Web 経由で通話を可能にする VoIP(Voice Over Internet Protocol)は、電気通信の分野における最も新しい技術革新の1つです。
しかし、VoIP の利用者が増加するのに伴い、これを利用して不正を働く者が現れてきました。これらの犯罪者は、VoIP を利用して他人になりすましたり、金銭目的の恐喝を試みたりします。この新手の詐欺行為は「ヴィッシング(Vishing)」と呼ばれています。
VoIP 版のフィッシング
ヴィッシングは、その名のとおりフィッシングの VoIP 版です。フィッシングの仕組みについてはすでにご存知の方が多くいるかと思います。
多くの場合、詐欺行為が見つかったなどのそれらしい理由をつけて、銀行やクレジット・カード会社を装った電子メールを不特定多数に送り付け、口座情報やパスワードを変更するようユーザに要求し、メールに書かれているリンクをユーザがクリックすると、本物そっくりの
Web サイトに誘導されてしまうというものです。もちろん、このようなメールの言うとおりにしてはなりません。これはまさしく詐欺であり、個人情報を不正に収集しようとする犯罪行為です。
ヴィッシングのパターン
- ヴィッシングの1つ目のパターンは、従来のフィッシング詐欺と同様に電子メールが送られてくるというものです。ただし、Web サイトにアクセスするよう促されるのではなく、ある番号に電話をかけ、必要な情報を伝えるように要求される点がフィッシングと異なります。この「カスタマー・サービス」の番号(本物の金融機関等の番号ではなく VoIP アカウント)に電話をかけると、口座番号やパスワードなどの機密情報を入力するように求める音声メニューが流れてきます。
- もう1つは、電子メールが送られてくるのではなく、電話がかかってくるというパターンです。電話口の声は、生のものである場合も、録音されたものである場合もありますが、いずれも口座を保護するためなどといって何らかの行為を要求してきます。多くの場合、詐欺グループ側はすでにこちらの個人情報(口座番号やクレジット・カード番号など)を何かしら把握しているため、電話を受けた側はつい本物であると思ってしまいがちです。この電話も VoIP アカウントからかかってきます。
これらの手口からも分かるように、ヴィッシングには、従来の電話を利用した詐欺に比べ、詐欺グループにとって好都合な点がいくつかあります。まず、VoIP サービスは非常に低コスト(特に長距離電話の場合)であり、電話代が安く済むという点が挙げられます。また Web ベースであるため、ソフトウェアを使用して、自動化された偽の「カスタマー・サービス」の仕組みを簡単に作成できるという点もメリットの1つです。
詐欺グループが電話番号を明らかにしているのなら、簡単に追跡できるのではないかと思われるかもしれません。しかし、発信元は偽装することができるため、発信者番号通知サービスは役に立たないのです。また、ハッキングされた正規加入者の VoIP 番号が使われている場合もあります。
このヴィッシングがどれほど広まっているかについては、被害を報告する仕組みが整っていないことから、正確なところは分からないというのが現状です。 FBI の Cyber Initiative and Resource Fusion Unit の責任者である Dan Larkin 氏は、「この種の詐欺行為に遭遇した人々の多くは、これをスパムまたはフィッシングとして報告しているため、ヴィッシングがどれだけ行われているかを把握することはできていません。しかし、実際にヴィッシングが行われているということは間違いありません」と述べています。
では、ヴィッシングの被害に遭わないようにするにはどうすればよいのでしょうか。Larkin 氏は、「個人情報を求める電話や電子メールには、ある程度の懐疑心をもって対応するべき」と助言しています。電話が本物のように思えても、情報を提供する前にいったん電話を切り、口座の開設時に金融機関から教えられたカスタマー・サービスの電話番号にかけ直せば、最初の電話が本物であるかどうかを確認できます。
ヴィッシングに騙された可能性がある場合、あるいは不審な電話や電子メールを受け取った場合は、Internet Crime Complaint Center に連絡してください。
サイバー犯罪に関するその他の情報
サイバー犯罪の事例 [英語版]
FBI
のサイバー犯罪部門 [英語版]
Looks
Too Good To Be True の Web サイト [英語版]
出典: Something Vishy: Be Aware of a New Online Scam, U.S. Federal Bureau of Investigations, Washington, D.C., United States of America, Feb. 23, 2006.