携帯やスマートフォンの電話番号宛てにメッセージを送る、SMS(ショートメッセージサービス)を使って偽サイトへと誘導するフィッシングが、5月中旬頃から絶え間なく続いている。今月は、新たにジャパンネット銀行と、前月からの三菱東京UFJ銀行も一時標的にされたが、繰り返し続いているのは、当初から標的である三井住友銀行だ。
■朝9時開始・夕方5時撤収の偽サイトで「ブロック」回避
このフィッシングは、銀行の営業時間(平日の9時~15時)の間だけ行われるのが特徴で、前日に新しいドメインを使った新しい偽サイトを用意しておき、当日の朝オープンする。9時を回るとSMSの送信が始まり、昼にかけて「注意:ダイレクトのパスワードが翌日に失効し、三井住友銀行のメンテナンスサイト(URL)により、更新をお願いします。」という内容のメッセージが不特定多数に送られる。
メッセージの(URL)の部分は、同行の略称「smbc」に似た文字列を織り込んだ「.com」ドメインのホスト名になっており、タップ(クリック)すると、同行のログインページに似せた偽サイトを開く。
捕獲されにくいSMSを使い、偽サイトのドメイン名やサーバーのIPアドレスを毎日変えるため、ブラウザやセキュリティソフトが搭載しているフィッシングサイトを遮断する機能の反応は鈍く、午前中はほとんどブロックされることなく通過してしまう。そしてようやく検知されるようになった頃には、その日の営業を終えて偽サイトは撤収され、翌日はまた違う場所で違う名前でオープンするということが、繰り返されている。今週も月火とフィッシングが行われたことを確認している。今日・7月29日は未確認で、今後の展開については全く予想がつかない。
■偽サイトの見分け方
三井住友銀行の本物のログインページは、URLが必ず「https」で始まり、iPhoneなどのiOS端末の標準ブラウザ「Safari」であれば、アドレスバーに「Sumitomo Mitsui Banking Corporation」という同行の名前が緑色で表示されるので、本物かどうかはひと目で分かる。iOS用のChromeやAndroid用のFirefoxを使用している場合は、アドレスバーに錠前アイコンが表示され、アイコンをタップして証明書を表示すると同行の名前を確認できる。
Androidの標準ブラウザやAndroid用のChromeの場合は、錠前マークは表示されるが、クリックしても証明書を確認することはできない。証明書に記載されている運営者名で識別する簡単で確実な方法が利用できないので、URLか正しいかどうかを判断していただきたい。
(2015/07/29 ネットセキュリティニュース)
【関連URL】
・三井住友銀行をかたるフィッシング (2015/05/20)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/smbc20150520.html
・【注意喚起】SMS(ショートメッセージサービス)で誘導される銀行のフィッシングサイトにご注意ください (2015/06/16)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/_sms_20150616.html
・【インターネットバンキング】パスワード等を入力させる偽メールが届いても、絶対に入力しないでください!(平成27年6月16日更新)(三菱東京UFJ銀行)
http://www.bk.mufg.jp/info/phishing/20131118.html
・ジャパンネット銀行をかたるフィッシング (2015/07/06)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/jnb20150706.html
・当社を装ってログインパスワード等の入力を求めるショートメールにご注意ください(ジャパンネット銀行)
http://faq.japannetbank.co.jp/news/faq_detail.html?id=1000000