注意: この記事はフィッシング詐欺に引っかかることをお勧めするものではありません。フィッシングサイト(偽サイト)には不正なソフトウェアが仕組まれている場合もありますので、アクセスはしないようにしましょう。
件名:【三菱東京UFJ銀行】本人認証サービスこんにちは!最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。以下のページより登録を続けてください。https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001――Copyright(C)2014 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved――
少佐「ふむ、興味深い」
どうやら、少佐は怪しいメールを受信したようです。
少佐「確かに、表示されているURLは本物のようだ」
(筆者注: 読売新聞による報道[1]では『URLが「https://*******.bk.mufg.jp/」というように本物と錯覚させかねないものになっていたりする』とわかりづらい表現になっていますが、少佐に届いたメールについては、少なくとも表示されているURLは本物のようです。ただしクリックしてはいけません……)
アカネ「だったら踏んでみたら良いんじゃないですか?このリンク」
少佐「フハハハハ、私を舐めるでない……」
少佐「最初から踏むつもりさ!」
観客「HAHAHAHAHAHAHAHAHAHAHAHA」
アカネ「分かっていてわざと踏むんですね、分かります」
少佐「えーそんなことないよー!あたし、信じるもん!人を疑うの、良くないよ!」
観客「HAHAHA」
アカネ「英賀保芽依の真似ですか? 地味に似てるのでむかつきます。やめて下さい」
少佐「ペロッ、このリンク……臭う」
アカネ「もう突っ込みませんよ」
少佐「ふむ。バルカン人はこれだから。では、リンク先を調べてみよう」
アカネ「やっぱり偽サイトへのリンクだったんですね。つまり、表示されているURLと実際のリンク先が違う、と。http://www.google.com/ みたいな感じで。しかも画像へのリンクっぽく見せている点もニクいですね」
少佐「ポチッとな」
アカネ「お、思ったよりもリアルですね」
少佐「フハハハハ、この私の目を騙せるとでも思ったか!」
アカネ「大げさに言わなくても分かりますよ。本物の方はEV SSL証明書(※)を使っています。だから、アドレスバーが緑色になって、社名が表示されてるほうが本物ですよね」
(※ EV SSL証明書:企業の実在性認証など一定の審査基準をクリアした企業にのみ第三者によって発行される電子証明書。結構お高い。少なくとも証明書を発行している第三者の会社が乗っ取られない限り、そのサイトが本物であることや企業の実在性を証明できる。あまりにもお高いので、偽サイトではまず使われない。そして、あまりにもお高いので、本物のサイトでも使用されてないことが多い)
(筆者注:ネットバンキングでも、金融機関によっては、運営を自社ではなく外部のサービスに委託している場合もあります。その場合、その金融機関名ではなく、「NTT DATA CORPORATION」などの委託先の企業名が表示されることもあります)
少佐「そのとおーり」
アカネ「でも面白いですね。ログイン画面で確認番号表(乱数表)の数字入力を求めることはない、という注意書きまでちゃんと真似ているなんて」
少佐「パスワード、ワープ2で、入力ッ!」
アカネ「これまたやる気のないパスワードを」
少佐「ッターン!」
少佐「素晴らしい。半角数字の入力欄にアルファベットを入力しても受け付けるシステム……美しい」
アカネ「お、来ましたね。乱数表入力画面。典型的な偽画面。でも、デザインはリアルですね。完成度高い」
少佐「ふむ、興味深い」
アカネ「てか、本物のサイトでは乱数表を入力を求めることはないって、さっき注意書きがありましたよね。こんなのに騙される人っているんですかね」
アカネ「……あ、いますね、絶対」
その頃、隣の部屋では……。
芽依「…くしゅん! だ、誰かがウワサをしてるのかな?」
観客「HAHAHAHAHAHAHAHAHAHAHAHA」
再び、システム課。
少佐「乱数表を全て入力しろと言うのか。よし、やってやろうじゃないか」
アカネ「……あ、ソフトウェアキーボードが何か文字化けしてますね。ここまで完成度が高かったのに残念ですねえ」
少佐「読める、読めるぞ!心の眼は正しかったんだ」
アカネ「1234567890?これまた、やる気のない入力を」
少佐「ッターン!」
少佐「次は半角英数だ!abcdefghij……と。 ッターン!」
少佐「な、んだと」
アカネ「ここは半角数値以外の入力を弾くんですねw 犯人の知りたい情報がよく分かる」
少佐「しかし、これは10行分すべてを入力しないといけないのか。面倒いな」
アカネ「本音出てますよ」
少佐「よっしゃ、これで最後やで! ッターン!」
少佐「パターン・緑……本物です!」
アカネ「おやまあ。ここで本物のサイトに飛ぶようになってるんですね。面白い。騙されたことに気付かない人もいるかもしれませんね」
少佐「……ああ。騙された?何の話だ?」
観客「HAHAHAHAHAHAHAHAHAHAHAHA」
アカネ「もう良いですよ。でも今回のサイト、かなり完成度が高かったですね。メールの文面が不自然でさえなければ、うっかり騙されてしまうかも知れません」
少佐「ただ、特定の偽サイトから、本物のサイトの特定のページにジャンプするということが分かっているなら、本物のサイトの側でもう一歩踏み込んだ対策が取れる①ような気がするな」
アカネ「そうですね」
少佐「設問1 少佐が本文中の下線①で述べた対策とは、具体的にどのようなものか。50文字で述べよ」
アカネ「……って、なんで急に情報セキュリティスペシャリスト試験みたいなアレを。『偽サイトからの遷移をリファラー情報から検出して、ネットバンキングの緊急停止手続きを利用者に求める』ですか?」
少佐「うむ、そんなところだ。……たぶん」
アカネ「やっぱり、何も考えていなかったんですか。でも、そんな対策なんてすぐに取れないと思いますよ? 掲載内容についてお偉方のスタンプラリーを通すのも大変でしょうし。その割に効果も限定的ですし、いたちごっこです」
少佐「まあ、緊急に掲載したとしても、偽サイトよりも怪しい文章になるのは目にみえているからな」
アカネ「まあ、うちは鉄道会社ですからこういう話とはあまり縁がないですけど、偽サイトでIC乗車券の履歴照会で個人情報を盗み出されるなんてことはあるかもしれませんね」
電話 プルルルルルルルル
アカネ「はい、システムの祝園ですが」
芽依「わーん、アカネちゃーん」
アカネ「どうしたんです?」
芽依「仕事と関係ないんだけどね……、銀行から不正利用か何かがあったから手続きしてくれってメールが届いたんだ。手続きしてみたんだけど、上手く出来なくて。番号を一杯入力したんだよ!」
観客「HAHAHAHAHAHAHAHAHAHAHAHA」
アカネ「……それ、騙されてますよ。偽サイトです」
芽依「えーそんなことないよー!人を疑うの、良くないよ!」
観客「HAHAHAHAHAHAHAHAHAHAHAHA」
めでたし、めでたし。
参考文献・引用
[1] 読売新聞 『三菱東京UFJ銀かたる詐欺サイト・メールが巧妙化』 http://www.yomiuri.co.jp/net/security/s-news/20140109-OYT8T00516.htm (閲覧日: 2014/01/09)
[2] 三菱東京UFJ銀行のWEBサイト及びそのフィッシングサイトより画面キャプチャを取得(閲覧日:2014/01/09)
[3] メール本文はフィッシングメールからハイパーリンクを除去してそのまま全文を引用。
著作権について
著者: Butameron
この記事は、クリエイティブ・コモンズ 表示ライセンスで利用が許諾されています。
詳細はこちらをご覧下さい。
この記事には以下の作品を使用しています。
【画像】夏野未来、すら (こうしす!第1話より)
【キャラデザ】夏野未来、絢嶺るり
【キャラ原案】Butameron
宣伝
Windows XP サポート期限切れをテーマにしたセキュリティ系?自主制作アニメを制作しています。
もしご覧でなければ、ぜひこちらもどうぞ。
筆者はこう思う!
※以下はチャンネル会員向けに先行公開します。一定期間後に無料で公開されます。
この記事を書こうと思ったのは、冒頭のような怪しいメールが3通も届いたからです。届いた先は何とOPAP-JPの代表メールアドレス。「●を@に置き換える」なんてのが通用する時代はもう終わったのでしょうかね。まぁいくつかのサービスをこのメールアドレスで登録しているので、そのうちのいずれかから流出したのかも知れません。ちなみに、UFJには口座は開設していませんw
個人的には、フィッシングサイトに騙されるのは、正直仕方が無いと思います。作中で紹介したアドレスバーの色で偽サイトを見抜く方法についても、確実ではないというのが実情で、偽のアドレスバーを表示するような手の込んだ事例もあったようです。そのうち格安SSL証明書やホスティングサービスの共用SSLを使ったフィッシングサイトなんてものもしれっと登場するのかも知れませんね。
オチはいつものごとくあの方ですが、ITの専門家でも騙されるような巧妙なフィッシング詐欺も存在します。というわけで、明日は我が身。どんどん巧妙化するフィッシング詐欺にご注意下さい。
