ニュース

PCを遠隔操作して不正送金を行う「ボイスフィッシング」起点の新たな手口、法人で多額の被害発生

トレンドマイクロが注意喚起。1社で4億円を超える被害事例も

  • 渡邊 悠太

2026年6月5日 06:30

 トレンドマイクロ株式会社は、法人のインターネットバンキングを狙う「ボイスフィッシング」を起点とした、遠隔操作ソフトウェアを悪用する新たな手口について解説するブログ記事を公開した。

2025年のボイスフィッシングの被害額は約45億円

 ボイスフィッシング(Voice Phishing、「ビッシング」とも)は、音声通話を起点としたフィッシング攻撃を指す。ここで紹介する手口は、日本国内だと2024年11月頃に被害が報告されはじめ、その後2025年4月、11月と被害が続いている。

 警察庁が2026年3月に公表した「令和7年におけるサイバー空間情勢をめぐる脅威の情勢等について」によると、さまざまな手口による不正送金の被害は全部で4747件、約103億9700万円となっている。そのうち、法人のインターネットバンキングを狙うボイスフィッシング攻撃による不正送金の被害は143件、約45億円。件数としては全体の1割に満たないが、不正送金の被害額の約4割を占めている。中には、1社で4億円を超える被害が発生した事例も報道されている。

2025年の被害金額推移(トレンドマイクロのブログ記事より)

 これらの攻撃では、攻撃者は標的組織に対して実際に電話を掛け、「インターネットバンキングのシステム更新」などといった口実で、担当者からメールアドレスを聞き出したうえでフィッシングサイトへ誘導し、認証情報などの詐取を行う。会話の中で受信者の警戒心を解き、メールフィルターやURLレピュテーションなどの防御を回避してくることが特徴だ。

法人を狙うボイスフィッシングの流れ(トレンドマイクロのブログ記事より)

 警察庁の情報によると、法人のインターネットバンキングを狙ったボイスフィッシングには次のような特徴が共通して見られるという。

  • 発信元番号が国際番号である
  • 自動音声ガイダンスが流れた後に人間の声に切り替わる
  • 通話中にメールアドレスを聴取され、リンク付きメールが送られる

遠隔操作で不正送金を行う新たな手口が確認される

 2026年5月ごろから再度、法人のインターネットバンキングを狙ったボイスフィッシングが発生している。これまでのボイスフィッシングでは、正規のページに似せたフィッシングサイトから、IDやパスワードを窃取することが多かったが、新たな手口として、遠隔操作を組み合わせた手口が確認されており、複数の金融機関から注意喚起が行われている。

 金融機関の協力のもと、トレンドマイクロが調査を実施した結果、被害者を偽のウイルス対策ソフトの案内ページに誘導し、ITカスタマーサポートなどで用いられる遠隔操作ソフトウェアの「ScreenConnect」をインストールさせていた可能性が高いことが確認されたという。ScreenConnectは、正規の遠隔操作ソフトウェアだが、偽のウイルス感染警告で金銭をだまし取る「テクニカルサポート詐欺」などでの悪用も確認されている。

 一部のインターネットバンキングでは、接続している端末が正当なものであるかを証明する「電子クライアント証明書」を用いた認証方式がとられている。しかし、遠隔操作が行われた場合、正規の端末からの操作になることから、クライアント証明書を用いた認証方式が突破されてしまう可能性があるという。この手口は、金融機関側の振る舞い検知や不正取引のモニタリング検知を回避することも狙いだとみられる。

新たに確認された法人を狙う遠隔操作手口の流れ(トレンドマイクロのブログ記事より)

ボイスフィッシングの被害を防ぐための対策

 トレンドマイクロは、ボイスフィッシングについて銀行の取引の仕組みの問題ではなく、人間の心理を突いたソーシャルエンジニアリングであり、セキュリティ対策製品やシステム的な対策だけでなく、初期接触点である電話での対応について注意喚起を行うことが重要だとしている。具体的な対策としては、次の内容を紹介している。

折り返し確認のルール化と徹底

 銀行から電話があった場合に、営業店・代表電話に折り返して本物かどうか確認するといった対応や、インターネットバンキング利用時は、銀行公式サイト・アプリからアクセスするといった対応を社内で徹底する。

 折り返し先の電話番号は偽の番号を案内される可能性もあるため、かかってきた電話の発信者番号や通話中に告げられた番号ではなく、必ず銀行の公式サイトや通帳・カードなどに記載された正規の代表電話を使うことが重要。

インターネットバンキングへのアクセスの起点を限定する

 メール内のリンクからはインターネットバンキングにアクセスしない、というルールを徹底し、ブックマーク済みの公式URL、または公式アプリからのみアクセスする運用に統一する。

高額送金の二重承認・別チャネル承認

 「申請者と承認者を別にする」「高額送金については別の通信手段(対面・内線電話など)での口頭確認を必須とする」といった業務プロセスを設けることで、認証情報が窃取された場合でも被害につながりにくくなる。

受電担当者へのソーシャルエンジニアリング教育

 経理・財務部門、代表電話の一次受電担当者を中心に、ボイスフィッシングの手口について教育を行う。特に、「自動音声ガイダンスから始まる銀行を名乗る電話」「メールアドレスを聞いてくる銀行担当者」は昨年から続くボイスフィッシングの特徴であることを共有することが重要となる。

着信フィルタリングと国際電話の制限

 海外発信や非通知着信に対するフィルタリングを設定することで、不審な着信そのものを減らせる。発信元番号が国際番号である点はボイスフィッシングの典型的な特徴であるため、業務上不要であれば国際電話の着信を制限することも有効。

金融機関との連携と早期通報

 不審な電話を受けた、あるいは認証情報を入力してしまった疑いがある場合は、直ちに金融機関に連絡し、インターネットバンキングの停止・パスワード変更・不正送金の有無確認を行う。同時に警察にも通報し、捜査・実態解明に協力することが、自社の被害最小化だけでなく、他社の被害防止にもつながる。

不審なソフトウェアのインストール制限とエンドポイント保護

 現在確認されているボイスフィッシングの手口では、銀行を名乗る相手の指示で、PCに何らかのアプリ/ツールをインストールすることが多くなっている。

 経理・財務などインターネットバンキング利用部門のPCについては、利用者権限を制限し、任意にソフトウェアをインストールできないように設定することや、アプリケーションコントロール/許可リスト方式の導入により、業務に必要なアプリ以外の実行を制限することが効果的だ。また、EDR製品により、端末上の不審な動作や、意図しないリモート接続を検知することも有効だと考えられる。

関連記事