警察庁と日本サイバー犯罪対策センター (JC3) は、銀行を装う自動音声電話を起点に企業の PC を遠隔操作し不正送金を行う新たな「ボイスフィッシング」手口について注意喚起しました。法人口座を狙った 2025 年の被害は 143 件・約 45 億円で、件数は全体の 1 割未満ながら不正送金被害額の約 4 割を占めています。
主なポイント
- 攻撃の流れは (1) 銀行を名乗る自動音声電話、(2) PC 環境更新を装いメール / 電話番号を聴取、(3) フィッシングメールや SMS の送信、(4) セキュリティソフトと称した遠隔操作ツールのインストール
- ID・パスワードの窃取と並行してエンドポイントを直接操作されるため、二要素認証や追加認証だけでは防ぎきれない構造になっている
- 2025 年の法人インターネットバンキング不正送金被害は年 100 億円を超え過去最悪。1 社で 4 億円超の被害も報告されている
- JC3 は (a) 銀行を名乗るメール / SMS のリンクを開かない、(b) 電話を受けた場合は営業店または代表番号に折り返して真偽確認、を呼びかける
- 警察庁と全国銀行協会も並行して注意喚起資料を公開しており、企業 IT 部門には端末への業務外ソフト導入禁止の周知徹底が求められる
出典: 警察庁や JC3 も、企業の PC を遠隔操作する「ボイスフィッシング」新手口に注意喚起 — INTERNET Watch