情報処理推進機構(IPA)は12月3日、「12月の呼びかけ」として、ネット銀行を装う新しいフィッシング詐欺の手口と対策方法を公開した。

現在、ウイルスによってインターネットバンキング利用時に不正なポップアップ画面を表示させ、合言葉や乱数表を利用者に入力させて情報を窃取する新たな手口の犯行が発生しており、警察庁や各金融機関が注意を呼び掛けている。

この手口の特徴は、公式のWebサイトにログインしたあとに、情報を盗むための偽の画面が表示されるという点で、公式サイトの利用中に、Webサイトの画面にかぶさるような形で不正なポップアップ画面が表示される。また、インターネットバンキングサイトがSSLに対応している場合でも、ポップアップ画面が出現するという。IPAは今回、この手法で用いられているものと同タイプと思われるプログラムを入手し、動作確認などを行っている。

偽のログイン画面のイメージ

IPAは、一般ユーザーがこの手口から身を守るために、基本的なウイルス対策を行うほか、インターネットバンキング利用時に「乱数表や合言葉などを一度にすべて入力しない」ことが有効だとしている。

乱数表や合言葉などは第二認証情報と呼ばれ、インターネットを通じて送金などの重要な操作を行う際に、本人確認を行うために要求されるのが一般的。利用方法としては、事前に送付された乱数表を参照し数字などを入力するケースや、複数の質問に対する回答(合言葉)をあらかじめ登録しておくケースなどがある。

第二認証情報は通常、情報の一部を入力させる形で用いられる。たとえばあらかじめ登録した「質問」と「合言葉」のすべての入力が求められるような場合は詐欺の可能性があるため、情報を入力する前にサービス提供元に確認すべきだという。