フィッシング詐欺対策の業界団体であるフィッシング対策協議会は2012年11月22日、みずほ銀行をかたるフィッシング詐欺が確認されたとして注意を呼びかけた。偽のメールで偽サイトに誘導し、暗証番号などを盗もうとする。
フィッシング詐欺とは、有名な企業や組織をかたった偽メールや偽サイトでユーザーをだまし、個人情報などを盗むネット詐欺のこと。典型的な手口では、偽サイトのURLを記載した偽メールを不特定多数に送信。実在するWebサイトのログインページなどに見せかけた偽サイトに誘導して、暗証番号などを入力させる。
今回確認されたのは、みずほ銀行をかたるフィッシング詐欺。同行をかたる偽メールには、ネットバンキングサービスのサーバーをバージョンアップするので、ユーザー情報の更新をしてほしいといった内容が書かれている(図1)。
メールの内容は、11月12日に報告された、三井住友銀行をかたるフィッシングメールの内容と全く同じ。銀行名およびネットバンキングサービス名だけが異なる。
メールには、偽サイトのURLも記載されている。偽サイトのURLにアクセスすると偽のログインページが表示され、お客さま番号や第1暗証番号、第2暗証番号、ログインパスワード、合い言葉などを一度に入力させようとする(図2)。
みずほ銀行をかたる偽サイトは、11月22日14時時点では稼働中。フィッシング対策協議会では、セキュリティ組織JPCERTコーディネーションセンター(JPCERT/CC)に対して、偽サイト閉鎖のための調査を依頼中だという。
フィッシング対策協議会では、今回のようなフィッシング詐欺にだまされないよう注意喚起するとともに、類似の手口が今後も出現する可能性があると警告している。
また、みずほ銀行では、以下の点を強調し、だまされないよう注意を呼びかけている。(1)同社オンラインバンキングサービスの「みずほダイレクト」には、第2暗証番号(6桁)をほかの情報(ログインパスワードや合い言葉など)と同時に入力させる画面はない、(2)ログインパスワードや暗証番号をメールで尋ねることはない、(3)一度登録した合い言葉に対する「質問」を、再度尋ねることはない。
