編集部からのお知らせ
「ZDNet Japan Summit」参加登録受付中! 
新着記事集:「負荷分散」

VoIPは詐欺師にとって好都合なテクノロジなのか?抜け道をふさぐポイントを探る

文:Deb Shinder 翻訳校正:吉井美有

2007-10-08 08:00

 あなたが従来の公衆交換電話網(PSTN)からVoIPへの切り替えを検討しているのであれば、それによって詐欺に引っかかりやすくなるのか、それともよくある詐欺から身を守りやすくなるのか、あるいは違いなどまったく生じないのかと悩んでいるかもしれない。

 詐欺は人類の歴史が始まったころから存在している。言い換えれば、他者を騙し、自分のために何かを行わせようとする(よくあるのは、金銭や、金銭以外の価値がある物を巻き上げる)ということだ。ここで言う金銭以外の価値がある物というのは、現代の電子化された世界において、金融機関などのさまざまな口座にアクセスするためのパスワードであったり、後払いで商品を入手するために用いるクレジットカード番号やそれに類似した情報であったりする。

 大半の司法管轄区域では、対面詐欺とオンライン詐欺の双方を対象とするよう、詐欺罪というものがかなり広く定義されている。そして、多くの司法管轄区域において、インターネット上で多発している詐欺に的を絞った条項が制定されようとしているところだ。こういったオンライン詐欺の脅威のうち、どれぐらいがVoIPと関連しているのだろうか?詳しく見てみよう。

VoIPフィッシング:ヴィッシング

 フィッシングは、今日におけるコンピュータユーザーが直面する最も大きな問題の1つである。従来のフィッシングでは、不用心なユーザーを本物の企業サイトのようにデザインされた偽のウェブサイトへと誘導するリンクを記載した電子メールを送信し、その偽サイトでユーザーを騙して個人情報を入力させる。この偽サイトを所有する詐欺師は、入力されたデータを収集し、その情報を用いることで被害者の口座にアクセスしたり、彼らのアイデンティティを盗み、その身元をかたって被害者名義で新たに口座を開設したりすることができる。

 このことはVoIPと何の関係があるのだろうか?詐欺は着実に洗練されたものとなってきており、今日の詐欺師の多くは、その詐欺にテレフォニー技術を導入している。というのも、電子メールメッセージに応答したり、ウェブ上のフォームで個人情報を入力することについて、セキュリティ専門家や警察関係者が大衆に対して警告し始めたからである。彼らのアドバイスとは、自身がやり取りしていると思っている相手の身元を確認する際には、インターネットを利用するのではなく電話をかけるというものだ。

 しかし、詐欺師らは一歩先を行くことに長けている。そのため、新たな脅威が登場してきている。それがヴィッシング(この呼び名はVoIPフィッシングからきている)である。これはフィッシング詐欺の一種であり、個人情報を伝える際に電話を利用するようにというこのアドバイスを逆手に取って、VoIPを利用するというものだ。

VoIPが脆弱である理由

 問題は、VoIPが今や広く普及したことで、詐欺師らはVoIP回線を用いて、電話をかけた先が大企業だと発信者に錯覚させるような洗練された自動応答システムを構築できるようになっているということである。そして、そういったシステムは機器や人手、資金をさほどかけずとも構築できる。Asteriskのような低価格または無償のIP PBXソフトウェアを用いれば、こういったことが容易に行えるのだ。

 VoIP電話の番号は固定電話の番号のように見えるため、電話の発信者は、自分がかけている番号が固定電話のものではなくVoIP電話のものであると簡単にはわからない。また、実際にいる場所とはまったく異なる地区の市外局番のついたVoIP電話番号を入手することも可能となっている。さらに、技術に詳しい詐欺師であれば、発信者番号を詐称することで、被害者側では発信者番号表示で本物のVoIP番号を見ることすらできないようにすることも可能だ。

 VoIPシステムを構築した後は、被害者に対してウェブサイトでの情報入力を求める代わりに「口座情報を確認する」ための電話番号を提示する。実在する電話番号を表示して被害者を安心させ、その求めが正当なものであると信じ込ませるのである。

 この番号に電話をかけると、大企業のものとよく似た自動音声応答システムに接続されるため、それがさらに被害者を安心させることになる。そして、被害者は住所や電話番号、社会保障番号、銀行口座番号など、インターネットを介してであれば渡すことをためらうようなあらゆる種類の個人情報を渡してしまう。

 詐欺師らは一般的に、自動録音やコンピュータによる音声合成を用いてメッセージ(例えばユーザーの口座が不正行為に用いられている疑いがあるという警告など)を作成したうえで、実際の人間と会話を行わせるのではなく、電話機のキーパッドを用いてクレジットカード番号を入力するようユーザーに指示する場合が多い。残念なことに、われわれは大企業がこういったかたちで業務を行うことに慣らされているため、大して疑問を抱かないのだ。

 音声合成は非常に洗練された高価な機能であるように思えるかもしれないが、騙されてはいけない。実際、詐欺師らはFestivalのような無償プログラムを、Asteriskのような無償のIP PBXソフトウェアと組み合わせて使うことができるのだ。

 VoIPの利用においては、標準的なコンピュータ機器上で動作する洗練されたソフトウェアが安価に入手できるうえ、個人や企業にとってPSTNよりも魅力的な柔軟性や機能が提供されるため、不純な動機を持った人々にとってもVoIPは魅力的なのである。

VoIP発信者表示の問題点も考え方次第

 しかし、この件に関してVoIPには逆に良い面もある。VoIPを用いれば、詐欺師らが利用しているのと同じユーザーフレンドリーな機能を利用することで、彼らの攻撃に対していくらかは保護策を講じることができる。あなたが発信者番号表示を利用しても詐欺師の電話番号を特定することが難しくなっているように、あなたの電話番号の特定を彼らにとっても難しくすることが可能なのである。

ZDNet Japan 記事を毎朝メールでまとめ読み(登録無料)

特集

CIO

モバイル

セキュリティ

スペシャル

ホワイトペーパー

新着

ランキング

  1. クラウドコンピューティング

    Google Cloudセキュリティ基盤ガイド、設計から運用までのポイントを網羅

  2. セキュリティ

    仮想化・自動化を活用して次世代データセンターを構築したJR東日本情報システム

  3. ビジネスアプリケーション

    スモールスタート思考で業務を改善! 「社内DX」推進のためのキホンを知る

  4. セキュリティ

    Emotetへの感染を導く攻撃メールが多数報告!侵入を前提に対応するEDRの導入が有力な解決策に

  5. セキュリティ

    偽装ウイルスを見抜けず水際対策の重要性を痛感!竹中工務店が実施した2万台のPCを守る方法とは

NEWSLETTERS

エンタープライズ・コンピューティングの最前線を配信

ZDNet Japanは、CIOとITマネージャーを対象に、ビジネス課題の解決とITを活用した新たな価値創造を支援します。
ITビジネス全般については、CNET Japanをご覧ください。

このサイトでは、利用状況の把握や広告配信などのために、Cookieなどを使用してアクセスデータを取得・利用しています。 これ以降ページを遷移した場合、Cookieなどの設定や使用に同意したことになります。
Cookieなどの設定や使用の詳細、オプトアウトについては詳細をご覧ください。
[ 閉じる ]