　ITmedia編集部の手元に届いた詐欺メールは、UFJ銀行の名前をかたったHTML形式のメール。「セキュリティーの向上に伴いまして、オンライン上でのご本人確認が必要となります。この手続きを怠ると今後のオンライン上での操作に支障をきたす恐れがありますので、一刻も素早いお手続きをお願いします」と呼びかけ、本文中に記されたURLをクリックし、作業を行うよう求めている。

届いたメールをHTML形式で表示してみた。UFJ銀行のロゴなどを堂々と借用している

　このURLだが、HTML表記を見れば「https://www.ufjbank.co.jp/ib/login/index.html」と、あたかもSSLで保護されたUFJ銀行のWebサイトにつながるように見せかけている。しかしHTMLソースを確認すると、同行とは縁もゆかりもないウルグアイのWebサイトにジャンプすることがすぐ分かる。

　また送り主（From表記）は「admin@ufjbank.co.jp」と、これもUFJ銀行の管理者を装ったものになっている。しかしメールのヘッダーを確認して発信元IPアドレスをたどると、同行とは関係なさそうな中国から送られてきていることが判明した（ただし、これは筆者の手元に届いたものがたまたま中国発だった、ということに過ぎず、他の地域からも送られてきている可能性がある）。

　HTMLメールには3つのURLが記されており、うち1つめのウルグアイの偽Webサイトは既にアクセス不可能。しかし2つめ（ポーランド）と3つめ（韓国）の偽Webサイトは記事執筆時点で生きており、UFJ銀行を装って契約番号とパスワードの詐取を行おうとする。

2つめに記されたURLにアクセスしてみた。ブラウザの右下には、SSL通信を行っている証の鍵マークは表示されない

上記画像のアドレスバー部分を拡大すると、同行とはまったく関係ないIPアドレスが並んでいることがすぐ分かる

　このフィッシング詐欺を見破るのは簡単だ。ジャンプした先のWebサイトでは、アドレスバーの偽装などが行われておらず、怪しげなIPアドレスの数字が並んでいることがすぐに分かる。また、重要な情報を扱うにもかかわらず、SSL暗号化がなされていないことからも、怪しいことが見て取れる。

　なお、この記事をまとめた時点では、UFJ銀行からのコメントは得られなかった。

11時30分追記　UFJ銀行ではフィッシング詐欺メールの発生を受けて、利用者に注意を呼びかける文書を公開した。同行は顧客に対し、電子メール経由で重要な情報に関する連絡をとることはないとしたうえで、万一こうしたメールが手元に届いたとしても、安易にリンク先Webページにアクセスしたり、暗証番号などの重要な情報を入力しないよう求めている。合わせて、「SSL暗号化通信の確認」「Webサイトにアクセスする際にはメール中のURLをクリックするのではなく、手入力を行う」「アドレスバーに表示されるURLの確認」といった、基本的なフィッシング詐欺対策についても触れている。