偽メール注意、三菱東京UFJ銀行 フィッシング詐欺

2014/3/11付
保存
共有
印刷
その他

画面1 実際に送られてきた偽メールの文面例。誤解を与えないよう、リンクの表示部分をぼかした

画面1 実際に送られてきた偽メールの文面例。誤解を与えないよう、リンクの表示部分をぼかした

三菱東京UFJ銀行は2014年3月8日、同行をかたる偽メールが出回っているとして注意を呼びかけた。目的はフィッシング詐欺。メール中のリンクをクリックすると偽サイトに誘導され、パスワードなどを入力するよう求められる。偽サイトでは、あえて「偽メールにだまされないで!」といった警告を表示して、ユーザーに怪しまれないようにしている。

フィッシング詐欺とは、有名な企業や組織をかたった偽メールや偽サイトでユーザーをだまし、個人情報などを盗むネット詐欺のこと。典型的な手口は、偽サイトのURLを記載した偽メールを不特定多数に送信。実在するWebサイトのログインページなどに見せかけた偽サイトに誘導して、パスワードなどを入力させる。

今回確認されたのは、三菱東京UFJ銀行をかたる偽メール。広く出回っている様子で、パソコンに加え、携帯電話やスマートフォン(スマホ)に対しても送られているようだ。

偽メールの文面は次の通り(画面1)。

2014年「三菱東京UFJ銀行」のシステムセキュリティーのアップデートのため、貴様のアカウントの利用中止を避けるために、検証する必要があります。

以下のページより登録を続けてください。

「貴様」といった単語が使われるなど、文面には不自然な点がある。この文面に続いてリンクが記されている。リンクの表示は、三菱東京UFJ銀行の正規のドメイン名を含むURLだが、実際のリンク先は攻撃者が用意した偽サイトだ(画面2)。偽のログイン画面を表示して、契約番号やログインパスワードを入力させようとする。

偽のログイン画面では、「危ない!こんな偽メールにだまされないで!!」といった警告なども表示して、ユーザーに怪しまれないようにしている。偽のログイン画面でログインすると、今度は確認番号を入力させる偽画面が表示される。これらの画面で入力した情報は全て攻撃者に送信され、盗まれてしまう。

三菱東京UFJ銀行では、Webサイトで警告するとともに、ユーザーに対して注意喚起のメールを送信した(画面3)。

画面2 偽メールで誘導する偽サイトの例

画面2 偽メールで誘導する偽サイトの例

画面3 三菱東京UFJ銀行がユーザーに送信した注意喚起のメール

画面3 三菱東京UFJ銀行がユーザーに送信した注意喚起のメール


(日経コンピュータ 勝村幸博)

[ITpro 2014年3月10日掲載]

保存
共有
印刷
その他

電子版トップ



[PR]