三菱東京UFJ銀行をかたる偽メールが出回っている。同行は年明けから、フィッシングサイト(攻撃者が作成した偽のWebサイト)で個人情報を入力しないよう、Webページで注意を呼びかけている。
このフィッシングサイトは、同行のオリジナルサイトと比べて、見た目の違いがほとんどない(写真1、写真2)。明確に異なるのはURLだけだ。オリジナルのURLは、「https://entry11.bk.mufg.jp/」で始まるのに対して、フィッシングサイトのURLは「http://bk.mufg.jp.kss.cn.com/」で始まる。
写真1、2●左が東京三菱UFJ銀行のオンラインバンキングのログイン画面。右がそのフィッシングサイト。
違いは、「【重要】ログイン時の注意点についてはこちら」という文字があるかないかだけだが、フィッシングサイトにもこの文字が加わる可能性があり、区別する決定的な材料にならない。
[画像のクリックで拡大表示]
フィッシングサイトに誘導する偽メールに載ったURLの違いで、オリジナルサイトか否かに気付くことがある。しかし今回の偽メールは、オリジナルサイトのURLを表示し、ユーザーにはフィッシングサイトのURLが見えないように工夫されている(写真3)。ただ文面をよく読むと、日本語がおかしい部分がある。例えば「貴様のアカウントの利用中止を避ける」といった失礼な表現も含まれているので、勘のよい人はすぐ気付くだろう。
写真3●筆者の元に届いたフィッシングサイトに誘導する偽メール。
[画像のクリックで拡大表示]
同行は、メールでパスワードや取引に使う乱数の入力を依頼することはないとしており、このようなメールは無視するのが無難。なお、フィッシングサイトは1月21日11時現在も、アクセスが可能だ。
