電話起点で突破される認証と送金
企業の銀行口座やオンラインバンキングを狙うボイスフィッシング(vishing)が巧妙化している。攻撃者は金融機関や公的機関を名乗り、緊急性を演出して担当者に“今すぐ”操作させる。メール対策や二要素認証だけでは、人が正規手順を自ら実行してしまい突破される。情シスは経理・財務だけでなく代表電話の一次受け部門まで含め、電話対応と送金手続きを統制する必要がある。
典型的な手口:電話×別チャネル誘導
近年は会話で完結せず、偽サイト、メールのフォーム、画面共有など別チャネルへ誘導するのが定石である。電話で信頼させた上でID・パスワード入力やOTPの読み上げを要求し、リアルタイムに不正送金へつなげる。番号偽装や折り返しを妨げる口実も増え、個人の経験則に依存した判断は限界だ。被害は送金権限の集中、繁忙期の省略運用、外部委託との連絡頻度が高い組織で起きやすい。
情シスが主導すべき実務対策の要点
第一に電話で認証情報を扱わないルールの明文化である。ID・パスワード・OTP・確認コード・暗証番号は電話口で一切共有しない運用を手順書に固定し、例外を許容しない。第二に折り返し確認を“公式手順化”し、折り返し先は受電番号ではなく社内台帳に登録した正規番号に限定する。受電時は部署名・氏名・要件・受付番号を記録し、いったん切って上長または情シスへエスカレーションする。
第三に送金プロセスへ権限分離と遅延を組み込む。作成者・承認者の分離、一定額以上の別経路承認、当日即時振込の制限や予約振込の活用、振込上限や振込先登録制限、登録後の待機時間設定を金融機関設定も含めて適用する。第四に振込先変更や緊急支払いはチェックリスト化し、過去に使用した連絡先へコールバックして証跡(誰がいつどの番号で確認したか)を残す。さらにオンラインバンキングのログイン・振込・振込先追加通知は部門共有の監視先へ配信し、端末変更や認証アプリ追加のアラートも有効化する。
不審電話を受けた際の初動と体制
不審に感じた時点で追加情報は渡さず通話を終了し、所定手順で報告する。入力やOTP提示、送金操作の可能性がある場合は時間との勝負であり、金融機関へ緊急連絡して停止・凍結・組戻し可否を確認する。同時に該当端末のネットワーク遮断、認証情報の変更、関連アカウントの棚卸しを並行実施する。訓練は経理・財務だけでなく受付・総務を含め、ロールプレイで“操作誘導が出たら切る、公式手順で確認し直す”を習慣化させることが重要だ。