フィッシング対策協議会は25日、イーバンク銀行をかたるフィッシングサイトが登場したとして注意を呼びかけた。
今回見つかったのは先月ごろから出没している、同行からのお知らせを装うフィッシングメールで誘導するタイプとみられる。当該フィッシングメールは、メッセージがあるのでログイン後に「メッセージボックス」を確認するよう促し、リンク先の偽サイトへと誘導する。偽サイトのログイン画面には、「ユーザーID」「ログインパスワード」に加え、本物のログイン画面にはない「暗証番号」の入力欄があり、入力した情報は国内の無料フォームメール送信サービス(※1)を使って、国内のフリーメール宛に送信するようになっていた。
同行をかたるフィッシングは、昨年の夏から秋にかけて頻発し、同行は昨年9月5日付けで「ログイン画面には暗証番号を絶対に入力しないでください」とする注意を促している。同行では、メールで「ID」「パスワード」「暗証番号」を同時に、または直接入力するサイトへ誘導することはないとしており、ログイン画面では必ず、アドレスバーが「https://fes.ebank.co.jp/....」もしくは「https://lfes.ebank.co.jp/....」になっていることと、ステータスバーに錠マークが表示されていることを確認するよう呼びかけている。
今回見つかったサイトは26日にまでに閉鎖されたが、今後も新たな偽サイトが出てくる可能性もあるので、利用者は十分に注意していただきたい。
※1)フォームメール
ホームページ上の入力フォームで入力した内容をメールで送信する仕組み。ウェブサービスの一部として提供されていることも多いが、今回は他のサイトで無料提供しているサービスが、偽サイトのデータ転送に悪用されていた。悪用されたサービスは、事前登録などの手続きが一切不要で即時に匿名で利用できるという、フィッシャーたちの即席サイトに好都合なサービスだった。
提供元もフィッシングに悪用されていることを認識しているようだが、サイトには「不正サイトから送られるフォームについては、メールを転送しないようにしておりますが、新たに作られたサイトや、すでに送信されてしまったメールについては、被害が発生する可能性があります」というコメントを掲載し、責任は負えないとしている。
(2008/2/27 ネットセキュリティニュース)
■【注意喚起】イーバンク銀行をかたるフィッシング詐欺(フィッシング対策協議会)
http://www.antiphishing.jp/news/000061.html
■フィッシング事例:イーバンクをかたるフィッシングサイト(フィッシング対策協議会)
http://www.antiphishing.jp/db/detail.cgi?id=38
■ログイン画面には暗証番号を絶対に入力しないでください イーバンク銀行(イーバンク銀行)
http://www.ebank.co.jp/kojin/news/important/information_175.html