フィッシング
法人インターネットバンキングを狙ったボイスフィッシング攻撃の新たな手口を解説、遠隔操作への誘導に注意
5月中旬より国内の銀行にて法人インターネットバンキングに対するボイスフィッシング攻撃が発生しているとして注意喚起が行われており、昨年に発生した電話やフィッシングサイトを使用した手口に加え、新たにパソコンの遠隔操作を伴う手口について言及されています。
トレンドマイクロにて調査を行った結果、セキュリティ対策ソフトウェアの偽サイトを用意し、遠隔操作ソフトウェアのインストールが誘導されている可能性が高いことを確認しました。
注記: 本記事に記載されている内容は、サイバー攻撃者による正規ツールの悪用事例を説明するものです。記事内で言及している製品やサービス自体に脆弱性があることやセキュリティ上の不備があることを示すものではありません。
法人インターネットバンキングを狙うボイスフィッシング攻撃とは?
日本国内では2024年11月頃に被害が報告され始め、その後2024年秋から2025年4月、11月と被害が相次いで報告されており、装う銀行を変えながら繰り返し法人口座が狙われています。これらの攻撃では、犯罪者は標的組織に対して実際に電話を掛け、担当者からメールアドレスを聞き出したうえでフィッシングサイトへ誘導し、認証情報などの詐取が行われます。
警察庁が公表した「令和7年におけるサイバー空間情勢をめぐる脅威の情勢等について」によると、令和7年中の不正送金の被害は、4,747件、約103億9,700万円に上ります。このうち、法人インターネットバンキングを狙うボイスフィッシング攻撃による不正送金の被害は、143件、約45億円であり、被害額に着目すると総額の約4割を占めています。これは法人インターネットバンキング狙った攻撃による1件あたりの被害がけた違いに大きいことを示しており、被害企業にとっては事業継続を揺るがしかねないインパクトを持ちます。昨年の報道では、被害法人1社で4億円を超える被害が発生した事例も報告されています。
また、銀行を装った電話とメールを組み合わせる多段階の手口によって、企業側の確認プロセスを巧妙にすり抜けている点が大きく影響しています。
手口詳細、攻撃の流れ
ボイスフィッシング(Voice Phishing、通称「ビッシング/Vishing」)は、その名のとおり音声通話(電話)を起点としたフィッシング攻撃です。従来のフィッシングがメールやSMSのリンクから偽サイトへ誘導するのに対し、ボイスフィッシングは「人と人の会話」を悪用することで、受信者の警戒心を解き、メールフィルタやURLレピュテーション等の技術的な防御を回避してきます。
警察庁の公開情報によると、法人インターネットバンキングを狙ったボイスフィッシングには次のような特徴が共通して確認されています。
- 発信元番号が国際番号である
- 自動音声ガイダンスが流れた後に人間の声に切り替わる
- 通話中にメールアドレスを聴取されリンク付きメールが送られる
攻撃の典型的な流れは以下のように整理できます。
①初期接触(電話):攻撃者が金融機関の担当者を装い、企業の代表電話や経理部門に架電します。冒頭で自動音声ガイダンスが流れることで「銀行からの正規の自動応答」という錯覚を起こさせ、その後にオペレーターを装った人間が応対します。
②口実の提示:「インターネットバンキングのシステム更新」「セキュリティ強化に伴う再認証」「不正送金被害が出ているため確認が必要」など、緊急性を匂わせる口実が用いられます。
③メールアドレスの聴取:通話の中で「確認用の案内メールを送りますので、ご担当者様のメールアドレスを教えてください」と要求されます。ここで企業側がメールアドレスを伝えてしまうと、攻撃者は「電話で予告された正規メール」を装ったフィッシングメールを即時に送信できる状態になります。
④フィッシングメール送付:通話中、あるいは通話直後に、銀行を装ったメールが届きます。事前に電話で予告されているため、受信者は「これは本物のメールだ」と認識しやすく、リンクを開く心理的ハードルが大きく下がります。
⑤認証情報の窃取:メール内のリンクから、本物そっくりのフィッシングサイト(インターネットバンキングログイン画面の偽装)に誘導されます。ここで入力されたID・パスワード・ワンタイムパスワードがリアルタイムで攻撃者に転送され、攻撃者は即座に正規インターネットバンキングにログインします。
⑥不正送金の実行:被害企業の口座から、攻撃者の管理下の口座へ不正送金が行われます。法人口座は1回あたりの送金限度額が個人より高額に設定されていることが多く、1件で数千万円~数億円規模の被害が発生してしまう可能性が考えられます。
2026年5月に新たに確認された遠隔操作手口
本年5月、再度法人インターネットバンキングを狙ったボイスフィッシング攻撃が発生しており、複数の金融機関から遠隔操作を組み合わせた手口について注意喚起が行われています。
金融機関の協力のもと、トレンドマイクロが調査を実施した結果、ボイスフィッシング被害者が誘導されたとみられる国内の改ざんWebサイト上に偽のウイルス対策ソフトの案内ページが作られており、ITカスタマーサポートで用いられる遠隔操作ソフトウェアの1つ「ScreenConnect」のダウンロード・インストールが誘導されていた可能性が高いことを確認しました。「ScreenConnect」は、正規の遠隔操作ソフトウェアですが、偽のウイルス感染警告に伴うテクニカルサポート詐欺でも悪用が確認されている遠隔操作ソフトウェアの1つです。
また、金融機関が公開している注意喚起内容から、昨年の攻撃にはなかった新たな手口があることについても言及されています。
- 電話による自動音声で「承認実行権限を持っている方は1を押してください」という案内が流れる(承認権限を持っている担当者を効率よく狙うための工夫)
- 担当者のモバイル端末にフィッシングサイトへ誘導するSMSが送信される
これらの注意喚起内容の状況を踏まえ、5月に発生しているボイスフィッシング攻撃は下図のような全体像が想定されます。
ScreenConnectによる遠隔操作の痕跡について
ScreenConnectがインストール・実行された場合、イベントログのシステムイベントよりイベントID 7045にてScreenConnect Client サービスのインストールに関する内容が記録されます。なお、サービスファイル名に関するパラメータより、遠隔操作の中継を行うリレーサーバのIPアドレスを確認できる場合があります。5月の攻撃で確認できているScreenConnectのインストーラでは、いずれもリレーサーバのIPアドレスは共通していることを確認しています。
ただし、正規の目的で利用されている遠隔操作ソフトはScreenConnectに限らず、他の正規ソフトも多数存在しています。今後、別のソフトウェアが犯行に悪用される可能性がゼロではない点には注意が必要です。
なぜ遠隔操作を行うのか
一部の法人インターネットバンキングでは、電子クライアント証明書を用いた認証方式がとられています。金融機関がユーザー企業の利用者ごとに電子証明書を発行し、法人インターネットバンキングにログインする際には、ID/パスワードに加えて、PC上の電子証明書をサーバ側で検証することで、「正規のPCからのアクセスであること」を担保します。遠隔操作が行われた場合、このクライアント証明書を用いた認証方式が突破されてしまう可能性があります。
また、遠隔操作型では「被害者本人がいつものPCから操作している」状態を作り出してしまうため、金融機関側の振る舞い検知や不正取引のモニタリング検知を回避することも狙いの1つであると推測します。
法人インターネットバンキング利用者がとるべき対策
この手口は銀行の取引の仕組みの問題ではなく、人間の心理を突いたソーシャルエンジニアリングの攻撃であるといえます。つまり、セキュリティ対策製品やシステム的な対策がとれていたしても、人間が騙されている状態であれば、犯罪者の巧みな話術で回避されてしまう恐れがあります。技術的対策だけでは防ぎ切れない、「人」と「プロセス」が標的の攻撃です。法人組織として、以下の観点での備えが必要です。
一方、警察官を騙る詐欺電話や、偽のウイルス感染ページから誘導されるテクニカルサポート詐欺と同様に、法人インターネットバンキングを狙ったボイスフィッシング攻撃の手口を知っていることが最大の対策であると考えます。
折り返し確認のルール化と徹底
警察庁の公開情報でも明確に提言されている対策です。銀行から電話があった場合に、営業店・代表電話に折り返して本物かどうか確認するといった対応や、インターネットバンキング利用時は、銀行公式サイト・アプリからアクセスするといった対応を社内で徹底する必要があります。
重要なのは、折り返し先の電話番号はかかってきた電話の発信者番号や通話中に告げられた番号ではなく、必ず銀行公式サイトや通帳・カード等に記載された正規の代表電話を使うことです。攻撃者は「折り返し先」として偽の番号を案内するケースもあるため、必ず最初の連絡経路やその際に案内されたものとは異なる独立した経路で確認する必要があります。
インターネットバンキングへのアクセスの起点を限定する
「銀行から送られてきたメール内のリンク」からはインターネットバンキングにアクセスしない、というルールを社内全員に徹底することが極めて有効です。インターネットバンキングへのアクセスは必ずブックマーク済みの公式URL、または公式アプリからのみ行う運用に統一しましょう。電話で予告されたメールも例外ではありません。
高額送金の二重承認・別チャネル承認
法人インターネットバンキングには、複数人での承認フローや、一定額以上の送金に追加承認を要求する設定が可能なケースが多くあります。「申請者と承認者を別にする」「高額送金については別の通信手段(対面・内線電話等)での口頭確認を必須とする」といった業務プロセスを設けることで、たとえ認証情報が窃取されても直ちに被害につながりにくくなります。
受電担当者へのソーシャルエンジニアリング教育
経理・財務部門、代表電話の一次受電担当者を中心に、ボイスフィッシングの手口について継続的に教育と訓練を行いましょう。特に、「自動音声ガイダンスから始まる銀行を名乗る電話」「メールアドレスを聞いてくる銀行担当者」は昨年から続くボイスフィッシングの特徴であることを認識共有することが重要です。標的型メール訓練と同様、ボイスフィッシングを想定した受電訓練の実施も検討に値します。
着信フィルタリングと国際電話の制限
PBXやクラウド電話システムで、海外発信や非通知着信に対するフィルタリングを設定することで、不審な着信そのものを減らせます。発信元番号が国際番号である点はボイスフィッシングの典型的な特徴であり、業務上不要であれば国際電話の着信を制限する選択肢もあります。
金融機関との連携と早期通報
万一不審な電話を受けた、あるいは認証情報を入力してしまった疑いがある場合は、直ちに金融機関に連絡し、インターネットバンキングの停止・パスワード変更・不正送金の有無確認を行ってください。同時に警察にも通報し、捜査・実態解明に協力することが、自社の被害最小化だけでなく、他社の被害防止にもつながります。
不審なソフトウェアのインストール制限とエンドポイント保護
ボイスフィッシングの現行手口では、銀行を名乗る相手の指示で、業務PCに何らかのアプリ/ツールをインストールすることが攻撃成立の決定的な分岐点になっています。
経理・財務などインターネットバンキング利用部門のPCについては、利用者権限を制限し、エンドユーザーが任意にソフトウェアをインストールできないように設定することや、アプリケーションコントロール/許可リスト方式の導入により、業務に必要なアプリ以外の実行を制限することが効果的であると考えられます。また、EDR(Endpoint Detection and Response)製品により、端末上の不審な動作や、意図しないリモート接続を検知することも、被害を未然に防ぎ、早期発見につながるものと考えられます。
まとめ
ボイスフィッシングは、技術的には高度な手口ではないにもかかわらず、「電話+メール+遠隔操作ソフト」という組み合わせで企業にとって大きな被害につながる可能性がある攻撃です。一度沈静化したように見えても、警察庁が公表した統計が示すとおり、数か月後に再び急増するパターンが繰り返し発生しており、攻撃者は新たに悪用可能な経路を素早く見つけ、戦術を切り替えてきます。
「うちは大丈夫」「うちのような規模は狙われない」という油断が、最も大きなリスクです。経理・財務部門だけの問題ではなく、代表電話の応対、インターネットバンキングの利用ルール、送金承認プロセス、PCの権限設定とエンドポイント保護、社員教育まで、組織横断で備える必要があります。標的型攻撃やランサムウェア攻撃と同様、ボイスフィッシングへの備えも、組織がポリシーやルールとともに技術的対策を定め、正しく取り組んでいくことが重要です。まずは組織内、特に経理を担当する部門にボイスフィッシングによる攻撃手口を周知し、初期接触点である電話での対応について注意喚起を行うことが、すぐに実施すべき対策であると考えます。
推奨される対策
- Web脅威対策(Webレピュテーション)では、本攻撃に関連するフィッシングサイトや遠隔操作ソフトウェアのダウンロードを誘導する偽サイトをブロックします。
- TrendAI Apex One および TrendAI Vision One – Endpoint Security では、本攻撃に悪用されている遠隔操作ソフト(ScreenConnect)のインストーラである「setup.msi」を「TROJ_FRS.VSNTEM26」として検出します。
- ScreenConnect を組織における業務で利用しないことが明確な場合は、TrendAI Apex One および TrendAI Vision One – Endpoint Security のアプリケーションコントロール機能を使用して、コントロール条件に「ConnectWise, LLC」をコード署名の発行対象組織名として設定することで、ScreenConnect.ClientService.exeの動作をブロックすることが可能です。
- TrendAI Apex One および TrendAI Vision One – Endpoint Securityのファイアウォール機能では、インストールされた端末内でファイアウォールによる通信制限を行うことが可能です。本攻撃に悪用されている141[.]11[.]164[.]71のIPアドレスをブロックすることで、攻撃で悪用されているScreenConnectによる遠隔操作に必要となる通信の発生を防ぐことが可能です。
なお、これらの対策は5月26日時点までに確認されている攻撃手口に基づく内容です。攻撃に悪用される遠隔操作ソフトウェアの変更やリレーサーバIPアドレスの変更に伴い、対策の有効性がなくなる可能性があります。上述した「各組織がとるべき対策」を参考に、技術面・運用面を含めた多層的な対策を講じることを推奨します。
TrendAI Vision One™によるプロアクティブセキュリティ
TrendAI Vision One™プラットフォームは、サイバーリスクエクスポージャー管理、セキュリティ運用、堅牢な多層防御を一元化する、業界をリードするAIサイバーセキュリティプラットフォームです。
ハンティングクエリ
TrendAI Vision One™ XDR Data Explorer
TrendAI Vision One™をご利用のお客様は、XDR Data Explorerを使用することで、本ブログ記事に記載された悪意のあるインジケーターを自社環境のデータと突き合わせ、マッチングまたはハンティングを行うことができます。
objectRegistryKeyHandle: HKLM\SYSTEM\CurrentControlSet\Services\ScreenConnect AND processCmd: h=141.11.164.71 AND processName: ScreenConnect.ClientService.exe AND processSigner: "Connectwise, LLC"
侵入の痕跡(IoC: Indicators Of Compromise)
本記事に関する侵入の痕跡は、こちらをご参照ください。
執筆者: 河田 芳希(Principal Threat Researcher)
調査協力:
佐藤 佑哉(アドバンストサイバーディフェンスグループ Senior Incident Response Consultant)
嶋村 誠(Sr. Threat Researcher)
岩井 雄大(Sr. DevOps Platform Engineer)
松ヶ谷新吾(Sr. Threat Researcher)