So-net無料ブログ作成

オンラインバンキングの定番フィッシングが相次ぎ再開か [フィッシング]

今年4月まで執拗な攻撃を繰り返していた、ネットバンキングの利用者を狙ったフィッシングが復活したようだ。「りそな銀行」や「三井住友銀行」を装うフィッシングメールが、先週末から相次いでいる。

■「りそな銀行」を装うフィッシング

 りそな銀行を装うフィッシングは、1月下旬から相次ぎ、同行はホームページやユーザーあてのメールで何度も注意を呼び掛けていた。4月初旬の攻撃を最後にしばらく休止していたが、先々週の週末に行われた「ジャパンネット銀行」「福岡銀行」「静岡銀行」「京都銀行」を装うフィッシングが、活動再開を匂わせていた。

 不特定多数にばらまかれた今回のメールは、以前からのものと同じ「○○銀行重要なお知らせ」「○○銀行メールアドレスの確認」「○○銀行本人認証サービス」というパターンの件名で届く。本文は、「貴様のアカウント」というフレーズが衝撃的な「2016年「○○銀行」のシステムセキュリティのアップグレードのため、貴様のアカウントの利用中止を避けるために、検証する必要があります。」というタイプと、「こんにちは!(2016年○月○日)更新「○○銀行」のシステムが安全性の更新がされたため、お客様はアカウントが凍結?休眠されないように、直ちにアカウントをご認証ください。」という書き出しが印象的なタイプの2パターンが見つかっている。

 いずれも、「以下のページより登録を続けてください。」として、正規サイトのURLに見えるリンクや「本人認証サービス」と書かれたボタンをクリックさせようとするので注意していただきたい。クリックすると無関係な一般サイト経由で本物のそっくりに作られた偽サイトに誘導される。偽サイトでは、ログイン情報と乱数表(マイゲートご利用カード)のすべての数字を詐取するので、騙されると不正送金被害に発展するおそれがある。

■三井住友銀行のフィッシング

 三井住友銀行を装うフィッシングは、SMSで誘導するタイプが1月初旬から相次ぎ、その後、メールで誘導するタイプや、「ゆうちょ銀行」を装うフィッシングなどが繰り返された。今回ばらまかれたフィッシングメールは、「ハンゲーム」のフィッシングで使用した「ご登録パスワード変更完了のお知らせ」という件名のもの。内容は、「このメールは登録パスワードを変更された方へのメールです。確認のためにメールを送信しています。お客さまご自身で変更した場合は、このメールを無視しても問題ありません。お客さまご自身で変更していない場合は盗用の可能性がございます。」という、パスワード変更時にユーザーに送られる確認通知に見せかけ、「至急以下のURLをクリックしてください。」として正規サイトのURLに見えるリンクをクリックさせようとする。よく見ると、URLのホスト名が三井住友銀行で、その後がハンゲームという変なURLだが、ここで不審に思える方は少ないかもしれない。りそな銀行のフィッシングメールよりも、全体的に完成度が高いので、騙されないように注意していただきたい。

 誘導先の偽サイトが速攻で閉鎖されたため、稼働中の偽サイトは確認できていないが、以前と同じであれば、中間者攻撃を仕掛けることのできる設計になっているので注意したい。先のりそな銀行のフィッシングのように、詐取した情報を使って後で不正送金する手口ではなく、リアルタイムに不正送金が実行されるおそれがある。

 三井住友銀行は、今月から振り込みにパスワードカード(カード状のハードウェアやスマートフォンのアプリ)を使うワンタイムパスワード方式が必須になり、これまでの乱数表(暗証カード)を利用する振り込みは行えなくなった。このため、乱数表を丸ごと入力させ、後で不正送金する手口は使えなくなったが、フィッシングサイトが背後で正規のネットバンキングに接続し、ユーザーに入力させた情報を使ってリアルタイムに送金処理を実行すると、乱数表方式でもワンタイムパスワード方式でも、不正送金されるおそれがある。

■HTMLメールに注意

 りそな銀行の2種類のフィッシングメールと、三井住友銀行のフィッシングメールは、いずれもHTML形式のメールを使用している。テキスト形式のメールと違い、HTML形式のメールはリンクの見た目と接続先とを個別に設定できるので、リンク先を正規サイトに見せかけたり、「こちら」のような文字やボタンにしたりすることができる。本当の接続先が隠れて見えないことがあるので、注意していただきたい。

 マウス操作の場合は、ポインターをリンクの上に移動したり、右クリックメニューを操作したりすると、実際のリンク先が確認できることが多い。タッチパネルの場合には、リンクの長押しで確認や操作メニューを表示できることが多いので、試してみていただきたい。りそな銀行の方は、無関係な一般サイトのURLが記載されている。三井住友銀行の方は、「.jp.net」ドメインを使った紛らわしい名前のURLだ。

 リンクをクリックしてしまった場合には、正規サイトにHTTPSで接続していることを必ず確認する。りそな銀行や三井住友銀行のHTTPS接続には、「EV証明書」という特別な証明書を使用しているので、りそな銀行の場合は「Resona Bank, Limited」または「Resona Holdings, Inc.」、三井住友銀行の場合は「Sumitomo Mitsui Banking Corporation」という運営者名が、アドレスバーのところに表示される。

(2016/08/30 セキュリティ通信)

【関連URL】
・りそな銀行をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/resonabank_20160829.html
・三井住友銀行をかたるフィッシング(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/smbc_20160829.html

【関連記事:セキュリティ通信】
・オンラインバンキング狙う新たな動き(マルウェア編)
http://security-t.blog.so-net.ne.jp/2016-08-23
・オンラインバンキング狙う新たな動き(フィッシング編)
http://security-t.blog.so-net.ne.jp/2016-08-24
・不正送金から口座を守るワンタイムパスワード
http://security-t.blog.so-net.ne.jp/2016-08-26