大阪国税局で、警察を名乗る電話により個人・法人計259者分の納税情報が漏えいしたと報じられました。税務情報は氏名や連絡先に加え、取引関係や事業実態の推測につながるため、二次被害が長期化しやすい情報です。メールのURLを踏ませる攻撃だけでなく、通話で心理的圧力をかけて情報を引き出すボイスフィッシングが実務上の脅威になっています。
企業でも、代表電話や情シスの問い合わせ窓口は同様に狙われます。特に「捜査協力」「緊急」「守秘」などの言葉は確認プロセスを飛ばさせるため、運用設計が不十分だと事故に直結します。電話はサイバーと対人の境界にあるチャネルとして再評価が必要です。
ニセ警察が有効なのは、権威性により受け手の判断を短絡化させるからです。「逮捕」「口座凍結」「名義悪用」といった不安を煽る筋書きは、正当性確認より先に“早く対応しなければ”という焦りを生みます。結果として、上長相談や代表番号への折り返しといった基本動作が抜け落ちます。
また、電話応対は日常業務に溶け込みやすく、URLや添付がない分「サイバー攻撃」という意識が働きにくい点も盲点です。発信者番号の偽装や転送も可能で、電話口の本人性は担保しにくい前提に立つべきです。従って「電話で完結させない」設計が重要になります。
漏えいは件数の大小よりも、攻撃者の“材料”になる点が問題です。氏名・住所・電話番号などは名簿化され、還付金、未納、料金滞納、本人確認など別シナリオで繰り返し悪用されます。一度応答した組織は「連絡が取れる」対象として継続的に狙われがちです。
法人名や担当者名、過去のやり取りを想起させる情報が加わると、スピア型のなりすましが成立しやすくなります。経理・総務に追加情報を要求したり、送金に誘導したりする形で金銭被害へ発展することも現実的です。情シスは、個人情報事故としてだけでなく、BECや送金詐欺の前段として捉える必要があります。
再発防止は「注意喚起」ではなく、漏えいしにくい仕組みの実装が中心です。電話を“入口”に限定し、重要情報の提供は別経路で認証する方針を明文化します。緊急・捜査協力を名目とした例外を作らず、手順として強制することがポイントです。
あわせて、代表電話・各部門の直通・コールフローを棚卸しし、「誰が」「どの根拠で」「何を」提供したかが追えるログ設計も見直してください。電話詐欺は人だけでなく運用と統制の隙を突くため、組織横断での手順統一が効果を左右します。
