So-net無料ブログ作成

銀行を狙うフィッシング稼働中――大手3行を装うそれぞれの手口と対策 [フィッシング]

オンラインバンキングを装うメールやSMSを不特定多数に送り、本物そっくりの偽サイトに誘導してアカウント情報などをだまし取ろうとするフィッシングが、今月も連日続いている。22日午後現在、3行の偽サイトが稼働中だ。

■三井住友銀行を装うフィッシング

 1月初旬から続いている、SMS(ショートメール、ショートメッセージ)で誘導するフィッシングだ。送られてくるメッセージは、「注意:ダイレクトのパスワードが翌日に失効し、三井住友のメンテナンスサイト(URL)により、更新をお願いします。」というものが一貫して使われている。
 このフィッシングは、平日の日中に短時間だけ行われるのが特徴で、誘導先には、「www.smbc●●●●.com」「www.●●-smbc.com」といった紛らわしい名前が使われており、毎回3~4種類ずつ新規投入されている。
 誘導先では、アカウント情報のほかに、乱数表(暗証カード)の数字やワンタイムパスワードの入力まで求めてくることから、その場で不正送金が行われてしまうおそれがある。

 今月初旬から中旬にかけ、一時攻撃が収まっていたのだが、先週から再び攻撃が始まっており、今日も偽サイトが稼働中だ。実際に送られてくるSMSと誘導先の偽サイトは、同行の告知(下記URL)にあるショートメッセージの事例に示されている。
○実在企業を装ったウイルス付メールに注意を呼びかける三井住友銀行の告知
http://www.smbc.co.jp/security/index.html

■三菱東京UFJ銀行を装うフィッシング

 このフィッシングもまたSMSで誘導するタイプだが、先の三井住友銀行のフィッシングのように、連日繰り返し行われる様子は今のところないようだ。実際に送られてくるSMSと偽サイトは、同行の告知(下記URL)にある「偽メールの例(1)」に示されている。この事例は1月28日に報告されたものだが、今月19日に再び同じ偽サイトが出現し、同様のメッセージが送られたようだ。
○パスワード等を入力させる偽メールに注意を呼びかける三菱東京UFJ銀行の告知
http://www.bk.mufg.jp/info/phishing/20131118.html

 誘導先では、アカウント情報に続き、確認番号表(乱数表)の数字をすべて入力させようとする。スマートフォンアプリやカードが自動生成するワンタイムパスワードの利用登録をしていない場合には、詐取された情報で不正送金が行われるおそれがある。
 ちなみに、同行では今年6月12日から、送金や振込み、チャージ等の決済関係の取引時にワンタイムパスワードが必須となる(下記URL)。乱数表を丸ごと入力させる手口が不正送金に有効なのは、あとわずかだ。
○ワンタイムパスワード利用が必須となることを知らせる三菱東京UFJ銀行の告知
http://direct.bk.mufg.jp/info_news/20151009_direct/index.html


■りそな銀行(埼玉りそな銀行)を装うフィッシング

 「こんにちは!」という軽妙な書き出しで始まるフィッシングメールが広く知られてしまうくらい、毎日大量のメールが送られているのが、このフィッシングだ。メールの本文は残念な内容ではあるが、メールの差出人を公式のアドレスに偽装したり、メールに記載されたURLを公式サイトに見えるようにしたりといった細工が施されている。
 今年に入ってからの攻撃は、1月8日にじぶん銀行の偽メールでスタートしたが、同月23日以降は、りそな銀行にご執心で、ほぼ毎日1~数個のドメインを投入しつつ、公式サイトのホスト名と組み合わせた紛らわしい名前の偽サイトへと誘導する。誘導先では、アカウント情報に加え、ご利用カード(乱数表)の内容を丸ごと入力させようとする。

 実際に送られてくるフィッシングメールの内容は、同行の告知(下記URL)に示されている。主に使われているのは、「こんにちは!」で始まる「例1」と「例2」、およびこれらの文字化けバージョンだ。
○ID・パスワード等の入力を求めるメールに注意を呼びかけるりそな銀行の告知
http://www.resonabank.co.jp/direct/gochui/detail/20110907.html

 22日午後現在も偽サイトは稼働しており、同日にばらまかれたフィッシングメールには、これまで【りそな銀行】としていた差出人名を【埼玉りそな銀行】に変えたものが登場している。その他は前日までのものと何も変わらないが、フィッシング対策協議会からは同日、埼玉りそな銀行をかたるフィッシングとして緊急情報が出されている。
○埼玉りそな銀行をかたるフィッシングに注意を促すフィッシング対策協議会の緊急情報
https://www.antiphishing.jp/news/alert/_20160222saitamaresona.html

■ひと目でわかる本物

 現在稼働中のオンラインバンキングの偽サイトは、見た目は本物そっくりに作られているので、うっかりアクセスすると騙されてしまいそうになる。ところが、本物には偽物とは全く違うところがあるので、そこを確認すれば、真偽を簡単に見分けられる。

 3行のオンラインバンキングは、いずれも「EV-SSL」という特別なサーバー証明書を持っているので、アクセスすると銀行名が緑色の文字で表示されるのだ。一般的なデスクトップ版のブラウザの場合はアドレスバーの右側や左側に、iPhoneなどのiOS用のSafariではURLの代わりに、他のスマートフォン用の主要なブラウザではアドレスバーの錠前マークをタップすると、次のような各行の英文名が表示されるので本物であることが簡単に確認できる。

 三井住友銀行:Sumitomo Mitsui Banking Corporation
 三菱東京UFJ銀行:The Bank of Tokyo-Mitsubishi UFJ, Ltd.
 りそな銀行:Resona Holdings, Inc.

 (注記)SHA-1証明書を使用しているサイトや、ページ内に非暗号化要素が混在しているサイトをGoogle Chromeで閲覧した場合には、非暗号化接続と同じように扱われるので、注意していただきたい。三菱東京UFJ銀行とりそな銀行は、本物のログインページにアクセスしても、銀行名や錠前アイコンが表示されないので、簡単には確認できない。

(2016/02/23 セキュリティ通信)