• このエントリーをはてなブックマークに追加
こうしす!TEXT 第2話「騙されてみた!『【三菱東京UFJ銀行】本人認証サービス』を騙る偽サイト」編
閉じる
閉じる

新しい記事を投稿しました。シェアして読者に伝えましょう

×

こうしす!TEXT 第2話「騙されてみた!『【三菱東京UFJ銀行】本人認証サービス』を騙る偽サイト」編

2014-01-09 22:50

    注意: この記事はフィッシング詐欺に引っかかることをお勧めするものではありません。フィッシングサイト(偽サイト)には不正なソフトウェアが仕組まれている場合もありますので、アクセスはしないようにしましょう。


    a77a2b1b3f060e05b302c772a2568fcc64554c95

    件名:【三菱東京UFJ銀行】本人認証サービス

    こんにちは!
    最近、利用者の個人情報が一部のネットショップサーバーに不正取得され、利用者の個人情報漏洩事件が起こりました。
    お客様のアカウントの安全性を保つために、「三菱東京UFJ銀行システム」がアップグレードされましたが、お客様はアカウントが凍結されないように直ちにご登録のうえご確認ください。

    以下のページより登録を続けてください。

    https://entry11.bk.mufg.jp/ibg/dfw/APLIN/loginib/login?_TRANID=AA000_001

     

    ――Copyright(C)2014 The Bank of Tokyo-Mitsubishi UFJ,Ltd.All rights reserved――


    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「ふむ、興味深い」


    どうやら、少佐は怪しいメールを受信したようです。

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「確かに、表示されているURLは本物のようだ」


    (筆者注: 読売新聞による報道[1]では『URLが「https://*******.bk.mufg.jp/」というように本物と錯覚させかねないものになっていたりする』とわかりづらい表現になっていますが、少佐に届いたメールについては、少なくとも表示されているURLは本物のようです。ただしクリックしてはいけません……


    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「だったら踏んでみたら良いんじゃないですか?このリンク」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「フハハハハ、私を舐めるでない……」



    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「最初から踏むつもりさ!」


    観客「HAHAHAHAHAHAHAHAHAHAHAHA」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「分かっていてわざと踏むんですね、分かります」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「えーそんなことないよー!あたし、信じるもん!人を疑うの、良くないよ!」



    観客「HAHAHA」


    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「英賀保芽依の真似ですか? 地味に似てるのでむかつきます。やめて下さい」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「ペロッ、このリンク……臭う」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「もう突っ込みませんよ」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「ふむ。バルカン人はこれだから。では、リンク先を調べてみよう」



    c37cc567ad8be307d2a09639baea87acc220d2c2



    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「やっぱり偽サイトへのリンクだったんですね。つまり、表示されているURLと実際のリンク先が違う、と。http://www.google.com/ みたいな感じで。しかも画像へのリンクっぽく見せている点もニクいですね」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「ポチッとな」


    3d0aca9bbac81b1069e253143e547ba53261f4eb


    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「お、思ったよりもリアルですね」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「フハハハハ、この私の目を騙せるとでも思ったか!」


    0886a0809e0819ce0fad81b25724633ae2a7f6eb

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「大げさに言わなくても分かりますよ。本物の方はEV SSL証明書(※)を使っています。だから、アドレスバーが緑色になって、社名が表示されてるほうが本物ですよね」

    (※ EV SSL証明書:企業の実在性認証など一定の審査基準をクリアした企業にのみ第三者によって発行される電子証明書。結構お高い。少なくとも証明書を発行している第三者の会社が乗っ取られない限り、そのサイトが本物であることや企業の実在性を証明できる。あまりにもお高いので、偽サイトではまず使われない。そして、あまりにもお高いので、本物のサイトでも使用されてないことが多い)

    (筆者注:ネットバンキングでも、金融機関によっては、運営を自社ではなく外部のサービスに委託している場合もあります。その場合、その金融機関名ではなく、「NTT DATA CORPORATION」などの委託先の企業名が表示されることもあります)


    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「そのとおーり」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「でも面白いですね。ログイン画面で確認番号表(乱数表)の数字入力を求めることはない、という注意書きまでちゃんと真似ているなんて」

    3d0aca9bbac81b1069e253143e547ba53261f4eb


    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「パスワード、ワープ2で、入力ッ!」

    f2ff904702d1ef4f107b7ce03b67945ab8dc993e

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「これまたやる気のないパスワードを」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「ッターン!」


    039f36e004c4a62c8365b69b1a4d9691492637e8

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「素晴らしい。半角数字の入力欄にアルファベットを入力しても受け付けるシステム……美しい」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「お、来ましたね。乱数表入力画面。典型的な偽画面。でも、デザインはリアルですね。完成度高い」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「ふむ、興味深い」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「てか、本物のサイトでは乱数表を入力を求めることはないって、さっき注意書きがありましたよね。こんなのに騙される人っているんですかね」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「……あ、いますね、絶対」


    その頃、隣の部屋では……。

    bb609b2c82a8851d6e18bd94955274ad407bbbf1芽依「…くしゅん! だ、誰かがウワサをしてるのかな?」


    観客「HAHAHAHAHAHAHAHAHAHAHAHA」

    再び、システム課。


    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「乱数表を全て入力しろと言うのか。よし、やってやろうじゃないか」

    82d545fb23afcc852e24b4716a12f6a71e30f8d7


    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「……あ、ソフトウェアキーボードが何か文字化けしてますね。ここまで完成度が高かったのに残念ですねえ」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「読める、読めるぞ!心の眼は正しかったんだ」


    54a30b188a0f7866659a4973c1eae06963eac8d7


    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「1234567890?これまた、やる気のない入力を」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「ッターン!」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「次は半角英数だ!abcdefghij……と。 ッターン!」

    025201740326a3eb031e46a40a151a1f4111103b

    3d9f0be95b3ff46e429334e4558b40d2e59deb73

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「な、んだと」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「ここは半角数値以外の入力を弾くんですねw 犯人の知りたい情報がよく分かる」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「しかし、これは10行分すべてを入力しないといけないのか。面倒いな」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「本音出てますよ」


    aa5db871cab3d8e8d18b8f53889224bdfb31dce7


    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「よっしゃ、これで最後やで! ッターン!」






















































    1805eb86fdff97313291d94d5a4440a4e0210258


    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「パターン・緑……本物です!」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「おやまあ。ここで本物のサイトに飛ぶようになってるんですね。面白い。騙されたことに気付かない人もいるかもしれませんね」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「……ああ。騙された?何の話だ?」


    観客「HAHAHAHAHAHAHAHAHAHAHAHA」


    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「もう良いですよ。でも今回のサイト、かなり完成度が高かったですね。メールの文面が不自然でさえなければ、うっかり騙されてしまうかも知れません」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「ただ、特定の偽サイトから、本物のサイトの特定のページにジャンプするということが分かっているなら、本物のサイトの側でもう一歩踏み込んだ対策が取れる①ような気がするな」


    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「そうですね」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「設問1 少佐が本文中の下線①で述べた対策とは、具体的にどのようなものか。50文字で述べよ」


    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「……って、なんで急に情報セキュリティスペシャリスト試験みたいなアレを。『偽サイトからの遷移をリファラー情報から検出して、ネットバンキングの緊急停止手続きを利用者に求める』ですか?」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「うむ、そんなところだ。……たぶん」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「やっぱり、何も考えていなかったんですか。でも、そんな対策なんてすぐに取れないと思いますよ? 掲載内容についてお偉方のスタンプラリーを通すのも大変でしょうし。その割に効果も限定的ですし、いたちごっこです」

    2bb5fdfd68b627a54bd018a7f4e774ac5a308f73少佐「まあ、緊急に掲載したとしても、偽サイトよりも怪しい文章になるのは目にみえているからな」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「まあ、うちは鉄道会社ですからこういう話とはあまり縁がないですけど、偽サイトでIC乗車券の履歴照会で個人情報を盗み出されるなんてことはあるかもしれませんね」


    電話 プルルルルルルルル

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「はい、システムの祝園ですが」

    bb609b2c82a8851d6e18bd94955274ad407bbbf1芽依「わーん、アカネちゃーん」

    30a84e192699657b3e26532cae44f92502a8c722


    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「どうしたんです?」

    bb609b2c82a8851d6e18bd94955274ad407bbbf1芽依「仕事と関係ないんだけどね……、銀行から不正利用か何かがあったから手続きしてくれってメールが届いたんだ。手続きしてみたんだけど、上手く出来なくて。番号を一杯入力したんだよ!」

    観客「HAHAHAHAHAHAHAHAHAHAHAHA」

    c124272f1f85e3342e3613ae629b099c04e0a025アカネ「……それ、騙されてますよ。偽サイトです」

    bb609b2c82a8851d6e18bd94955274ad407bbbf1芽依「えーそんなことないよー!人を疑うの、良くないよ!」



    観客「HAHAHAHAHAHAHAHAHAHAHAHA」

     

     

    めでたし、めでたし。


    参考文献・引用

    [1] 読売新聞 『三菱東京UFJ銀かたる詐欺サイト・メールが巧妙化』 http://www.yomiuri.co.jp/net/security/s-news/20140109-OYT8T00516.htm (閲覧日: 2014/01/09)

    [2] 三菱東京UFJ銀行のWEBサイト及びそのフィッシングサイトより画面キャプチャを取得(閲覧日:2014/01/09)

    [3] メール本文はフィッシングメールからハイパーリンクを除去してそのまま全文を引用。


    著作権について

    著者: Butameron

    この記事は、クリエイティブ・コモンズ 表示ライセンスで利用が許諾されています。
    詳細はこちらをご覧下さい。

    この記事には以下の作品を使用しています。

    【画像】夏野未来、すら (こうしす!第1話より)
    【キャラデザ】夏野未来、絢嶺るり
    【キャラ原案】Butameron



    宣伝

    Windows XP サポート期限切れをテーマにしたセキュリティ系?自主制作アニメを制作しています。
    もしご覧でなければ、ぜひこちらもどうぞ。





    筆者はこう思う!


    ※以下はチャンネル会員向けに先行公開します。一定期間後に無料で公開されます。


    この記事を書こうと思ったのは、冒頭のような怪しいメールが3通も届いたからです。届いた先は何とOPAP-JPの代表メールアドレス。「●を@に置き換える」なんてのが通用する時代はもう終わったのでしょうかね。まぁいくつかのサービスをこのメールアドレスで登録しているので、そのうちのいずれかから流出したのかも知れません。ちなみに、UFJには口座は開設していませんw

    個人的には、フィッシングサイトに騙されるのは、正直仕方が無いと思います。作中で紹介したアドレスバーの色で偽サイトを見抜く方法についても、確実ではないというのが実情で、偽のアドレスバーを表示するような手の込んだ事例もあったようです。そのうち格安SSL証明書やホスティングサービスの共用SSLを使ったフィッシングサイトなんてものもしれっと登場するのかも知れませんね。

    オチはいつものごとくあの方ですが、ITの専門家でも騙されるような巧妙なフィッシング詐欺も存在します。というわけで、明日は我が身。どんどん巧妙化するフィッシング詐欺にご注意下さい。

    コメントを書く
    コメントをするにはログインして下さい。