写真●楽天銀行で表示される偽画面の例(同社Webページの発表資料から引用)
写真●楽天銀行で表示される偽画面の例(同社Webページの発表資料から引用)
[画像のクリックで拡大表示]

 クレジットカード会社の三菱UFJニコスの会員向けWebサービスにおいて、ユーザーが正規のWebページにログインした直後に、認証情報やクレジットカード番号などを入力させる偽の画面がポップアップ表示されるタイプのフィッシング詐欺が発生したことを受け、警視庁は2012年11月2日、このタイプのフィッシング詐欺に対する注意を呼びかけた。

 同様の被害は他でも多数発生している。2日時点で既に判明しているだけでも、住信SBIネット銀行、みずほ銀行、三井住友銀行、三菱東京UFJ銀行(関連記事)、ゆうちょ銀行、楽天銀行の6行においても、実際にユーザーのパソコン上で偽画面が表示されたり、同偽画面による個人情報の詐取が関係していると見られる不正出金の被害が発生したりしている。

 従来の一般的なフィッシング詐欺に比べて今回のタイプは、アクセス時に察知することが難しい。従来の手法の場合は、メールに張られたURLリンクなどによって異なるドメイン名の偽サイトへと誘導されるので、Webブラウザー上のアドレス欄のドメイン名やSSL証明書の検証結果などを手掛かりに、フィッシング詐欺であることを見破ることができた。

 しかし今回発生しているのは、いずれのケースも、ユーザーがWebブラウザーで直接アクセスしているのは正規のWebサイトそのものであり、その上にかぶせる形でアドレス表示などがない小さな偽画面が表示される形になっている(写真)。

 被害が発生している銀行やクレジットカード会社のシステムが不正アクセスによって改ざんされているわけではないのに、正規Webサイトへのアクセス時に、詐欺サイトのURLリンクを呼び出して別ウインドウがポップアップされることは、通常は起こりえない。このため各社は、被害を受けたユーザーのパソコンがウイルスに感染していることが原因と見て、ウイルス対策の強化を呼びかけている(関連記事)。

 同問題をめぐっては、政府も対策に乗り出している。中塚一宏金融相は2日、午前の閣議後の記者会見で金融機関各社に対して注意喚起を要請し、被害状況の有無などについて報告を求めていることを明らかにした。