楽天証券、多要素認証を突破する「リアルタイムフィッシング詐欺」を確認 ユーザーに注意喚起

[ITmedia]

　楽天証券は10月10日、新たなリアルタイムフィッシング詐欺の発生を確認したとして、利用者に注意喚起した。ユーザーが入力した認証情報をリアルタイムで窃取し、正規サイトへ即座に不正アクセスすることで、多要素認証を突破する手口だった。

楽天証券が利用者に送ったメール（出典：楽天証券、以下同）

　今回のケースは、楽天証券を装ったメールやSMSでユーザーを偽サイトへ誘導し、ログインIDやパスワードを入力させ、そこで窃取した情報を用いて攻撃者がリアルタイムで楽天証券の正規サイトにログイン。要求された追加認証（絵文字）の情報も窃取し、偽サイトに表示してユーザーに入力させる。攻撃者はその情報を用いて正規サイトにログインしたという。

　楽天証券は、偽サイトは「正規サイトと見た目では判断がつきづらい」ため、ブラウザ上に表示されるURLが「https://www.rakuten-sec.co.jp/」で始まっているかを確認することを呼び掛けている。

また偽サイトではユーザーが追加認証を入力した後、すぐに「取引暗証番号」の入力を求められるとして「正規サイトでは、注文や各種変更の際に取引暗証番号が必要となることはあるが、ログイン直後に取引暗証番号を求めることはない」と注意喚起。この他、フィッシングサイトでは、ログイン直後に個人情報（住所、氏名、生年月日、メールアドレス、携帯電話番号など）の入力を求めるケースもあるという。

　楽天証券の「ログイン追加認証（多要素認証）」は、図柄を使ったワンタイムパスワードをユーザーにメールで送信する二要素認証。証券口座でのいわゆる“不正取引”を防ぐため、6月1日から各種サービスでログイン追加認証を必須化した。

リアルタイムフィッシング詐欺の手口