著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。

 2019年11月中旬に発生したトラブルを2件取り上げる。最初は、オンラインバンキングのフィッシング被害である。

フィッシングサイトでワンタイムパスワードを入力させる(11月15日)

 三菱UFJ銀行は同行を装った偽のメールやSMSが配信されているとして注意喚起を出した。

偽メールに関する注意喚起
(出所:三菱UFJ銀行)

 偽メールや偽SMSには、受信者の銀行口座に対して制限や失効、一時停止といった手続きを取ったと書かれている。そして、解除するためにはリンク先にアクセスする必要があるとしている。アクセスすると同行の偽サイト(フィッシングサイト)が開き、ワンタイムパスワードを入力するよう促される。受信者が入力するとそのワンタイムパスワードが盗まれ、オンラインバンキングで不正送金されてしまうという。

 この注意喚起には関連情報として、警察庁が2019年10月に発表した不正送金被害に関する注意喚起がリンクされている。警察庁の注意喚起では、2019年9月の不正送金の被害額は約4億2600万円で、同年1~8月の中で最大だった8月の被害額約7400万円を大きく上回ったと指摘している。

急増する不正送金被害に関する注意喚起
(出所:警察庁)

 筆者は三菱UFJ銀行の偽メールが届いたとする人物のSNSへの書き込みを確認した。その書き込みにあったフィッシングサイトのドメイン名は「muhg.jp」だった。三菱UFJ銀行が使っているドメイン名は「mufg.jp」である。

 muhg.jpの登録者情報(WHOIS情報)には、住所にメールアドレスが含まれるなど、明らかな不備が見つかった。多くのレジストラ(ドメイン名登録事業者)は「安心と信頼のJPドメイン」とうたっている。今回のように、登録者情報が十分に確認されずにJPドメインが登録されるケースがあるとみられる。

フィッシングサイトに使われたとみられるドメイン名の登録者情報(WHOIS情報)。一部、編集部で加工した
(出所:日本レジストリサービス)

https://direct.bk.mufg.jp/info_news/smsinfo_1023/index.html

この先は会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら