著名なセキュリティーリサーチャーのpiyokango氏が注目のシステムトラブルをピックアップ。今週の注目ネタは…。
2019年11月中旬に発生したトラブルを2件取り上げる。最初は、オンラインバンキングのフィッシング被害である。
フィッシングサイトでワンタイムパスワードを入力させる(11月15日)
三菱UFJ銀行は同行を装った偽のメールやSMSが配信されているとして注意喚起を出した。
偽メールや偽SMSには、受信者の銀行口座に対して制限や失効、一時停止といった手続きを取ったと書かれている。そして、解除するためにはリンク先にアクセスする必要があるとしている。アクセスすると同行の偽サイト(フィッシングサイト)が開き、ワンタイムパスワードを入力するよう促される。受信者が入力するとそのワンタイムパスワードが盗まれ、オンラインバンキングで不正送金されてしまうという。
この注意喚起には関連情報として、警察庁が2019年10月に発表した不正送金被害に関する注意喚起がリンクされている。警察庁の注意喚起では、2019年9月の不正送金の被害額は約4億2600万円で、同年1~8月の中で最大だった8月の被害額約7400万円を大きく上回ったと指摘している。
筆者は三菱UFJ銀行の偽メールが届いたとする人物のSNSへの書き込みを確認した。その書き込みにあったフィッシングサイトのドメイン名は「muhg.jp」だった。三菱UFJ銀行が使っているドメイン名は「mufg.jp」である。
muhg.jpの登録者情報(WHOIS情報)には、住所にメールアドレスが含まれるなど、明らかな不備が見つかった。多くのレジストラ(ドメイン名登録事業者)は「安心と信頼のJPドメイン」とうたっている。今回のように、登録者情報が十分に確認されずにJPドメインが登録されるケースがあるとみられる。
https://direct.bk.mufg.jp/info_news/smsinfo_1023/index.html
