本頁作成日: 2014年1月23日
最終更新日: 2014年6月17日


the Incidents 15



 ■日本の大手銀行を騙った電子メールにご注意■
     (クラウドが、一昔前の電子メールワームの拡散データベース保管庫に使われ始めたような、いやな気配)

表題は、「殊更今になって騒ぎ立てるほどのことでもない(※1)」と思われる方もいらっしゃるような、
いわゆる、「フィッシングメール」のお話です。


説明図1。クリックすると原寸を別窓表示します。


そもそもの認証自体が、信頼の置ける「アカウントを取得したサイト」で行うべきなんですが、
今回の例、三菱東京UFJ銀行を騙った電子メールのお話では、本文中で引用する URL を、
見た目がその信頼の置けそうなサイトのような文字列に見せかけます。


説明図2。クリックすると原寸を別窓表示します。


一見、三菱東京UFJ銀行を利用してらっしゃる方がクリックしてしまいそうな文字列ですね。

憖っか、便利機能に満たされた電子メールクライアントだと何の疑いもなく開いてしまいそうな
ページのレイアウトですが、これをわざと不便なテキスト形式で開いた場合はこうなります。


説明図3。クリックすると原寸を別窓表示します。


エンコードが日本語じゃないんですね。いろいろなケースが考えられど、着目点ですね。
文字化けしていて怪しいメールなので、どういう意図で送ったのか知りたくなりますね

思い立ったなら、Web で本文の一部を検索してみるか、意図を電話して聞くなどしましょう。
普通は細かい検証など求められず、「送った」「送ってない」がはっきりするでしょう。


このようにして、ID や PassWord を入力する前に「怪しい電子メール!」と気付いてください。


参考情報

  2014.06.17
  リンク先は当サイト外です。 埼玉県警察/ 犯罪・防犯/ 振り込め詐欺/:
  金融機関での取組みにご協力を
  http://www.police.pref.saitama.lg.jp/kenkei/hanzai-bouhan/furikome/oshirase.html

  2014.01.23
  リンク先は当サイト外です。 三菱東京UFJ銀行/金融犯罪にご注意ください/:
  金融機関を装う電子メールにご注意ください。
  http://www.bk.mufg.jp/info/mail_chuui/





※1
  民生のエンドユーザに対してコンピュータウイルスへの対策が呼びかけられて久しい昨今では、
  そこからメールクライアントの「送信簿」「受信簿」を盗み見・拡散される時代はほぼ終わった――

  エンドユーザのPCを踏み台とする電子メールワームの拡散はほぼコントロールされてるのかなと、
  そう思っていた矢先、今度は巡回ロボットが構築したクラウドが拡散データベース保管庫ですか。
  使ってる端末が、便利さを探求してルーズになっていく以上、気を緩めることはできませんね――

  「XP はサポートが切れるからと。穴だらけだから新しいのに買い替えましょう」と。
  そういったこと、セキュリティベンダーが声を高らにする前に何かやることがあるんじゃないですかね。
  さもないと、数年後は穴だらけで放置される OS を絶えず買い続けるユーザがそこにいるだけ――
  どんなに高いマシンを買い続けど、フィッシングメールの拡散が絶えることはないのでしょう。

  いいですか? XP が期限切れなら、ユーザは手の入れようがない Android 端末に移るだけですよ?
  これだけ情報化社会の電子化が進んだのに、結局、インターネットセキュリティに疎かったのは、
  Web制作者の側だったっていう話じゃないんですか?動画を使わないと相手に伝えられないんですか?
  「うちのサイトはActiveX コントロールを使いません。切って下さい」高らに叫びましょうよ。
  認証するためのページに動画は不要でしょ?コンテンツを模倣する人間が、訪問者のマシンを乗っ取る
  コントロールを Adobe とすり替えて掴ませてきたらどうするんですか?Web制作者さん?

  ――――本稿は、そういった思いがあって立ち上げました。





 ■ ご注意 ■

当サイトでの、上記のような記事に速報性はありません。
ご使用のコンピュータの OS や周辺コンポーネント等に纏わる脆弱性情報に
絶えず注目していく必要があります。


  リンク先は当サイト外です。 経済産業省/ 情報セキュリティに関する政策、緊急情報/
    コンピュータウイルス対策基準
    http://www.meti.go.jp/policy/netsecurity/CvirusCMG.htm

  リンク先は当サイト外です。 総務省/
    国民のための情報セキュリティサイト
    http://www.soumu.go.jp/main_sosiki/joho_tsusin/security/

  リンク先は当サイト外です。 独立行政法人 情報処理推進機構 セキュリティセンター (IPA/ISEC)
  http://www.ipa.go.jp/security/

  リンク先は当サイト外です。 総務省・経済産業省 連携プロジェクト サイバークリーンセンター
  https://www.ccc.go.jp/

  リンク先は当サイト外です。 有限責任中間法人 JPCERT コーディネーションセンター (JPCERT/CC)         
  http://www.jpcert.or.jp/

  リンク先は当サイト外です。 JEITA 社団法人電子情報技術産業協会/
    パーソナルコンピュータ(PC)安全・安心
    http://home.jeita.or.jp/cgi-bin/page/detail.cgi?n=75&ca=14

  リンク先は当サイト外です。 日本コンピュータセキュリティリサーチ株式会社
  http://www.jcsa.jp/

  リンク先は当サイト外です。 株式会社ラック/
    注意喚起の記事
    https://www.lac.co.jp/lacwatch/alert/

  リンク先は当サイト外です。 エフセキュア株式会社/
    エフセキュアブログ
    http://blog.f-secure.jp/

  リンク先は当サイト外です。 フィッシング対策協議会 (Council of Anti-Phishing Japan)
  http://www.antiphishing.jp/

  リンク先は当サイト外です。 警視庁/ 警視庁について/
    こんなときこそ110番(通報したい時)
    http://www.keishicho.metro.tokyo.jp/jiken_jiko/110/110_110.html
    こんな時は、もう一つの110番(#9110: 悩みごと・相談ごと)
    http://www.keishicho.metro.tokyo.jp/jiken_jiko/110/110_9110.html


ベンダーのサイトなどで定期的な情報収集をされることを強くお勧めします。







目次へ戻る