UFJ銀行のインターネットバンキング「UFJダイレクトインターネットバンキング」からのメールを装った日本語フィッシングメールが現在出回っている。3つの偽装サイトが用意されており、記事執筆時点(15日12時30分)の段階では、一部のサイトでアクセス可能な状態にあった。UFJ銀行でもすでに把握しており、Webサイトに注意文書を掲載、注意を促している。

編集部に届いたフィッシングメール。送り先のIPアドレスはカナダのようだが、これはたまたま手元に届いたものがカナダのアドレスだっただけで、別のIPアドレスから送信されたものも出回っているようだ

出回っているフィッシングメールは、件名が「UFJ」、送り先が「Verify(admin@ufjbank.co.jp)」というHTMLメールで、内容は「UFJ銀行のセキュリティーの向上に伴いまして、オンライン上でのご本人確認が必要」だとして、個人情報を入力する手続きを促す、というもの。

メールの本文にはUFJダイレクトインターネットバンキングのリンク先が表示されているが、実際のリンク先は、ウルグアイ、ポーランド、韓国のサーバ上にあるWebサイトを参照するように設定されていた。このうち、記事執筆時でポーランドのサイトが生きていた。

サイトの見た目は本物とほぼ同等で、ロゴ画像などは実際にUFJ銀行のサイトのURLを指定して表示するようにしていた。ログインボタンを押すと、契約カード番号とログインパスワードを入力しなくても次の画面に移り、氏名、契約カード番号、ログインパスワード、クレジットカード番号、クレジットカードの暗証番号を聞いてくる。

左がフィッシングサイト、右が本物のサイト。本物の方には現時点で注意文が掲載されているが、それ以外は酷似している。ただし、URLの「https」とステータスバーの鍵アイコンに注意

サイト自体はそっくりだが、特にブラウザのアドレスバーやステータスバーを隠す、といった偽装工作は行われておらず、アクセスしたURLを見ると、フィッシングサイトはIPアドレスが直接表示されており、偽装を見破りやすい。

フィッシングサイトの「ログイン」ボタンを押したあとのページ。重要情報の入力を促す

UFJ銀行ではクレジットカードの番号や暗証番号をメール経由で入力させるようなことはない、としており、インターネットバンキング利用時にはURLを手入力した上で、SSL通信を行っていることを示すアドレスバーの「https」、ステータスバーの鍵アイコンをチェックするよう注意を促している。

日本語のフィッシングメールは、すでにイーバンク銀行、VISA ジャパンといった金融機関を装ったものが出回っており、実際の被害も確認されている。メールからサイトにアクセスし、重要情報を入力する場合は、それが本当に正しいサイトなのかどうか、きちんと確認してから利用するようにしたい。