三菱東京UFJ銀行を装う偽のメールを不特定多数に送りつけ、偽のサイトに誘導してアカウント情報をだまし取ろうとするフィッシングが19日に発生し、同行やフィッシング対策協議会が注意を呼びかけている。
今回見つかったフィッシングは、昨年11月から断続的に続いているもの。19日から週末にかけ、「本人認証サービス」や「【三菱東京UFJ銀行】本人認証サービス」、「【三菱東京UFJ銀行】メールアドレスの確認」といった件名のフィッシングメールが、不特定多数に向けて大量に送られた。
フィッシングメールの内容は、システムのアップグレードと称してリンクをクリックさせようとするもので、過去のフィッシングで用いられた「こんにちは」で始まるタイプや、「貴様のアカウント」というくだりが印象的なタイプの文面が再利用されている。
偽サイトは、国内ISPのアクセス回線上に開設されており、22日13時30分現在も、IPアドレスベースで少なくとも2台が稼働中だ。
■URLで分かる偽サイト
このフィッシングでは、メールに記載したリンクの見た目を公式サイトのURLに偽装している。実際のリンク先は全く別のサイトで、クリックすると直接、または不正アクセスを受けた一般のWebサイトを経由して、本物そっくりに作られた偽のログインページを開く。この偽サイトのURLには、本物と同じ「bk.mufg.jp」が織り込まれているが、ドメイン名は本物の「mufg.jp」ではなく「.cn.com」や「.co.in」だ。
ドメイン名というのは、ブラウザのアドレスバーに表示されるURLの最初の「/」の直前の部分で、Internet ExplorerやFirefoxでは、ドメイン名の部分が強調表示されるので、分かりやすい。本物のサイトがどのようなドメイン名なのかを覚えていれば、ドメイン名が違うので偽物と見抜くことができる。
■EV SSLの表示で分かる偽サイト
三菱東京UFJ銀行の偽サイトには、本物のサイトの部品がそのまま使用されている。「偽画面にご注意!」の表示までもが忠実に再現されているので、画面の見た目はそっくりだ。ところが偽サイトは、暗号化通信で使用する電子証明書を持っていないため、SSLで接続することができない。
三菱東京UFJ銀行の場合は、EV SSLという特別な電子証明書を使用しており、本物のサイトにSSL接続すると、アドレスバーの横に緑色で銀行名(The Bank of Tokyo-Mitsubishi UFJ, Ltd.)が表示される。どんなに本物に似せようとしても、EV SSL特有のこの表示は真似できないので、ここさえチェックすれば偽物を一目で見抜くことができる。
■ありえない乱数表の全桁入力
偽のログインページであることに気付かないまま「ご契約番号」と「IBログインパスワード」を入力し、「ログイン」ボタンをクリックしてしまうと、この偽サイトでは、通常ではありえないことが始まる。契約カードに印刷された確認番号表(乱数表)の数字を入力させようとするのだ。それも、1行(10桁)分全てを入力するよう求められ、10回繰り返して全行を入力させようとする。
乱数表は、取引や設定変更などの際に使用する、利用者ごとに異なる数字の並びが印刷されたもの。同行では、取引時などに利用者に対し、指定した場所に書かれている4桁を入力させる。書かれている数字は利用者ごとに異なり、カードは利用者本人しか持っていないはずなので、正しい数字が入力できたら利用者本人が操作したとみなす仕組みだ。
ログイン時のID/パスワード認証とは別の認証なので、ログイン時に求められることはないし、全桁を入力するようなこともない。このような不審な挙動からも、偽物を見破ることが可能だ。
(2014/09/22 ネットセキュリティニュース)
【関連URL】
・【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください!(平成26年9月19日更新)(三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/phishing/20131118.html
・三菱東京UFJ銀行をかたるフィッシング(2014/09/19)(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/ufj20140919.html