sg security_measures unauthorized_access data_leakage sg-security-measures
まず結論
- ビッシングとは、電話を使って利用者をだまし、認証情報や個人情報を聞き出す攻撃です。
- SG試験では「電話で聞き出しているかどうか」でフィッシング・スミッシングと区別させる問題がよく出ます。
直感的な説明
「銀行の者ですが、不正利用の可能性があります。本人確認のため暗証番号を教えてください」
こうした“それっぽい電話”で情報を聞き出されるのがビッシングです。
👉 リンクではなく“会話でだます”のがポイント
定義・仕組み
ビッシング(vishing)は、電話(音声)を利用して利用者から情報を不正に取得する攻撃です。
(voice+phishing の造語)
基本の流れは次の通りです。
- 攻撃者が電話をかける(または自動音声)
- 公的機関・金融機関などを装う
- 利用者に不安や緊急性を与える
- 暗証番号や認証情報を聞き出す
👉 ユーザーに「口頭で答えさせる」点が特徴
どんな場面で使う?
よくあるケース
- 銀行・カード会社を装った本人確認
- サポートセンターを装った問い合わせ対応
- 「不正アクセス」「料金未納」などの不安をあおる電話
業務でのポイント
- 電話でも情報を教えてはいけない教育が必要
- 折り返し確認(公式番号へ)が重要
- コールセンターを狙った攻撃にも注意
👉 人の心理(焦り・信頼)を利用する攻撃
よくある誤解・混同
❌ フィッシングとの違い
- フィッシング:メール+Webサイト
- ビッシング:電話
👉 通信手段で区別する
❌ スミッシングとの違い
- スミッシング:SMS
- ビッシング:電話
👉 テキストか音声かがポイント
❌ 正規の電話との区別
- 正規:重要情報(暗証番号など)は聞かない
- 攻撃:暗証番号・パスワードを聞く
👉 「電話で認証情報を聞かれたら疑う」が基本
SG試験でのひっかけ
-
「電話で本人確認」「口頭で番号を答えさせる」
→ ビッシングと判断 -
「メール」「SMS」が出てきたら別の攻撃
確認問題(SG試験対策)
次のうち、ビッシングの説明として最も適切なものはどれか。
A. 電話などの音声通話で相手をだまし、認証情報や個人情報を聞き出す攻撃である。 B. SMSで偽サイトへ誘導し、IDやパスワードを入力させる攻撃である。 C. SQL文に不正な命令を混入させる攻撃である。 D. 証明書の失効状態をオンラインで確認する方式である。
▶ クリックして答えと解説を見る(ここを開く)
正解:A
解説
- A:音声を使うフィッシングなのでビッシングです。
- B:スミッシングの説明です。
- C:SQLインジェクションの説明です。
- D:OCSPの説明です。
👉 判断ポイント ビッシングは「Voice」、スミッシングは「SMS」で判断する。
まとめ(試験直前用)
- ビッシング=電話でだまして情報を聞き出す
- 「口頭で答えさせる」が最大の特徴
- フィッシング(メール)・スミッシング(SMS)と手段で区別
- 電話で暗証番号を聞く時点で不正と判断
🔗 関連記事
- アクセス制御モデルとは?RBAC・ABAC・DAC・MACの違いを整理【情報セキュリティマネジメント】
- アクセス管理とは?特権IDとneed-to-knowで権限を適切に制御【情報セキュリティマネジメント】
- 認証・アクセス制御まとめ|SSO・MFA・ゼロトラストを体系整理【情報セキュリティマネジメント】
- 認証・認可・アクセス制御の違いとは?役割の切り分けを整理【情報セキュリティマネジメント】
- アクセス制御(認可)とは?認証との違いを整理【SG試験】