執拗に続いていたオンラインバンキングを装うSMS(電話番号宛てにメッセージを送るショートメッセージサービス)が途絶え、ほっとする間もなく、今度はオンラインバンキングを装うフィッシングメールが舞い込んできた。すでに金銭被害が発生しているとのことなので、騙されないよう注意していただきたい。
11月29日未明ごろから不特定多数宛てにばらまかれたのは、「住信SBIネット銀行本人認証サービス」や「住信SBIネット銀行より大切なお知らせです」という件名のフィッシングメール。本文は「こんにちは!」という書き出しで始まり、<(2015年11月28日更新)「住信SBIネット銀行」のシステムが安全性の更新がされたため、お客様はアカウントが凍結?休眠されないように、直ちにアカウントをご認証ください。以下のページより登録を続けてください。>と言い、リンクをクリックさせようとする。
■台湾設置の偽サイトで「認証番号表」入力を次々要求
記載されたリンクは、httpsで始まる同行の本物のログインページに見えるが、クリックすると、台湾に設置された偽サイトにアクセスするように細工されている。この偽サイトでは、偽のログインページにログインさせた後、送金などの取引に必要な「WEB取引パスワード」と、認証番号表(乱数表)の数字を入力させようとする。
認証番号表とは、ユーザーごとに異なる20個の数字が書かれた、キャッシュカードの裏面や認証番号カードに記載されている表のこと。取引時には、その都度指定場所を変えた数字2か所を入力させることにより、不正アクセスを受けても、認証番号表を持っていなければ送金などができないようになっている。ところがこの偽サイトでは、認証番号表の数字を2か所ずつ10回に分けて次々に入力させるという、あり得ない操作を要求し、認証番号表の全ての数字を騙し取ろうとする。ここまで入力してしまうと、口座が不正に操作できるようになってしまうので注意が必要だ。
同行は11月30日、公式サイトに「重要なお知らせ」を掲載し、偽サイトの注意を呼びかけた。お知らせによると、本事例が原因と疑われる不正出金も発生しているという。
■攻撃の長期化に備えて
今回のフィッシングに使われたメールの件名や本文、偽サイトの構造などからは、執拗に続いていた「三菱東京UFJ銀行」などを装ったフィッシングと同一犯が仕掛けているであろうことが推察できる。一連の攻撃は、2013年11月に始まり、ときどき休息をはさみながら、えんえんと続いてきた。7月末の攻撃以来しばらく途絶えていたが、再開した可能性が高く、攻撃が長引くことが予想されるので、くれぐれも騙されないようにしていただきたい。
<偽メールの見分け方>
認証などと称してログインページに誘導するメールや、不自然な日本語、文字化けなどのあるメールは怪しいメールなので、リンク先にアクセスせず、銀行に問い合わせていただきたい。
同行の本物の案内メールなどには電子署名が付いており、対応するメールソフトを使用している場合は「SBI Sumishin Net Bank, Ltd.」という署名者の証明書を確認できる。署名のないメールは疑うようにしたい。
<偽サイトの見分け方>
オンラインバンキングのログインページや取引ページは、SSL/TSL通信と呼ばれる暗号化通信を行っている。アドレスバーに表示される接続先のURLは、必ず「https://」で始まり、錠前マークや運営者の名前(先のメールの署名と同じ名前)が表示されるので、必ず確認していただきたい。表示のない場合は偽サイトだ。
同行では、認証番号表の代わりにスマートフォン(iPhone、Android端末)と連携する「スマート認証」と呼ばれる認証方法が利用できるようになっている。「スマート認証」では、事前に登録したスマートフォンで許可しないと送金などができず、認証番号表よりもはるかに安全性が高い。ただし、認証番号表を使った認証が無効になるわけではないので注意したい。
今回の偽サイトでは、「スマート認証」を選択するとエラーになって先に進めない。ここで不審に思い操作を中止すればよいが、気を利かせて認証番号表の認証に変えてしまうと元も子もない。
(2015/12/01 ネットセキュリティニュース)
【関連URL】
・住信SBIネット銀行
https://www.netbk.co.jp/
・住信SBIネット銀行をかたるフィッシング (2015/11/30)(フィッシング対策協議会)
http://www.antiphishing.jp/news/alert/sbi_20151130.html