先日、「三菱東京UFJ銀行を騙ったスパムメールが進化している件」というエントリーで、巧妙化するフィッシングサイト誘導メールについて取り上げましたが、毎日のように送られてくるスパムに業を煮やしたご本尊から注意喚起メールが発信されています。
内容は以下の通り。
--------------------------(ここからメール開始)-------------------------------
お客さまの情報を盗み取ろうとする不審な電子メールが多数発信されています。当行が電子メールでインターネットバンキングのパスワード等の入力を依頼することはありませんので絶対に入力しないでください。
くわしくはこちら↓
http://www.bk.mufg.jp/info/phishing/20131118.html
--------------------------(以下メール本文が続く)-------------------------------
このメール本文だけが最初に目に入ってしまうと、思わず「このメールもスパムなんじゃないの?こんなリンクはクリックしないよ!」と考えてしまう人がいるのではないでしょうか。
もちろんリンク先はちゃんと三菱東京UFJ銀行の公式サイトでして、インターネットバンキングのパスワードをだまし取る不審な電子メールについて注意喚起を促すページを見ることができます。
このページを見る限りでは、三菱東京UFJ銀行は2013年11月18日のフィッシングメールから情報公開を始めており、12月24日と翌14年1月6日に新たなフィッシングメール文面を追加公開していました。
それにしても改めて感じるのは、本家から送られてきたメールに書かれたURLを不審に感じてしまうほど、昨年末から続く三菱東京UFJ銀行のフィッシングメールは文体が巧妙化してきているのだな、という点です。
PCでメール受信をしている場合は送り元の実メールアドレスをプロパティ情報から手軽に確認できますし、メール自体についている電子署名から判断することも難しくないと思いますが、画面面積が小さいスマートフォンで見ていたら、それだけで判別が難しくなるでしょう。
現在の邦銀のインターネットバンキングはPCブラウザからアクセスするのが一般的ですが、米国の銀行はiPhoneやAndroid向けスマホアプリからインターネットバンキングができるようになっているところが増えており、利用者もITリテラシがそれほど高くない人たちの割合が多くなってきました。この傾向は今後数年で日本の銀行も経験することでしょう。
もし仮に、ITリテラシに詳しくない人がスマホで偽メールのURLをクリックし、ブラウザ経由でスマホアプリそっくりのフィッシング用ページが開いてしまったら、それを嘘と気付かずにカード情報を盗まれてしまうという事案が増えるのではないか、と懸念します。
そうした場面に備え、今後のモバイル金融系サービスは、iTunesのように、利用可能なデバイス情報をあらかじめ金融機関に登録&その端末でのみ、パスコードなどの入力を伴って入出金処理を許可する、といった仕組みをデファクトスタンダードにした方がよいのかもしれません。
もちろん以下のような技術があることは知っていますが、こうしたことを知らずに利用する人たちがたくさんおり、だからこそフィッシング被害が無くならないのですよね。
(スルガ銀行、フィッシング詐欺対策として携帯電話対応EV SSL証明書を採用)
http://www.atmarkit.co.jp/im/news/200711/08/verisign.html
ちなみに国家的なフィッシング詐欺啓蒙については、総務省が「国民のための情報セキュリティサイト」というサービスを提供しています。難しい内容をとても分かりやすく解説しており、IT企業に勤める人にも勉強になるレベルです。
インターネットバンキングの利用を申し込むユーザーに、店頭でこのサイトを使った対面説明を義務付けるという方法もあるとは思いますが、そもそもフィッシングに引っかかってしまう人というのは、こうした話に興味がないため、受けた説明もすぐ忘れてしまうのかもしれませんね。
posted by 吉澤準特 at 22:09
|
Comment(0)
|
TrackBack(0)
|
業界裏話