フィッシングで全財産を奪われた社長令嬢：こうしす！　こちら京姫鉄道 広報部システム課 ＠IT支線（52）

ボイスフィッシングとは

　ボイスフィッシングとは、電話を通じてパスワードなどを聞き出す形の詐欺のことです。金融機関や役場の職員、警察官などを名乗り、ネットバンキングのログインID、パスワード、ワンタイムパスワードなどのログイン情報を聞き出し、口座のお金を盗むというものです。これはソーシャルエンジニアリングの一種でもあります。

　フィッシング詐欺には他にも、フィッシングサイトやフィッシングメールなどがあります。

アカウント停止や犯罪捜査などの理由で慌てさせる

　冷静に考えれば、ネットバンキングのログインIDやパスワード、認証トークンに表示されているワンタイムパスワードなどを金融機関や役場の職員や、警察官が尋ねるはずがありません。

　しかし、冷静に考えればだまされないことでも、「アカウントが停止される」「犯罪捜査で逮捕される」といった不利益が迫れば、焦りのあまり言われるがままになってしまうことがあります。

　そのため、「自分はだまされない」と思っていても、このような被害に遭ってしまうことはあります。

意外とだまされやすい自動音声

　気を付けていても警戒が緩みがちなのが、「自動音声による案内を装った電話」や、それにより「ダイヤルをプッシュさせる手法」です。

　詐欺師は、「自動音声は、大企業が使うそれなりにお金がかかるIVR（Interactive Voice Response：音声自動応答）システムが必要であり、詐欺師が使うはずがない」「ダイヤルをプッシュしても機械しか聞き取れないから、詐欺師が使うわけがない（人間は聞かないので安心）」という思い込みや油断に付け入ります。

　しかし、その思い込みは正しくありません。

　実際、自動音声の合成にそれほどコストは必要ありません。音声を合成するTTS（Text-to-Speech）ソフトウェアやクラウドサービスを入手し、合成するだけです。プッシュ音も、2つの周波数の音を重ねたDTMF（Dual-Tone Multi-Frequency：トーン信号）トーンで数字を表す単純なものですから、それを解読するソフトウェアの実装も容易で、最悪、頑張れば人間の耳でも聞き取れます。そのため、いわば「完全手動IVR」を実現するコストは微々たるものです。

　その上、「Asterisk」などのオープンソースソフトウェアのIP-PBX（IP電話の構内交換機）ソフトウェアを使うことで、本格的なIVRを安価に構築することも可能です。例えば「○○の場合は1を押してください」「暗証番号6桁を押してください」と入力を促し、入力された暗証番号を出力するシステムも構築可能です。

　これらを踏まえれば、自動音声だからといって必ずしも「お金がかかっている」わけではないことが分かります。

対策

　対策は「手法をよく知って冷静さを失わない」に尽きますが、寝起きでボンヤリしていたり仕事帰りで疲れ果てていたりして、うっかりだまされてしまうかもしれません。最優先すべきは「自分を信じない」ことです。

• 0〜1コールで留守番電話応答にする（ワンテンポ置くことで客観視できることに期待する。犯人が留守電に証拠を残したくないという心理もあるかもしれない）
• オンフックを使用する（受話器で応答するよりも客観的に受け止められることに期待する）
• 認証トークンを自分でも容易に取り出せない場所に保管する。企業内の場合は複数人で認証トークンを管理し単独で使用できないようにする（認証トークンを使用するまでの過程で冷静になることに期待する）
• 固定電話の場合は、国際電話不取扱受付センターで手続きして、海外からの着信を拒否する

　「電話に直接対応しない」だけでも、これだけの対策方法が考えられます。

　ただし、留守番電話には強盗に不在だと誤解されて押し入られてしまうリスクがあります。そのため、留守か留守でないか分からないような内容の応答音声を吹き込んでおくという工夫も必要かもしれません。

　また、万が一だまされてしまったときのために、「ネットバンキングの1日の送金最大金額を必要最小限の少額、または0円に設定」しておくなど、被害を軽減するための対策も打っておく必要があるでしょう。