フィッシング対策協議会は18日、銀行の乱数表を使った第二認証情報を詐取するフィッシングについて注意を呼びかけた。
7月にイオン銀行、8月は三菱東京UFJ銀行、そして10月には三井住友銀行をかたるフィッシングメールが発生し、各行はそれぞれ注意を喚起する文書を公開している(下欄URL参照)。同協議会によると、これら3行をかたるフィッシングは類似した手口が使われている。
ユーザーへのアプローチは、銀行名をかたる偽メールから始まる。その次のステップは、この偽メールの添付ファイル(EXEファイル)を開かせるタイプと、メールに記したURLをクリックさせて偽サイトに誘導するタイプの2パターンがある。どちらのパターンでも、契約者番号と第一認証番号、第二認証番号(乱数表の番号)を入力させようとする。
第二認証番号は、ネットバンキングでなりすましを防ぐため、第一認証とは別に設けられたパスワードだ。国内では「あらかじめ届け出る第2パスワード」「乱数表を使ったパスワード」「乱数発生機を使用したワンタイムパスワード」などが使われている。
今回の一連のフィッシング攻撃は、乱数表を使ったパスワードを入力させて詐取しようとするものだ。実際に被害例も出ており、他の金融機関にも同様の攻撃が行われる可能性があり、注意が必要だ。この攻撃については、6日付でIPAも注意を呼びかけている。今回の同協議会の注意喚起では、三井住友銀行の事例について、メール本文や偽サイト、添付ファイルのサンプルを提示している。
対策としては、メールに記載されたURLや添付ファイルをうかつにクリックしないこと。銀行から暗証番号などをたずねることはありえず、乱数表の数字入力を求めることもありえない。疑わしいメールを受け取った場合は、開かず削除すること。うっかり開いてしまった場合は、入力したり送信元へ返信したりしてはいけない。万が一、情報を入力してしまった場合は、銀行窓口に相談しよう。同協議会は、判断に迷った場合は銀行または同協議会に問い合わせるよう呼びかけている。
(2011/10/19 ネットセキュリティニュース)
【関連URL】
・【注意喚起】銀行の第二認証情報を詐取するフィッシングにご注意ください(2011/10/18)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/20111018.html
・三井住友銀行を名乗りインターネットバンキングの暗証番号等を騙し取るメールにご注意ください(三井住友銀行)
http://www.smbc.co.jp/security/index.html
・当行を装った不審な電子メール(件名が英文)にご注意ください(三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/phishing/20110916.html
・「イオン銀行」を名乗った不審な電子メールにご注意ください(イオン銀行)
http://www.aeonbank.co.jp/oshirase/2011/0729_01.html?pfid=2011_0729_01
【関連記事:ネットセキュリティニュース】
・銀行かたり「カード再発行手続き」を求めてくる不審メールに注意(2011/10/06)
・銀行をかたり、乱数表を入力させる新たなフィッシング詐欺に注意(IPA)(2011/10/06)
・銀行名かたる偽メールで1000万円被害~ウイルス添付型と偽サイト誘導型(2011/10/14)