UFJ銀行・みずほ銀行を騙る詐欺メール

フィッシングメールに記載されたURLを

既に大きくニュースで取り沙汰されているが、UFJ銀行みずほ銀行を装ったフィッシング詐欺メールがSPAMメールが氾濫している。
UFJ銀行プレスリリースにもよるように「不特定多数のお客さまあてにセキュリティーのためと称して本人確認を促す電子メールが配信され、偽装されたホームページからお客さまの重要情報を不正に詐取しようとする」ものである。
メールの内容は以下のような文面になっている。


UFJ銀行ご利用のお客様へ
UFJ銀行のご利用ありがとうございます。
このお知らせは、UFJ銀行をご利用のお客様に発送しております。
この度、UFJ銀行のセキュリティーの向上に伴いまして、
オンライン上でのご本人確認が必要となります。
この手続きを怠ると今後のオンライン上での操作に支障をきたす恐れがありますので、一刻も素早いお手続きをお願いします。
https://www.ufjbank.co.jp/ib/login/index.html
また、今回のアップデートには多数のお客様からのアクセスが予想されサーバーに負荷がかかるため、下記のミラーサイトを用意しております。上記のリンクが一時期不可能になっている場合は、
下記をご利用ください。
"https://www.ufjbank.co.jp/ib/login/index2.html"
"https://www.ufjbank.co.jp/ib/login/index3.html"
お客様のご協力とご理解をお願いいたします。
UFJ銀行
リンク先として記されているURLはUFJ銀行そのものなのだが、HTMLメールの表示を有効にしていると、上記のURLをクリックすると実際には以下のIPアドレスのHPに誘導されてしまうというものだ。
  • 200.81.64.137
  • 80.55.101.22
  • 61.38.30.55
実際にアクセスした先のページを見るとUFJ銀行のHPと違和感なく思ってしまう方もいるだろう。これらのHPは、パラグアイポーランド、韓国のサイトにつながるようになっている。

この事件に関わらずに電子商取引や個人情報に関わる項目を扱うときはSSLを利用しているところを選ぶのが望ましい。

SSLとはサーバ⇔クライアントPC間でクレジットカード情報などの機密性の高い情報を安全にやり取りできるようにするために、米Netscape社が開発したセキュリティ機能付きのHTTPプロトコルである。

SSLを利用することで、ネットワーク上で通信し合うクライアントPCとサーバの間で暗号化したデータをやり取りできるようになり、データの「盗聴」や「なりすまし」、「改ざん」、「否認」などさまざまなセキュリティ障害を防止する。

OSIのネットワーク階層モデルで表すと、TCP層とアプリケーション層の間に位置し、上位のアプリケーション層から、暗号化などのセキュリティ対策を施した通信が行えるようになり、SSLは、互いの認証ではRSA方式などの公開鍵暗号技術を用いた電子証明書を使用し、データの暗号化ではDESやRC4などの共有鍵(秘密鍵)暗号技術を使用する。

ここでいう電子証明書とは、認証局(CA)が発行する、電子署名解析用の公開鍵が真正であることを証明するデータのことを指す。電子署名単独では公開鍵が本人のものであるか確認できないが、電子証明書電子署名に付属させることにより、データが改ざんされていないこととともに、データの作成者を認証局を通して証明することができる。

電子証明書は誰でも作成することができる。しかし、電子証明書の信頼性は認証局の信頼性に依存するために、作成したそのものの電子証明書では信頼性が低い。そのため、特に本人確認が重要となる用途では、信頼のある認証局電子証明書を発行を依頼し、データの出所を確実にするのが一般的である。

下記のような警告メッセージが表示されたページは信用しないことを肝に銘じておこう。難しいことはない。この場合は『信用のできるものではない』のだから「いいえ」を選択してそれ以上先のページに進まないようにすればよい。

「このサイトと取り交わす情報は、ほかの人から読み取られたり変更されたりすることはありません。しかしこのサイトのセキュリティ証明には問題があります。セキュリティ証明書は信頼する会社から発行されていません。証明書を表示して、この証明機関を信頼するかどうか決めてください。」

このメッセージを読む限り、一般の人には理解できないものであろう。判りやすく言えば、「一応、このページは他の人にこっそり読まれたり弄られたりすることはないように、このHPの持ち主が暗号化はかけてはいるんだけど、その本人を証明するものが何もないんですよ。だから、その証明書をあなたが直接見て信頼できるんなら続きをどうぞ」と言っている。しかし、一般人にはその証明書の真偽を見抜くことはできるあろうはずがない。

UFJ銀行リリースではこの電子証明の発行先の証明書を表示させる方法を紹介している。

今回のケースでは偽証サイトがSSLに対応していないためにUFJ銀行はこのような対処方法をとったのであろうが、仮にこれらのサイトがSSLに対応していた場合はどうするのか?
UFJ銀行の証明書を偽造できるのではないかと思われる方もいるだろう。しかし、電子証明を発行機関に真に信頼できるものとして発行を依頼する場合は、以下のものが必要となる。

  • 登記簿謄本(帝国データバンクコードを持たない、帝国データバンクのデータベースで団体情報を参照・確認できない法人の場合)
  • 申請団体に所属する管理職相当(課長職以上)を 「申請責任者」として登録する必要がある。「申請責任者」として登録した場合は、認証の一環として本人へ確認の電話をし、申請意思の確認を行う。

ここまでの登録をもって、真の情報として技術的にも証明されるのだ。すなわち、これらの登録をしなかった証明書は『信用のできない』証明書としてブラウザに警告が表示される。

SSLで暗号化されたページであろうとも、『信用できない』ものには近づくべからず、と言いう心構えをもとう。

私がいつも参考させていただいている高木浩光氏の日記も参考になるので是非とも読んでいただきたい。