うろぐ

インターネットサービス&デジタル家電&デジタルカメラ&パソコンのレビュー

先ほど、私的に使っていないメールアドレスに、三菱東京UFJ銀行を騙る詐欺メールが届いていることに気がつきました。典型的なフィッシング詐欺メールです。

わたしの様にネット関係の仕事をしている人なら、一目見て詐欺メールと分かるのですが、ただ、ドメインは正式の「mufg.jp」となっていて、発送者名も三菱東京UFJ銀行となっていますから、ノートンやマカフィーなどセキュリティソフトをPCにインストールしている一般ユーザーで、かつ、ネットセキュリティはアプリ任せで、アプリをすり抜けたメールは無条件で信頼してしまうユーザーも居ると思います。

そうしたユーザーが1/10000位の確立で存在したとしても、成年の日本人全員に送信すれば8000万*(1/10000)=8000人の確率で、情報が得られるのです。

三菱東京UFJ銀行を騙るフィッシング詐欺メール

三菱東京UFJ銀行の窓口とのやり取り

一目見て詐欺メールと分かったので、三菱東京UFJ銀行(以下銀行)の問い合せ窓口に電話を掛けました。
蛇足ですが、さすがに楽天グループの様に050を使った有料と言う様なみみっちさはなくてフリーダイヤルでした。

応対に出たのは若い女性でしたが、電話委託業者の社員なのか行員なのかは分かりません。ただ、かなり突っ込んだ質問をすると、少し待つと回答をしたので、近くに知識を持った経験豊富な行員がいたことは間違いないです。
時々、聞き取れるほどでは無いですが、男性の声が聞こえました。

銀行側のお客への詐欺メールに対する啓蒙対策は?
電子証明の有無を確認すること。
これだけでは意味をなさないので、女性が可哀想と思ったのですが相当に厳しく突っ込んだ質問を何度も繰り返してようやく得た回答は
メルアドや配信先名やメールのタイトルなどの横(メーラーによって左右は異なる)に赤いリボンアイコンが表示されるそうです。
そして、この電子証明は旧・日本ベリサイン(現在はシマンテック)が発行したもの
であることが分かりました。
日本ベリサインがシマンテックに変わったことは、女性はもちろん、横にいたベテラン男性も知らなかったようです。このあたりがネットセキュリティの変化の早さとそれについて行くことの大変さです)

そのほかにも、こうしたフィッシング詐欺メールを受信したり見かけた場合の公的機関の連絡先や銀行側が今回の詐欺メールに対する啓蒙活動なども質問したのですが、さすがにお客様相談窓口では分からない、と言うことでした。
正確に言うと「そういう部署は無く、公的機関もありません」と言う回答だったのですが、この辺は窓口の担当者が要求されるスキルを上回る質問だったと思い気の毒でした)

これが、配信されてきたメールのキャプチャー画像です。
一見して銀行のメールで無いと分かるのですが、ヘッダー部分は銀行らしく見えます。
現時点では見ただけで詐欺メールと分かりますが、もし、メールのデザインも銀行のデザインをそっくりまねる様に進化したらどうでしょう。100%ちかい確率で引っかかってしまうのでは無いでしょうか??

*

はてなで質問をしてみました

こうしたネット関係の質疑応答は人力検索はてなが一番です。
質問をしたところ、すぐに回答がありました。
この詐欺メールに関するはてなのURLは三菱東京UFJ銀行(以下本家)を騙る詐欺メールが届いたのですが… – 人力検索はてなです。
質問者のymizunumaがわたしです。
蛇足ですが、数年前に購入したはてなポイントが1000円分以上残っていたはずが無くなっていました。こうした電子マネーともやや違うが間違いなく金銭との等価交換で得たポイントを失効させ「はてな」の収入にするというのは、どの様な法律に則っているのか興味のあるところです。時間が空いたら調べたいですね)

対応策を紹介するページのURL

はてなで得られた回答を切り口に、あちこちの三菱東京UFJ銀行の詐欺メールに関するページを探し出しました。
以下、そのリンクです。

フィッシング対策協議会
三菱東京UFJ銀行をかたるフィッシング (2015/01/23)

三菱東京UFJ銀行
【インターネットバンキング】パスワードを入力させる偽メールが届いても、絶対に入力しないでください!(平成27年1月27日更新)

ネット上の詐欺行為対策の啓蒙に関するページ

偽装メールを見破れ!(前編)

東京三菱UFJ銀行の偽装サイトにアクセスしてみた

2月 7th, 2015

Posted In: security/セキュリティ