図1 今回のフィッシング詐欺で使われた偽メールの例(IPAの情報から引用。以下同じ)。添付されている「MUFG_SE.exe」がウイルス
図1 今回のフィッシング詐欺で使われた偽メールの例(IPAの情報から引用。以下同じ)。添付されている「MUFG_SE.exe」がウイルス
[画像のクリックで拡大表示]
図2 ウイルスを実行すると表示される入力画面例
図2 ウイルスを実行すると表示される入力画面例
[画像のクリックで拡大表示]
図3 情報の送信に失敗したと思わせるエラーメッセージ。文字化けしている。中国語簡体字として表示すると、「接続の失敗」を意味する中国語になるという
図3 情報の送信に失敗したと思わせるエラーメッセージ。文字化けしている。中国語簡体字として表示すると、「接続の失敗」を意味する中国語になるという
[画像のクリックで拡大表示]

 情報処理推進機構(IPA)は2011年10月5日、ウイルス(悪質なプログラム)を使ったフィッシング詐欺が出現しているとして注意を呼びかけた。メールに添付されたウイルスを実行すると、パスワードなどを入力する画面が表示。指示に従って入力するとパスワードを盗まれる。実際、数百万円の被害が発生しているという。

 フィッシングとは、実在する企業や団体をかたり、本物そっくりの偽メールや偽Webサイトを使ってユーザーをだまし、個人情報を詐取するネット詐欺のこと。

 典型的な手口は以下の通り。有名な金融機関の名前を詐称して、「以下のURLにアクセスしてすぐに本人確認をしないと口座が失効する」などと、ユーザーの不安感をあおるメールを送信する。

 そのURLにアクセスすると、本物そっくりの偽サイトに誘導される。そのサイトで入力したパスワードなどは全て攻撃者に送信される。攻撃者は、その情報を使って本物のWebサイトにログイン。ユーザーになりすまして金銭などを奪う。

 以上のように、偽メールと偽サイトを使うのが常とう手段だが、今回IPAが報告したフィッシングでは、偽メールとウイルスを使っている。

 攻撃者は、ある国内大手銀行をかたったメールを送信。メールの本文には、ネットバンキングの確認番号カード(乱数表)を再発行するので、添付されている「申し込みソフト」を実行するよう書かれている(図1)。

 添付ファイルを実行すると、契約者番号やパスワード、乱数表の情報などを入力するよう求められる(図2)。実際には、このファイルはウイルス。ここで入力した情報は全て攻撃者に送信される。つまり、このフィッシングでは、個人情報を偽サイトに入力させる代わりに、ウイルスが表示した画面に入力させようとする。

 個人情報を入力して「送信」ボタンを押すと、文字化けしたエラーメッセージが表示される(図3)。その裏で、入力した情報は全て攻撃者に送信。攻撃者はその情報を使ってユーザーになりすまし、送金などを行ったもよう。IPAによれば、総額で数百万円の被害が確認されているという。

 今回のようなフィッシングの被害を防ぐには、金融機関などから送られたように思えるメールでも、安易に信用しないことが重要だ。IPAでは、「そもそもカード番号や暗証番号を入力するような依頼がメールで届くことはありません」として、十分注意するよう呼びかけている。