう。この商談が決まれば
会社の業績が大きく改善する。誰にも言わずに
すぐに対応してくれ。責任は私が取る」
経理担当者:
「わかりました…」
━━━━━━━━━━━━━━━━━━━━━━
14:50 第一弾送金実行
- 送金額:5,000万円
- 送金先:東京都内の個人口座
- 送金方法:インターネットバンキング
- 承認者:経理担当者のみ(本来は二重承認が必要)
15:15 第二報
━━━━━━━━━━━━━━━━━━━━━━
再度「社長」から電話
「社長」:
「今送った5,000万円では足りなかった。
追加で5,000万円を同じ口座に振り込んでくれ。
本当に急いでいる」
経理担当者:
(既に1回送金してしまった後なので、断りにくい心理状態)
「承知しました…」
━━━━━━━━━━━━━━━━━━━━━━
15:45 第二弾送金実行
- 送金額:5,000万円
- 送金先:第一弾と同じ口座
- 総被害額:1億円
16:30 詐欺発覚
- 本物の社長が会社に帰社
- 経理担当者が送金を報告
- 社長「そんな指示は出していない!」
- 即座に警察と銀行に連絡
16:45 銀行への連絡
- 送金先口座の凍結を依頼
- しかし、既に資金は引き出し済み
17:00 警察への被害届提出
- 山形県警に被害届
- 詐欺グループの追跡開始
なぜ防げなかったのか?8つの失敗要因
- 1. 番号偽装技術による信頼獲得
- 発信者番号が社長の直通番号と完全に一致していたため、「本物だ」と信じてしまった。現在の電話網では番号偽装を完全に防ぐことは困難。
- 2. 時間的圧迫による判断力の低下
- 「15時までに」という時間制限により、わずか20分で判断を迫られた。冷静に考える時間を与えないのが詐欺の常套手段。
- 3. 金曜午後という最悪のタイミング
- 週末前の慌ただしい時間帯を狙われた。多くの企業で金曜午後は確認作業が疎かになりやすい。
- 4. 「極秘案件」による孤立化
- 「誰にも相談するな」という指示により、第三者の視点を遮断。専務への確認を阻止された。
- 5. 二重承認ルールの不徹底
- 本来、高額送金(100万円以上)には複数名の承認が必要だったが、「社長の指示」という理由で省略してしまった。
- 6. 音声の類似性(AI音声 or 事前録音)
- 詐欺グループは社長の声の特徴(話し方、イントネーション、口癖等)を事前に研究していた可能性。SNSや社内会議の録音から音声サンプルを入手した可能性も。
- 7. 「責任は私が取る」という心理的保証
- 上司が責任を取ると言われると、部下は従いやすくなる心理を悪用。実際には詐欺師の言葉に何の効力もない。
- 8. 一度送金すると引き返せない心理
- 第一弾で5,000万円を送金した後、「もう後戻りできない」という心理状態になり、第二弾も実行してしまった。
本来実施すべきだった対策
以下のいずれか一つでも実行していれば、被害を防げた可能性があります:
【防御ポイント】
✅ 1. 折り返し確認の徹底
「今すぐ会社の代表番号に折り返しますので、
少々お待ちください」と伝え、一旦電話を切る
✅ 2. 高額送金の二重承認ルール遵守
いかなる理由があっても、1億円の送金を
一人で判断しない社内ルールの徹底
✅ 3. 合言葉システムの導入
「今月の暗号は?」と質問し、答えられなければ
詐欺と判断する仕組み(詳細は後述)
✅ 4. 「極秘」要求への警戒
「誰にも言うな」は詐欺の典型的なサイン。
むしろ積極的に他者に相談すべき
✅ 5. 時間的余裕の確保
「30分後に再度ご連絡します」と時間を置き、
冷静に状況を判断する
✅ 6. ビデオ通話での確認
ZoomやTeamsでビデオ通話を要求すれば、
詐欺師は対応できない
類似事例:他社の被害ケース
山形鉄道以外にも、同様の手口で多額の被害が報告されています。
事例1:製造業A社(2024年6月)
被害額:6,500万円
手口:経営企画部長なりすまし
ターゲット:財務担当者
「部長」からの指示:
「M&A案件で緊急に資金が必要。取締役会の前に
送金を完了させてほしい」
失敗要因:
- 部長が海外出張中という情報を事前に調査済み
- 「海外からの電話」として不自然さを隠蔽
- 時差を理由に「今しか連絡できない」と圧力
事例2:医療法人B(2024年8月)
被害額:3,200万円
手口:理事長なりすまし
ターゲット:事務長
「理事長」からの指示:
「医療機器の緊急導入で補助金申請が必要。
期限が今日なので即座に振り込んでほしい」
失敗要因:
- 医療業界の専門用語を多用し信憑性を演出
- 「補助金」という制度上の緊急性を悪用
- 理事長が学会出席中で連絡がつかない時間帯を狙った
事例3:IT企業C社(2024年10月)
被害額:4,800万円
手口:CFO(最高財務責任者)なりすまし
ターゲット:経理課長
「CFO」からの指示:
「四半期決算前の会計処理で緊急対応が必要。
監査法人への支払いを先行してほしい」
失敗要因:
- 決算期という多忙な時期を狙われた
- 「監査法人」という信頼できる名称を利用
- 会計処理の専門用語で煙に巻かれた
金融機関を装う音声詐欺の実例
企業だけでなく、個人を狙ったビッシングも急増しています。特に多いのが、銀行やクレジットカード会社を装った手口です。
三井住友銀行を装うビッシングの実例
以下は、実際に報告された詐欺電話の内容を再現したものです:
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【自動音声ガイダンス】
「こちらは三井住友銀行カスタマーセンターです。
お客様のキャッシュカードで不正な引き出しが検知されました。
本日14時32分、渋谷駅前のATMで50万円の引き出しが
ございましたが、ご本人様の操作でしょうか。
このまま放置されますと、口座が不正利用される恐れが
ございます。
詳細を確認される場合は1を、
このメッセージを無視される場合は2を押してください」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
[ユーザーが「1」を押す]
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【オペレーター(生身の人間)】
「お電話ありがとうございます。
三井住友銀行セキュリティ部門の田中と申します。
本日はご本人様でいらっしゃいますか?」
ユーザー:「はい、本人です」
田中:「ありがとうございます。それでは本人確認のため、
お名前とご住所をお願いできますでしょうか」
ユーザー:「山田太郎です。住所は東京都新宿区…」
田中:「ありがとうございます。先ほどの自動音声でも
ご案内しましたが、本日14時32分にATMで50万円の
引き出しがございました。お心当たりはございますか?」
ユーザー:「いいえ、全くありません。私は今自宅にいます」
田中:「やはり不正利用ですね。大変申し訳ございません。
すぐに口座を一時停止させていただきます。
ただし、停止処理にはセキュリティ認証が必要でして、
お手元のキャッシュカードに記載されている16桁の
カード番号を教えていただけますでしょうか」
ユーザー:「えっと、4539-1234-5678-9012です」
田中:「ありがとうございます。続きまして、カード裏面に
記載されているセキュリティコード、3桁の番号も
お願いできますでしょうか」
ユーザー:「123です」
田中:「承知しました。それでは最後に、暗証番号の
再設定が必要となりますので、現在の4桁の暗証番号を
教えていただけますか」
ユーザー:「1234です」
田中:「ありがとうございました。これで口座の一時停止と
再設定が完了いたしました。新しいカードは1週間以内に
ご登録住所に郵送させていただきます」
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【結果】
数時間後、口座から200万円が不正に引き出される。
カード番号、セキュリティコード、暗証番号の全てが
窃取されたため、ATMとオンライン決済の両方で悪用された。
この電話の危険ポイント
- ❌ 銀行はカード番号を電話で聞かない
- 正規の銀行は、顧客のカード番号を既に把握しているため、電話で確認することは絶対にない。カード番号を聞かれた時点で100%詐欺。
- ❌ セキュリティコードは超機密情報
- CVV(Card Verification Value)は、カード所有者のみが知る情報。銀行のシステムにも保存されていない。これを聞かれることは絶対にない。
- ❌ 暗証番号は絶対に教えてはいけない
- 銀行は暗証番号を暗号化して保存しており、銀行員でさえ見ることができない。暗証番号を聞かれた時点でアウト。
- ❌ 「不正利用」で焦らせて判断力を奪う
- 「50万円の引き出し」という具体的な金額と時刻で緊迫感を演出。冷静さを失わせるための心理操作。
- ❌ 本人確認と称して個人情報を収集
- 名前と住所を聞くことで、「本物の銀行だ」と信じ込ませる。実際には名前・住所程度の情報は簡単に入手可能。
本物の銀行の対応方法
正規の銀行がどのように対応するかを理解することで、詐欺を見破れます。
【三井住友銀行の実際の対応】
1. 不正利用を検知した場合
→ 登録住所に書面を郵送
→ または登録メールアドレスにメール送信
→ SMSは使用しない([スミッシング](/security/scams/phishing/column/techniques/sms-smishing/)のリスクがあるため)
2. 電話で連絡する場合
→ カード番号は絶対に聞かない
→ セキュリティコードは絶対に聞かない
→ 暗証番号は絶対に聞かない
→ 「折り返しお電話ください」と案内
3. 本人確認の方法
→ 生年月日、電話番号など、銀行が既に知っている情報のみ
→ 顧客側から情報を言わせることはあるが、
銀行側から「正解/不正解」は言わない
4. カード停止の手続き
→ 顧客が公式サイトやアプリから手続き
→ または銀行の公式電話番号に電話
→ 銀行からの電話で停止処理は完結しない
主要銀行の公式連絡先
詐欺電話を受けた場合、必ず以下の公式番号に折り返してください:
| 銀行名 | 公式連絡先 | 受付時間 |
|---|---|---|
| 三井住友銀行 | 0120-56-3143 | 24時間 |
| 三菱UFJ銀行 | 0120-544-565 | 24時間 |
| みずほ銀行 | 0120-3242-86 | 24時間 |
| りそな銀行 | 0120-01-7820 | 平日9:00-21:00 |
| 三井住友カード | 0120-919-456 | 24時間 |
| JCBカード | 0120-794-082 | 24時間 |
| 楽天銀行 | 0120-691-047 | 24時間 |
| ゆうちょ銀行 | 0120-108-420 | 平日9:00-21:00 |
重要:これらの番号は必ず公式サイトで確認してください。この記事に記載された番号も、念のため公式サイトと照合することを推奨します。
サポート詐欺との複合攻撃
ビッシングは、他の詐欺手法と組み合わせて使われることがあります。特に深刻なのがサポート詐欺との複合攻撃です。
攻撃の流れ
【第1段階:PC画面に偽警告】
パソコン使用中、突然画面全体に赤い警告が表示:
━━━━━━━━━━━━━━━━━━━━━━
⚠️ Windows Defender セキュリティ警告 ⚠️
危険!ウイルスが検知されました!
検出されたウイルス:
- Trojan:Win32/Wacatac.B!ml
- Backdoor:Win32/Agent.DA
- Ransomware:Win32/WannaCry
これらのウイルスにより、以下の情報が盗まれる
危険性があります:
- 銀行口座情報
- クレジットカード番号
- パスワード
- 個人ファイル
すぐにマイクロソフトサポートに連絡してください
サポート電話番号:0120-XXX-XXXX
(24時間対応・日本語サポート)
━━━━━━━━━━━━━━━━━━━━━━
この警告画面は消すことができず、
×ボタンを押しても閉じない。
焦ったユーザーは電話番号に連絡してしまう。
【第2段階:「マイクロソフト」からの電話対応】
ユーザーが電話をかけると…
オペレーター:
「マイクロソフトサポートの佐藤です。
お客様のPCに深刻なウイルス感染が確認されています。
このまま放置すると、銀行口座から不正送金される
可能性があります」
ユーザー:「どうすればいいですか?」
オペレーター:
「今すぐ駆除する必要があります。
遠隔操作でウイルスを除去しますので、
以下のソフトをインストールしてください」
→ TeamViewer、AnyDeskなどの遠隔操作ツールを
インストールさせる
【第3段階:遠隔操作による情報窃取】
オペレーターがPCを遠隔操作し:
- ブラウザの保存パスワードを窃取
- 銀行サイトにアクセスしてログイン情報を入手
- メールアカウントにアクセス
- 個人ファイルを閲覧・コピー
【第4段階:高額な「修理費用」の請求】
オペレーター:
「ウイルス駆除が完了しました。
修理費用として5万円をお支払いください。
クレジットカード番号を教えていただけますか」
→ カード情報も窃取される
サポート詐欺+ビッシングの被害統計
| 年 | 被害件数 | 平均被害額 | 総被害額 |
|---|---|---|---|
| 2022年 | 1,234件 | 8.2万円 | 1.0億円 |
| 2023年 | 2,876件 | 12.5万円 | 3.6億円 |
| 2024年(1-9月) | 4,521件 | 15.8万円 | 7.1億円 |
※警察庁・消費者庁データより
見破るポイント
- ✅ マイクロソフトは電話番号を表示しない
- 正規のWindowsエラー画面に電話番号が表示されることは絶対にない。電話番号がある時点で100%詐欺。
- ✅ 遠隔操作ソフトは絶対にインストールしない
- 見知らぬ相手にPCを遠隔操作させることは、家の鍵を渡すのと同じ。正規のサポートでは遠隔操作を求めない。
- ✅ サポート料金は前払いしない
- 正規のマイクロソフトサポートは基本無料。有料の場合も、電話口でカード番号を聞くことはない。
詳細はサポート詐欺(偽警告)のページで解説しています。
AI音声技術の悪用【最新脅威】
2024年、ビッシングに革命的な変化が起きました。AI音声クローン技術の進化により、わずか数秒の音声サンプルから本人そっくりの声を再現できるようになったのです。
声紋クローン技術の進化
現在、以下のような技術が実用化されています:
| 技術/サービス | 必要な音声時間 | 精度 | 価格 | 悪用リスク |
|---|---|---|---|---|
| ElevenLabs | 1分 | 95% | 月$5〜 | ★★★★★ |
| Resemble.ai | 3分 | 93% | 月$0.006/秒 | ★★★★☆ |
| Descript Overdub | 10分 | 98% | 月$12〜 | ★★★☆☆ |
| Play.ht | 30秒 | 90% | 月$19〜 | ★★★★★ |
| Murf.ai | 5分 | 92% | 月$19〜 | ★★★★☆ |
最も危険なElevenLabsの特徴:
- わずか1分間の音声で声をクローン
- 日本語を含む29言語に対応
- イントネーション、話し方の癖まで再現
- 感情表現(喜び、怒り、悲しみ)も可能
- 誰でも月5ドルで利用可能
音声サンプルの入手経路
詐欺師はどこから音声を入手するのでしょうか?
- 1. YouTubeやSNSの動画
- 企業の社長が登壇したセミナー動画、インタビュー、会社紹介動画など。公開されている動画から音声を抽出するのは簡単。
- 2. 会社の電話応対
- 「営業電話」を装って会社に電話し、社長や幹部の声を録音。数分の会話で十分なサンプルが得られる。
- 3. 株主総会や説明会の録音
- 上場企業の場合、IRイベントの録音が公開されていることも。CEOの声が簡単に入手できる。
- 4. SNSの音声投稿
- Twitter(X)のスペース、Instagram Liveなど、音声SNSが普及したことで、音声サンプルの入手が容易に。
- 5. 内部協力者
- 社内の不満を持つ従業員が、会議の録音データを提供するケースも報告されている。
香港38億円詐欺事例(ディープフェイク複合攻撃)
2024年2月、香港のある企業で38億円(2億ドル)もの被害が発生しました。
【事件の概要】
被害企業:香港の多国籍企業(社名非公開)
被害額:38億円
手口:ディープフェイク動画 + AI音声クローン
【攻撃の流れ】
第1段階:偽のZoomミーティング
━━━━━━━━━━━━━━━━━━
財務担当者に「CFO(最高財務責任者)」から
Zoomミーティングの招待が届く
参加者(すべて偽物):
- CFO
- CEO
- 法務部長
- 会計監査担当
全員がディープフェイク映像で表示され、
AI音声で会話
第2段階:緊急送金の指示
━━━━━━━━━━━━━━━━━━
「CFO」:
「M&A案件で緊急に資金が必要。
38億円を以下の口座に送金してほしい」
財務担当者:
「金額が大きいので確認を…」
「CEO」:
「この案件はトップシークレットだ。
取締役会の承認は後で取る。すぐに実行してくれ」
→ 「CFO」「CEO」の両方が指示しているため、
財務担当者は本物だと信じてしまった
第3段階:送金実行
━━━━━━━━━━━━━━━━━━
財務担当者が38億円を送金
数時間後、本物のCFOが出社
→ 「そんな会議はしていない」
→ 詐欺発覚
この事例の衝撃的なポイント:
- ビデオ会議でも安心できない時代に
- 複数の幹部が同時に登場(集団での説得)
- 動きやまばたきもリアルに再現されていた
- AI技術により、10年前なら不可能だった犯罪が可能に
詳細はAI・ディープフェイクフィッシング詐欺のページで解説しています。
リアルタイム音声変換の脅威
最新のAI技術では、電話中にリアルタイムで声を変換することも可能になりました。
【リアルタイム音声変換の仕組み】
攻撃者の声 → AIソフトウェア → 社長の声に変換 → 被害者
(男性) (0.1秒以内) (完全になりすまし)
使用されるツール:
- Voice.ai
- Voicemod
- Clownfish Voice Changer
- MorphVOX
防御の困難さ:
- 事前録音ではなくリアルタイムなので、質問への回答も可能
- 会話の流れが自然になり、詐欺と気づきにくい
- 「社長らしくない言い回し」も、AIが学習データから適切に調整
電話対応の安全ルール【企業・個人共通】
ビッシング被害を防ぐには、電話対応の基本ルールを徹底することが最も効果的です。
受電時の鉄則10か条
【絶対に守るべき10のルール】
□ 1. 相手の名前・所属・電話番号を必ず聞く
「恐れ入りますが、お名前とご所属、
お電話番号を教えていただけますか」
□ 2. 「折り返します」と伝え、一旦電話を切る
「確認して折り返させていただきます」
相手が「急いでいる」と言っても切る
□ 3. 公式サイトで確認した番号に折り返す
相手が教えた番号ではなく、
公式サイトに記載された番号に電話
□ 4. 緊急性を煽られても慌てない
「今すぐ」「あと10分で」→詐欺のサイン
本当に緊急なら、正規ルートでも対応可能
□ 5. 個人情報は一切伝えない
- カード番号、暗証番号
- パスワード、ワンタイムパスワード
- 生年月日、住所(部分的にも×)
- マイナンバー
□ 6. 「極秘」「誰にも言うな」は詐欺のサイン
正規の業務で「誰にも相談するな」ということは
絶対にない
□ 7. 金銭が絡む依頼は必ず二重確認
送金、振込、決済、購入など
→ 別の上司または同僚に相談
□ 8. 通話を録音する(詐欺抑止効果)
「この通話は録音されています」
と伝えるだけで詐欺師は電話を切る
□ 9. 不審に感じたら即座に相談
- 警察:#9110(サイバー犯罪相談窓口)
- 消費者センター:188
- 社内のセキュリティ部門
□ 10. 家族・同僚と情報共有
「こんな電話があった」と共有することで
同じ詐欺師からの二次攻撃を防ぐ
企業の送金ルール(必須設定)
企業は以下のルールを社内規定として明文化すべきです:
- ルール1:高額送金の二重承認制
- | 送金額 | 必要な承認 | 確認方法 | |--------|----------|---------| | 100万円未満 | 担当者のみ | なし | | 100-1,000万円 | 担当者+課長 | 電話 or 対面 | | 1,000万円以上 | 担当者+課長+部長 | 対面必須 | | 5,000万円以上 | 役員会承認 | 取締役会決議 | **例外なし**:いかなる理由があっても、このルールは遵守する。
- ルール2:電話のみの指示では送金しない
- 上司からの電話指示があっても、必ずメールまたは社内チャットで書面での指示を受け取る。「口頭指示のみ」は詐欺の可能性大。
- ルール3:上司不在時の送金は翌営業日に延期
- 上司が出張・休暇等で不在の場合、緊急送金は実行しない。「今日中に」と言われても、翌日に延期する勇気を持つ。
- ルール4:合言葉システムの導入
- 次のセクションで詳しく解説する「合言葉」を設定し、電話で本人確認する仕組みを導入。
- ルール5:ビデオ通話での確認を推奨
- 高額送金の場合、Zoom、Teams、Google Meetなどでビデオ通話を要求。顔を見て確認できれば、詐欺のリスクは激減。
合言葉システムの導入【効果的対策】
合言葉システムは、ビッシング対策として最も効果的な方法の一つです。シンプルですが、詐欺師には突破できません。
合言葉の基本原理
【仕組み】
1. 事前に本人同士で「秘密の質問と答え」を決めておく
2. 電話で本人確認が必要な時、質問する
3. 正しく答えられれば本人、答えられなければ詐欺
【例】
質問:「うちの犬の名前は?」
答え:「ポチとタマ」
実際には犬を飼っていない
→ 家族しか知らない「嘘の情報」
→ 詐欺師は絶対に答えられない
家族間の合言葉設定例
オレオレ詐欺などの家族を狙った詐欺に有効です。
- パターン1:ペットの名前(嘘バージョン)
- 質問:「うちの猫の名前は?」 答え:「ミケとクロ」 **ポイント**:実際には猫を飼っていない。詐欺師がSNS等で調べても、存在しないペットなので答えられない。
- パターン2:思い出の場所(改変バージョン)
- 質問:「家族旅行で行った温泉は?」 答え:「草津温泉」 **ポイント**:実際には箱根温泉に行った。事実を少し変えることで、SNSの投稿と矛盾させる。
- パターン3:合言葉フレーズ
- 質問:「今月のコードは?」 答え:「赤いリンゴ」 **ポイント**:月ごとに変更する。質問も「今月」「今週」など期間限定にすることで、古い情報では突破できない。
- パターン4:数字コード
- 質問:「セキュリティ番号は?」 答え:「1234」(4桁の任意の数字) **ポイント**:3ヶ月ごとに変更。家族全員で共有。
企業の合言葉設定例
社長と経理担当者など、金銭を扱う関係者間で設定します。
【設定例1:月替わりコード】
毎月1日に、社長が経理担当者にコードを伝える
1月:「桜」
2月:「梅」
3月:「桃」
...
電話で送金指示がある場合:
経理:「今月のコードを教えてください」
社長:「桜」
経理:「承知しました」(送金を実行)
コードが言えない場合:
経理:「今月のコードを教えてください」
詐欺師:「今それどころじゃない!早く送金してくれ!」
経理:「コードが確認できないため、送金できません」
【設定例2:質問形式】
社長と事前に決めた質問:
「私が一番好きな食べ物は?」
答え:「カレーライス」
実際には社長はラーメンが好き。
でも合言葉としては「カレーライス」と設定。
【設定例3:数式】
質問:「7×8は?」
答え:「57」(わざと間違えた答え)
正解は56だが、合言葉としては57。
詐欺師が正解の56と答えたら、逆に怪しい。
合言葉運用の注意点
- ✅ 定期的に変更する
- 3ヶ月に1回、合言葉を更新。長期間同じだと、何らかの方法で漏洩するリスクがある。
- ✅ 複数人で共有する場合は慎重に
- 知っている人が多いほど漏洩リスクが高まる。必要最小限の人数のみで共有。
- ✅ メールやメッセージアプリで送らない
- 合言葉は必ず対面または電話(本人確認済み)で伝える。メールやLINEは[アカウント乗っ取り](/security/accounts/account-takeover/)のリスクあり。
- ✅ 簡単すぎる質問は避ける
- 「誕生日は?」「出身地は?」など、公開情報から推測できる質問は不適切。
- ✅ 合言葉が言えなくても柔軟に対応
- 本物でも忘れることがある。その場合は「後で対面で確認します」と対応。
電話録音の重要性と実装方法
電話録音は、ビッシング対策として極めて効果的です。「この通話は録音されています」というアナウンスだけで、詐欺師の多くは電話を切ります。
電話録音の3つの効果
- 1. 詐欺の抑止効果(最重要)
- 「録音されている」と知った詐欺師は、証拠が残ることを恐れて電話を切る。詐欺を未然に防ぐ最大の効果。
- 2. 証拠としての価値
- 万が一被害に遭った場合、録音データは警察への被害届、裁判での証拠として使える。音声分析により犯人の特定にも貢献。
- 3. 後から内容を確認できる
- 「何を言われたか」を正確に記録。家族や同僚と共有することで、同じ詐欺への警戒が高まる。
固定電話の録音機器(おすすめ3選)
| 製品名 | 価格 | 特徴 | おすすめ度 |
|---|---|---|---|
| パイオニア TF-FD35 | 約15,000円 | 自動録音、迷惑電話ブロック機能、液晶表示 | ★★★★★ |
| パナソニック VE-GD27DL | 約18,000円 | 迷惑電話対策、自動応答、親機+子機 | ★★★★☆ |
| シャープ JD-AT85C | 約12,000円 | 着信前に名前を聞く機能、自動録音 | ★★★★☆ |
設定のポイント:
□ 自動録音機能をONにする
□ 「この通話は録音されています」のアナウンスを有効化
□ 録音データは最低3ヶ月保存
□ SDカードやUSBメモリへの定期バックアップ
スマートフォンの録音アプリ
iPhone(iOS)の録音方法
iPhoneは標準機能で通話録音ができないため、以下の方法を使います:
- 方法1:専用アプリ(有料)
- **おすすめアプリ**: - **TapeACall Pro**(月額$10):高音質録音、クラウド保存 - **Call Recorder iCall**(月額$7):自動録音、文字起こし機能 **使い方**: 1. アプリをダウンロード 2. 電話がかかってきたら、アプリを起動 3. 「録音開始」ボタンをタップ 4. 通話終了後、自動的に保存
- 方法2:スピーカーフォン+ボイスメモ
- 無料だが音質が低い方法: 1. 電話をスピーカーフォンにする 2. 別のiPhoneまたはiPadで「ボイスメモ」アプリを起動 3. 録音ボタンを押す
Android の録音方法
Androidは機種によって標準で通話録音機能があります。
- 方法1:標準機能(Galaxy、Xperiaなど)
- **Galaxyの場合**: 1. 「電話」アプリを開く 2. 設定→通話中の設定 3. 「通話を自動録音」をオンにする **Xperiaの場合**: 1. 「電話」アプリ→設定 2. 「通話録音」を有効化
- 方法2:録音アプリ(標準機能がない機種)
- **おすすめアプリ**: - **Cube ACR**(無料/有料):自動録音、クラウド保存 - **Automatic Call Recorder**(無料):シンプルで使いやすい **注意**:Android 10以降、プライバシー保護のため通話録音が制限される機種あり。
録音の法的有効性
日本では通話録音は基本的に合法です。
【法的根拠】
✅ 自分が当事者の通話は録音可能
- 自分が参加している会話の録音は合法
- 相手の同意は不要
✅ 証拠として使える
- 裁判での証拠として有効
- 警察への被害届にも添付可能
- 音声鑑定により犯人特定にも寄与
❌ 盗聴は違法
- 自分が参加していない会話の録音は盗聴罪
- 他人の電話を無断で録音するのは犯罪
「録音されています」アナウンスの効果:
法的には相手に通知する義務はありませんが、アナウンスすることで詐欺の抑止効果が飛躍的に高まります。
自動応答例:
「この電話は、防犯のため録音させていただいております。
ご了承の上、お話しください」
→ このアナウンスが流れた瞬間、詐欺師の9割以上が電話を切る
被害に遭った場合の対処法
万が一ビッシングの被害に遭ってしまった場合、初動対応の速さが被害額を左右します。
【即座の対応】被害発覚から5分以内
被害内容別の緊急対応
【送金してしまった場合】
□ 送金先の銀行に即座に連絡
- 口座凍結を依頼
- 送金取消(間に合えば)
□ 自社の取引銀行にも連絡
- 今後の不正送金を防止
【カード番号を教えてしまった場合】
□ カード会社に即座に連絡
- カード利用停止
- 再発行手続き
□ 主要カード会社の連絡先:
- 三井住友カード:0120-919-456
- JCBカード:0120-794-082
- 三菱UFJニコス:0120-159-674
【銀行口座情報を教えてしまった場合】
□ 銀行に即座に連絡
- インターネットバンキングの利用停止
- 暗証番号の変更
- 取引履歴の確認
【パスワードを教えてしまった場合】
□ 該当サービスで即座にパスワード変更
□ 二要素認証の設定(未設定の場合)
□ ログイン履歴を確認
□ 同じパスワードを使っている他のサービスも変更
【遠隔操作ソフトをインストールしてしまった場合】
□ インターネット接続を即座に切断
- Wi-Fiをオフ、LANケーブルを抜く
□ 遠隔操作ソフトをアンインストール
- TeamViewer、AnyDesk等
□ ウイルススキャン実施
□ 念のため初期化を検討
【証拠保全】被害発覚から30分以内
証拠は後の被害回復や犯人逮捕に不可欠です。
- 保存すべき証拠
- ``` □ 通話履歴のスクリーンショット - 発信者番号 - 通話時刻 - 通話時間 □ 録音データ(録音していた場合) - 会話内容すべて - 複数箇所にバックアップ □ 会話内容のメモ - 相手が名乗った名前・所属 - 言われた内容 - 要求された情報 - 自分が伝えた情報 □ 送金明細・振込証明書 - 送金額 - 送金先口座情報 - 送金日時 □ メール・SMSのスクリーンショット - 電話の前後に届いたメッセージ - 詐欺と関連する可能性のあるもの □ パソコン画面(サポート詐欺の場合) - 表示された警告画面 - インストールさせられたソフト - 遠隔操作中の画面 ```
【通報・相談】被害発覚から1時間以内
- 1. 警察への通報(最優先)
- **サイバー犯罪相談窓口**: - 電話:**#9110**(最寄りの警察本部に接続) - 受付時間:平日 8:30-17:15(都道府県により異なる) **被害届の提出**: - 最寄りの警察署で被害届を提出 - 持参するもの: - 証拠資料(録音、メモ、送金明細等) - 身分証明書 - 印鑑 **効果**: - 犯人逮捕の可能性 - 被害金の回復(振り込め詐欺救済法) - 他の被害者の防止
- 2. 消費生活センターへの相談
- **消費者ホットライン**: - 電話:**188**(いやや) - 最寄りの消費生活センターに接続 - 受付時間:地域により異なる(多くは平日のみ) **相談内容**: - 被害の返金方法 - 契約の取消 - 法的対応の相談
- 3. 金融機関への報告
- **銀行・カード会社**: - 不正利用の補償制度がある場合も - 報告期限:多くは60日以内 - 補償の可能性: - カード不正利用:ほぼ全額補償(盗難保険) - 銀行送金:補償なしが原則(本人が実行したため) - ただし、明らかな詐欺の場合は救済される可能性あり
- 4. 社内への報告(企業の場合)
- **報告先**: - 直属の上司 - セキュリティ部門 - コンプライアンス部門 - 経営層(被害額が大きい場合) **重要**: - 隠蔽せず、速やかに報告 - 同じ手口での二次被害を防ぐ - 社内ルールの見直しに活用
被害金の回復可能性
| 被害の種類 | 回復可能性 | 回復方法 |
|---|---|---|
| カード不正利用 | 高(90%以上) | カード会社の盗難保険 |
| 銀行送金(詐欺) | 低(10%以下) | 振り込め詐欺救済法(口座凍結が間に合えば) |
| 現金手渡し | ほぼ不可能 | 犯人逮捕による差し押さえ(稀) |
| 暗号資産送金 | 不可能 | 取り戻す手段なし |
最新の対策技術
技術の進化により、ビッシング対策ツールも進化しています。
迷惑電話ブロックサービス
| サービス | 提供元 | 月額料金 | 特徴 |
|---|---|---|---|
| トビラフォン | トビラシステムズ | 300円 | AI判定、詐欺番号データベース4,000万件 |
| ナンバー・ディスプレイ | NTT東日本/西日本 | 440円 | 発信者番号表示、非通知拒否 |
| 迷惑電話おことわりサービス | NTT東日本/西日本 | 220円 | 着信拒否、警告ガイダンス |
| Whoscall | Gogolook | 無料/480円 | 固定電話・携帯両対応 |
AIによる詐欺電話判定
トビラフォンの仕組み:
着信 → AIが瞬時に判定 → 結果を表示
判定基準:
✅ 詐欺番号データベースとの照合(4,000万件)
✅ 着信パターンの分析(短時間に複数の番号から)
✅ ユーザーからの報告データ
✅ 音声パターンの分析(自動音声の検知)
結果:
🔴 危険:「詐欺の可能性が高い」と警告、着信音を変更
🟡 注意:「不審な番号」と表示
🟢 安全:通常通り着信
固定電話の防御設定
- 非通知着信の拒否
- **NTT固定電話の場合**: 1. 受話器を上げる 2. `148`をダイヤル 3. `1`を押す(非通知拒否を設定) **効果**: - 非通知でかけてきた相手に「番号を通知してかけ直してください」とアナウンス - 詐欺電話の多くは非通知なので、大幅に減少
- 留守番電話を常時ONにする
- **方法**: - 呼び出し音1回で留守番電話に切り替わるよう設定 - 「電話に出る前に、留守電で用件を確認する」運用 **効果**: - 詐欺師は留守電にメッセージを残さない - 本当に必要な電話だけ折り返せる - 高齢者の詐欺被害防止に特に有効
企業向けPBX(電話交換機)の設定
- 特定番号の自動ブロック
- 企業のPBX設定で、既知の詐欺番号からの着信を自動的に遮断。ブラックリストは定期的に更新。
- 録音アナウンスの自動再生
- 「この通話は品質向上のため録音されています」という音声を自動再生。詐欺の抑止に効果大。
- 外線からの内線への直接転送を禁止
- 外部から「〇〇さんに繋いで」と言われても、受付が必ず用件を確認してから転送。社長や経理への直通を防ぐ。
よくある質問(FAQ)
- Q: 本物の銀行からの電話と詐欺電話の見分け方は?
- A: 残念ながら、電話だけで100%見分けることは不可能です。なぜなら、詐欺師は(1)発信者番号を偽装できる、(2)銀行員と同じ言葉遣いができる、(3)個人情報の一部を既に知っている、からです。最も確実な方法は「一旦電話を切り、銀行の公式サイトに記載された電話番号に折り返す」ことです。本物の銀行員なら、折り返しを了承します。詐欺師は折り返しを嫌がり、「今すぐ対応しないと」と急かします。また、銀行は電話でカード番号、暗証番号、ワンタイムパスワードを聞くことは絶対にありません。これらを聞かれた時点で100%詐欺です。
- Q: 通話録音は法的に証拠になりますか?
- A: はい、日本では自分が当事者として参加している通話の録音は合法であり、証拠として有効です。警察への被害届、裁判での証拠提出、どちらでも使えます。録音データから詐欺師の声紋を分析し、犯人特定に役立つこともあります。ただし、重要なのは「改ざんされていない」ことを証明することです。録音した日時、ファイルのハッシュ値などを記録しておくと、証拠としての信頼性が高まります。また、録音する際に相手に「録音しています」と伝える義務はありませんが、伝えることで詐欺の抑止効果が飛躍的に高まります。多くの詐欺師は録音されていると知ると、証拠を残したくないため電話を切ります。
- Q: AI音声は聞いただけでわかりますか?
- A: 2024年時点のAI音声技術は非常に高度で、一般人が聞いただけで判別することは極めて困難です。特にElevenLabsやResemble.aiなどの最新技術は、イントネーション、話し方の癖、感情表現まで再現できるため、本物との区別がつきません。ただし、以下のような不自然さが残ることもあります:(1)会話の間が不自然(AIの処理時間)、(2)同じフレーズの繰り返しが多い、(3)専門的な質問への回答が曖昧、(4)背景音が不自然に静か。しかし、これらに気づくには相当な注意力が必要です。最も確実な対策は「音声で判断しない」こと。合言葉システムやビデオ通話での確認を必ず行ってください。
- Q: 高齢の親を詐欺から守るにはどうすればいいですか?
- A: 高齢者は特にビッシングの標的になりやすいため、家族による積極的なサポートが必要です。効果的な対策として、(1)「留守番電話を常時ON」にして、電話に直接出ない習慣をつける、(2)固定電話に録音機能付き電話機を導入し、「この通話は録音されています」とアナウンスさせる、(3)家族間で合言葉を設定し、「お金の話が出たら必ず合言葉を確認する」と約束、(4)非通知着信を拒否設定、(5)迷惑電話ブロックサービス(トビラフォン等)の導入、(6)定期的に詐欺の最新手口を共有し、「こういう電話がきたら詐欺」と具体例を教える、などがあります。また、金銭管理を家族が一部サポートすることで、高額送金を防ぐことも検討してください。詳細は[高齢者のフィッシング詐欺対策](/security/scams/phishing/column/defense/elderly-guide/)で解説しています。
- Q: 会社で合言葉システムを導入したいのですが、上司が「面倒だ」と嫌がります。どう説得すればいいですか?
- A: 合言葉システムに抵抗を感じる理由は「手間がかかる」「スマートじゃない」といった心理的なものです。説得のポイントは、(1)実際の被害額を提示する(山形鉄道の1億円被害など)、(2)合言葉の確認は10秒で終わることを強調、(3)「合言葉を言えなかった場合だけ、翌日に延期する」という柔軟な運用を提案、(4)経営層や他社の導入事例を紹介、(5)「もし詐欺に遭ったら会社の存続に関わる」というリスクを明確にする、などです。また、最初は「1,000万円以上の送金のみ」など、高額案件に限定して始めることで、心理的なハードルを下げることができます。一度でも詐欺未遂があれば、全社員が重要性を理解するはずです。
- Q: ビデオ通話でも詐欺は可能ですか?
- A: 残念ながら、2024年時点でビデオ通話でも詐欺は可能になっています。香港の38億円詐欺事例のように、ディープフェイク技術を使えばZoomやTeamsの画面上で本物そっくりの映像を作れます。ただし、この技術は非常に高度で、犯罪グループでも限られたケースでしか使えません。ビデオ通話詐欺を見破るポイントは、(1)予期しないビデオ会議の招待は疑う、(2)「カメラの調子が悪い」「音声のみで」と言われたら警戒、(3)重要な案件は対面での確認を要求、(4)ビデオ通話中に「昨日の〇〇の件だけど」など、詐欺師が知らない具体的な話題を振る、などです。現時点では、ビデオ通話+合言葉の組み合わせが最も安全です。
まとめ
ビッシング(音声フィッシング)は、2024年に入り急速に被害が拡大している脅威です。山形鉄道の1億円被害に象徴されるように、企業だけでなく個人も標的となり、誰もが被害者になり得る時代です。特にAI音声クローン技術の進化により、「声を聞けば判断できる」という常識は通用しなくなりました。
本記事で解説した重要な対策:
- 電話対応の鉄則10か条を徹底:折り返し確認、個人情報は伝えない、緊急性に惑わされない
- 企業は二重承認ルールと合言葉システムを導入:高額送金には必ず複数名の承認を必須化
- 電話録音で抑止効果を最大化:「この通話は録音されています」のアナウンスで9割の詐欺を防ぐ
- 最新のAI技術を理解する:音声だけでは本人確認できないことを認識し、ビデオ通話や合言葉を併用
- 被害に遭ったら即座に行動:5分以内の初動対応が被害額を左右する
ビッシングはフィッシング詐欺の中でも特に心理的な隙を突いた攻撃であり、ソーシャルエンジニアリングの典型例です。技術的な対策だけでなく、人間の判断力と社内ルールの徹底が最大の防御となります。
「電話なら安全」という思い込みを捨て、常に「この電話は本物か?」と疑う姿勢を持つことが、被害を防ぐ第一歩です。家族や同僚と情報を共有し、組織全体でビッシングに立ち向かいましょう。
関連記事
- フィッシング詐欺とは?2025年最新の手口から対策まで完全ガイド
- AI・ディープフェイクフィッシング詐欺
- SMS詐欺(スミッシング)対策ガイド
- ホエーリング攻撃
- ソーシャルエンジニアリング
- 高齢者のフィッシング詐欺対策
- アカウント乗っ取り(ATO)
- サポート詐欺(偽警告)
【重要なお知らせ】
- 本記事は一般的な情報提供を目的としており、個別の状況に対する助言ではありません
- 実際に被害に遭われた場合は、警察(#9110)や消費生活センター(188)などの公的機関にご相談ください
- 法的な対応が必要な場合は、弁護士などの専門家にご相談ください
- 記載内容は作成時点(2025年11月)の情報であり、手口は日々進化している可能性があります
📍 ナビゲーション
🏠 フィッシング詐欺完全ガイドTOP
現在地: TOP > 手口と事例
📂 主要カテゴリー
- 📰 最新情報・速報
- 🔧 技術者向け対策
- 📋 手口と事例 ← 現在のページ
- 🛡️ 対策・防御方法
- 🚨 被害時の対応
- 🏢 業界別対策
📄 手口と事例の詳細ページ
基本的な手口
- [危険度:★★★] メールフィッシング(例文30種)
- [危険度:★★★★] SMS詐欺(スミッシング)
- [危険度:★★★★] 音声詐欺(ビッシング)
- [危険度:★★★] QRコード詐欺
新しい手口
- [危険度:★★★★] SNS経由詐欺
- [危険度:★★★★★] AI・ディープフェイク詐欺
- [危険度:★★★★★] リアルタイムフィッシング
高度な手口
- [危険度:★★★★★] スピアフィッシング
- [危険度:★★★★★] ホエーリング(経営層狙い)
- 2025年最新事例集
- 心理的手法の解説
- フィッシングの歴史と進化
⚠️ 危険度レベル
- ★★★ = 中程度の危険
- ★★★★ = 高い危険
- ★★★★★ = 非常に高い危険
更新履歴
- 初稿公開