（旧）UFJ銀行フィッシング詐欺事件

2005年7月、（旧）UFJ銀行を装ったフィッシング詐欺事件が発生。

無差別に以下の文面の電子メールを送り付け、偽装したホームページに誘導し契約番号とパスワードを入力させ騙し取る手口のフィッシング詐欺です。手法としては極めて古典的で稚拙なものですが、オンラインバンクを利用する契約者の100人に3人が被害に遭ったと言われています。

※リンク先のサイトは既に閉鎖されています。

メールに書かれたリンク先のURLをクリックすると、右の偽装サイトに誘導されました。一見、本物の様に見えますが、よく見ると所々おかしな点があります。 アドレス欄 アドレス欄に表示されているURLにIP-Addressと思われる数字が記載されています。最初に受け取ったメールのリンクには、この数字は有りません。 これはメール自体がHTMLで記述され、実際に設定されたURLが一目で判らないように、隠蔽工作されたメールだからです。 IP-Addressだけでホームページにアクセスすると、ブラウザのアドレス欄にIP-Addressが表示されますが、メール内のリンクをクリックして、こうした表示がされる大企業のサイトはまず存在しません。

※画像をクリックすると拡大表示されます。

アドレス欄に「UFJbank.co.jp」の文字が有りますが、ホスト名（www.ufjbank.co.jp）が先頭に表示されない点も不自然です。

SSL通信

一般的に、インターネットを利用した電子商取引には、通信内容の暗号化やデジタル証明を利用するためにSSL（Secure Socket Layer）通信が用いられます。特に、重要なIDやパスワードを入力する場合は、SSLが必須とも言えます。

サーバーとSSL通信が行われている間は、下の画面の様にアドレス欄に「http://」 ではなく 「https://～」と表示され、画面右下のステータス行に 「錠前」 アイコンが表示されます。この「錠前」アイコンをクリックすると、デジタル証明書が表示され、証明書の内容を確認することでこのサイトが本物で有るか否かの確認できる仕組みになっています。

ブラウザによってはSSL通信中で有ることが使用者に一目で判るように、アドレス欄の背景色が変化します。

SSL通信中の画面（IE6）

今回のケースでは、SSL通信が行われておらず、重要情報をインターネット上でやり取りするのに必要なデジタル証明書も発行されていません。「https://」と「錠前」アイコンだけで、フィッシングサイトか否かの判断を行うのも若干問題がありますが、デジタル証明書の確認だけは行うように心懸けましょう。

IPアドレス の確認

アドレス欄に表示されたIP-AddressをGTWhoisを使って割り当ての検証をしてみます。
（2005年当時の割り当ては下の画面と異なっていた可能性が有ります。）

ここに表示された情報を見ると、国の情報（country:）に「PE」と表示されています。これは、南米の「ペルー」の国別コードです。アドレス欄に表示されたIP-Address：200.60.235.177は、ペルーの事業者に割り当てられたIP-Addressであることが判ります。

アドレス欄の情報を読み解くと「UFJ銀行が南米のペルーにある事業者のサーバーを使って顧客の情報を入力させる」となります。これは、常識的に考えてあまりにも不自然です。

冷静に一つずつ検証していけば、明らかにフィッシング詐欺の偽装サイトと見抜けますが、多くの人が騙されたのは、同様の事件が2005年3月にも発生していたにも関わらず、フィッシング詐欺に対する警告や注意喚起が徹底されていなかった事と、不謹慎ですが偽装サイトの出来栄えが良かった点に有ると思われます。