――フィッシング詐欺もよく聞く攻撃ですね。最近のフィッシングメールは昔と比べ、日本語が流暢に使われている印象があります。

フィッシング詐欺は、本物そっくりの偽画面にユーザーが騙され、情報を入力してしまうケースですね。本物のコンテンツをそっくりそのまま、完全にコピーしているので、まず見分けがつきません。フィッシングサイトへは、フィッシングメールに表示されているURLをクリックして誘導されるケースが多いです。最近はメールの文面や内容も巧妙になってきました。

両方とも、基本的には昔からある手法です。昔なら、危険なサイトを見ているとウイルスに感染する、といったイメージがあったと思うのですが、いまは正規のサイトを見ている場合でも被害に遭うケースが多くなってきています。

三菱東京UFJ銀行をかたるフィッシングサイトのメール文面例(画像ːフィッシング対策協議会)。記載されているURLをクリックすると、三菱東京UFJ銀行の公式サイトを完全にコピーした、フィッシングサイトに誘導される

――ウイルス感染もフィッシング詐欺も、確かに昔からよく聞く攻撃ですね。最近ではどんな手口があるのでしょうか。

フィッシング詐欺は手口が進化してきていて、従来は正規メールを装って偽サイトのURLをクリックさせる方法が主だったのですが、最近はスマートフォンのSMS(テキストメッセージ)を使ってフィッシングサイトに誘導する事例がみられます。「あなたのアカウントが失効しました、更新をお願いします」という内容ですね。

偽のメッセージに載っているURLにモバイル端末からアクセスすると、ネットバンキングのモバイル向けフィッシングサイトにつながります。そこでIDやパスワード情報、口座番号や乱数表(0から9までの数字をランダムに並べた表。銀行では、数字とカタカナを組み合わせ、契約カード裏面に記載されている番号と照らしあわせた認証方法が主流)まで入力してしまうと、ウイルスが自動で送金手続きを進め、不正送金につながってしまいます。

SMSで送られた偽メッセージの例。記載のURLをクリックすると、モバイル向けフィッシングサイトへ誘導される

――SMSが送られるということは、電話番号が流出しているのですか?

電話番号は流出している場合もありますが、多くは決め打ちで、ランダムで送っているものです。SMSのメッセージ自体は、米国など海外の電話番号から送られるケースを確認しています。メッセージは日本語です。

――銀行を装ったメッセージであれば、「こういうものだ」と思い込んで、気づかずアクセスしてしまう場合がありそうですね。

そうですね。しかし、最近はもっと巧妙な攻撃が出てきました。まずは、銀行が提供しているワンタイムパスワードなどを回避する攻撃です。

ウイルスに感染したPCでネットバンキングにアクセスし、ログインした瞬間、ウイルスが勝手に送金作業を始めます。ユーザーのPCでは、本人認証のためのワンタイムパスワード画面の表示待ちなんですが、正しい画面が表示される前に、裏側で送金指示を進めるんです。

その後、正規のワンタイムパスワードの入力画面が出た時、ユーザーにそのままパスワードを入力させるんですね。1分や30秒など、ごく短時間しか利用できないワンタイムパスワードは、スマートフォンのメールやトークン(ワンタイムパスワード生成器)などで、ユーザーにしかわからない状態で送付されます。しかし、これをユーザー自身に入力させることで、容易に回避できる。ユーザーが情報を入力した瞬間に、送金が完了します。

ワンタイムパスワードは1分や30秒などで数字が変わってしまうため、攻撃者が入手しても、すでに使えなくなっていることが多い。なので、安全なセキュリティだと言われてきました。しかしこの攻撃では、ワンタイムパスワードを突破して不正送金が行われてしまうわけです。ウイルスはユーザーに見えない部分で動くので、ユーザーは本当に攻撃に気づきません。

ウイルスがログイン直後に不正な画面を表示する例(左)とフィッシングサイトの例(右)。警察庁の発表にある通り、個人を狙った不正送金の被害は大きく、特定の銀行に限らずネットバンキング全体が広く狙われているため、多くの銀行でウイルスやフィッシング詐欺に関する注意喚起を行っている