元銀行員がひも解くフィッシング詐欺の中身と対策萩原栄幸の情報セキュリティ相談室(1/3 ページ)

警察庁によれば、昨年のフィッシング詐欺の国内被害は14億円を超え、2012年の30倍にもなった。メガバンク出身の筆者が、実際に直面したフィッシング詐欺の手口とその対策に迫る。

» 2014年02月28日 08時00分 公開
[萩原栄幸,ITmedia]

実際に届いた詐欺メール

 昨年11月、筆者あてに三菱東京UFJ銀行を名乗る2通のフィッシング詐欺メールが届いた。同行出身の筆者に送り付けるとは、何とも“お馬鹿”な犯人である(特に相手を指定しているわけではないだろうが)。その前にも似た内容のメールが届いたので友人の行員には知らせておいたが、今年に入ってからも少しだけ内容が異なるメールが届いた。犯人は相当な数のメールを送信しているのではないか。

 以下は、実際に筆者に届いたフィッシング詐欺メールの内容である(編注:一部を伏せています)。

件名:三菱東京UFJ銀行――安全確認

From:【三菱東京UFJ銀行】 hs*****@yahoo.com.tw

To:筆者のメールアドレスの1つ

こんにちは!

これは三菱東京UFJ銀行によって行っているユーザ番号の調査です。

あなたのユーザ番号は使用停止になっているかどうかをチェックしています。

あなたのユーザ番号は合法的であることが保障できるために、下記のリンクをクリックしてください。

https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=***********

あなたのユーザ番号の承認が完成された後、三菱東京UFJ銀行よりあなたのユーザ番号をチェックしていただきます。


 通常のメールなら、身元を提示して住所や電話番号などの連絡先が記載されているが、それはない。本文メールは省略していない。この記述しかないのである。どうにも幼稚な犯罪者であると思われる。突っ込みどころ満載だ。大きな疑問だけでも3つある。

  1. フッターで記載するはずの所属や連絡先が全くない
  2. Fromメールを信じるなら、Yahooメールを使い、しかも国別コードが「tw(台湾)」となっている
  3. 本文の文章が微妙に日本語になっていない。片言しか話せない外国人との会話を彷彿とさせる

 以前のフィッシング詐欺メールに比べると、ちょっとした進歩もあるにはある。

 例えば、指定URLだ。以前は怪しいURLだったが、ここ数年は犯人側も学習したらしく、記載のURLは正規の三菱東京UFJ銀行のネットバンキングにおけるログイン画面のURLと一致している。実はちょっと細工するだけで、実際に飛ぶ先のURLとは違うURLを表示されることができる。

 ただ、ごく一般的に使われているほとんどメーラーでは、画面の端(例えば左下側)に表示される「飛び先」を確認すると、実際には「http://www.*****.com/images/」となっているので、記載のURLと飛び先のURLが異なることを簡単に見つけられる。しかも、市販のウイルス対策ソフトではこのリンク先をクリックすると「警告メッセージ」が出て、「本当に移動しますか?」と警告してくれるので、受信者には安心だろう。

 そもそも、メガバンクがシステム変更画面の通知メールに、台湾のアドレス(しかもYahoo!メール)を使うだろうか。疑問を持った受信者は多かっただろう。

 このフィッシング詐欺は、筆者が銀行員の専門家として初めて対面してから、既に10年以上も経過している。とても古典的な詐欺だが、ここ1〜2年でその被害が急増している。それは、詐欺メールが巧妙になっているためだ。上述のように、見た目のURLを正規サイトと同じにしたり、DNS自体を改ざんしたり、PCのシステムファイルを改ざんしたり、中間者攻撃を試みたりして、確実に犯罪スキルを高めている。上述のメールは、ネット初心者でも詐欺と気付くくらい稚拙なメールなので、良かっただけなのかもしれない。

 今まで日本ではフィッシング詐欺の被害が極めて少なかった。それには漢字の2バイトコードが壁になっていたともいわれる。しかし、それでも被害額が14億円を超え、2014年はさらに増える可能性が高い(世界ではピーク時に1000億円以上もの被害があった)。つまり、フィッシング詐欺から自分の身を守るには自分で守るしかないという状況である。今回はこのフィッシング詐欺について、利用者の立場、金融機関の立場の両面から解説したい。

       1|2|3 次のページへ

Copyright © ITmedia, Inc. All Rights Reserved.

注目のテーマ