三菱東京 UFJ ダイレクト、顧客 5 名がフィッシング被害に 47
ストーリー by reo
明日は我が身 部門より
明日は我が身 部門より
ある Anonymous Coward 曰く、
三菱東京 UFJ 銀行は、同銀行を装って不特定多数に送信された不審なフィッシングメールに騙されて暗証番号を送信した同行顧客 5 人の預金口座から数百万円が別の口座に振り込まれる被害が発生していると発表した (asahi.com の記事、マイコミジャーナルの記事より) 。
このフィッシングメールは Subject が「三菱東京UFJ銀行より大切なお知らせです」というもので、メールは「セキュリティの向上に伴い、確認番号カードを再発行する」として実行形式の「申し込みソフト」が添付されている。このプログラムは契約情報やパスワードを入力させ、外部に送信する (Security NEXT の記事より) 。同行は 7 日から三菱東京 UFJ ダイレクト契約者へ注意喚起の電子メール配信を開始するとのこと。
騙された人はどうなったのか (スコア:2)
それはそうと、三菱東京UFJダイレクトに入るたびに、
「当行を装った不審な電子メール(件名:三菱東京UFJ銀行より大切なお知らせです)にご注意ください。」
という、お知らせを毎回読ませるのは勘弁してほしい。
何度も読めというなら、文面代えて、物語にするとか読む方の気を引くような技を考えてほしいものだ。
Re: (スコア:0)
毎回は確かにうんざりするかも?
今度は別の件名で出してくるだろうし、件名だけで判断させるのには無理があるんだが
この方法でうまく行った犯人グループ(単独犯かも知れないが)は
次々と手口をかえながら何度もやってくるのは確実だからねぇ
今後は別の銀行ももちろん注意が必要!
俺が使っているみずほ銀行なんて、これやられたらもっと被害が多そうだけど
(使っているユーザのITレベルが低そうって勝手なイメージもあるが)
Re: (スコア:0)
何度も読めというなら、文面代えて、物語にするとか読む方の気を引くような技を考えてほしいものだ。
ナイジェリア詐欺メールとか、アリクイに殺されたスパムメールの製作者が就職先を見つけたようです。
Re: (スコア:0)
えぇっ!別スレであれ程周知が足りない絶対足りない足りないはずだと執拗に言われるくらいなのに、そんなの無くして大丈夫?
周知の努力を怠ったと訴えられるよ。
という事は置いておいても、三菱東京UFJに救済する理由は無いんじゃ?
他人の加害者と他人の被害者の間の話であって、銀行は基本無関係。
強いて言えば名前を騙られた被害者ってだけの関係ですよね。
だからちゃんと電子署名を・・・ (スコア:1, すばらしい洞察)
その注意喚起のメールには当然電子署名がついているし、ユーザーには電子署名の確認方法が周知されているんだよね。そうでないなら「注意喚起」の偽メールが出回って堂々巡り・・・というか、何も信じられなくなるだけかと。
電子署名などを使う気がないなら、もういっそ「弊社から、電子メール、電話、郵便、広告など、何らかの手段を使って連絡することはありません。」ってする以外に、解決の道はないと思う。
Re:だからちゃんと電子署名を・・・ (スコア:5, 参考になる)
東京三菱UFJからのメールは電子署名付きですよ。
今念のため自分に来てるメール確認してみた。
Re:だからちゃんと電子署名を・・・ (スコア:3, 参考になる)
送られてきたけど、ちゃんと電子署名されていましたよ。というかだいぶ前から三菱東京UFJ [bk.mufg.jp]と三井住友 [smbc.co.jp]は、銀行が送信するすべての電子メールに電子署名を付けると明言しています。
どうせITオンチどもは電子署名なんか使うなんて発想すらあるわけがないとか思い込んでドヤ顔して恥かく前に事実関係くらい確認され手はいかがですか。
Re:だからちゃんと電子署名を・・・ (スコア:2)
なんで
>ユーザーには電子署名の確認方法が周知されているんだよね。
の部分はガン無視なんですかね。
批判が片手落ちです。
ま、そんな確認方法まで銀行が周知せねばならんのかどうかは分かりませんが。
UFJのWebにも詳しく説明載せてるので、周知してると言う意見もあるかもしれませんが、ま、それは別の議論ということで。
あと、あなたの書いたUFJのリンク先に、
>当行からお客さまに送信する一部のメールに、電子署名をつけてお送りしますので、お知らせします。
とありますが、ここからどうやって
>銀行が送信するすべての電子メールに電子署名を付けると明言しています。
と読み取れたのか不思議です。
Re: (スコア:0)
だからなんでリンク先を一瞥すらしないでやってないと決め付けるの?
メールには
> ※ご留意事項については当行ホームページの「金融犯罪にご注意ください」に 掲載しておりますのでご確認下さい。
と書かれてるし、当該ページにはOutlook Expressはもちろん秀丸メールまで例にとって署名の確認方法を解説してるんだが。
Re:だからちゃんと電子署名を・・・ (スコア:3, すばらしい洞察)
だからそれで周知してるって言えるかどうかは別の議論だってわざわざ言ってるのに、なんでそこに噛みつくんですか。
俺は「書いてるから周知してるだろ」はサービス提供者の姿勢としてはダメだと思いますよ。
契約するときに「メールで問い合わせるときは電子署名を付けますんで、それ以外のメールは信用しないでください。電子署名の使い方はこちらを参照してください」ぐらいの説明はして欲しいと思います。
けど、それについては反対意見もあるだろうし、そんな議論は平行線になるだけだと思うので、そんな話には参加したくないですけどね。
そうじゃなくて、元コメントに対する批判というか反対意見としては、
「電子署名はしてる」
だけじゃなくて、
「周知もしてる」
と明言すべきだってことを言ってるんです。
自分の提示したリンク先に周知してるページがあるからそれでOKではなく、リンク先に周知されてますと自分で言わないと通りません。
さらに、だいぶ前から電子署名してるのに、電子署名の無いフィッシングメールで被害者が出ちゃってたら、それは周知できてるとは言えないと思います。
でも、それで周知してると言えるかどうかは意見が分かれるだろうし、その周知が銀行の責任かどうかも別の議論ですね。ということです。
ということです。
それと、すべてのメールに電子署名なんて書いてませんって。
Re:だからちゃんと電子署名を・・・ (スコア:1)
不特定多数に送られて5人しか引っかからなかったんだから、周知されてたと見てもいいんじゃないかな?
てか、「周知されてる」の定義をまず明らかにしてもらわないと、議論の埒が開かんよ。
Re:だからちゃんと電子署名を・・・ (スコア:2, すばらしい洞察)
メガバンクの契約数に比しての5人だと、これって
「周知した結果、実害がここまで減らせました」
という功績の発表と言っても良いかも知れない。
被害者が居る以上、そんな事は言わないでしょうが。
Re: (スコア:0)
確かにメガバンクになると利用者の数はうん十万人以上ですからね。
被害が出たということはマイナスですが、5人しかいなかったってことはそれだけ対策が取られていたと言っても良いかもしれませんね。
# 個人的にはPaypalを名乗ったフィッシング [impress.co.jp]のほうが心配。
# なんで公式ドメインが3つもあるのかよっと。
Re: (スコア:0)
それは、一般的にそういうメールを信じるべきでないという意識が醸成されているからなのか、それとも電子署名によるものなのか。
私は前者だと思うんだけど。
私の推測が正しかったとすると、電子署名に関する何らかの判断の根拠にはならないよね。
Re:だからちゃんと電子署名を・・・ (スコア:2)
しかしなぜ推測だけで周知されてないことにしたがってるのかが一番の謎。
Re: (スコア:0)
てことでしょ。言わせんな恥ずかしい。
Re:だからちゃんと電子署名を・・・ (スコア:2)
三菱東京UFJダイレクト [bk.mufg.jp]は、三菱東京UFJ銀行が提供しているサービスの名称 [bk.mufg.jp]ですよ。
三菱UFJファイナンシャルグループに三菱東京UFJダイレクトなんて会社は存在しません [www.mufg.jp]。
Re: (スコア:0)
別に周知というのは電子署名の話だけじゃないからね。
そういうメールを信じるべきでないってのも、銀行が延々とやっている周知の為の努力の一つ。
どっちでも努力の結果とは言えるから良いのでは?
他の可能性があるから根拠にならないというのであれば、何一つ判断の根拠何て無いわけだけどね。
Re:だからちゃんと電子署名を・・・ (スコア:2)
Re: (スコア:0)
ウチで確認したのは対面・書面・Web・メールで、それも複数回。
これ以上だともう、使用者を拉致して確認試験を通らないと家に帰れないとかするしかないと思うんだ。
Re: (スコア:0)
何でも人のせいにするのはどうかと思う。
知らなかった・忘れてたで周知していないと判断するのは無理がある。
Re: (スコア:0)
いつからか、ネットバンキングは、素人でも扱えると勘違いしてる人が増えたんだろう。
ネットバンクを利用するには、一定以上のスキルが必要で、リスクがある取引方法に代わりはない。
ということを再認識すべき。
たぶん、ひっかかった人は、電子署名どころか。
sslやソフトキーボード、乱数表の言葉の意味すら、十分理解してないと思う。
正直、ネットバンクの取引する場合、
一定以上の知識があることを確認する小テストのようなことをして、
敷居をあげてもかまわないと思う。
Re: (スコア:0)
メーラーやWebmailにも言ってあげて。
メールに電子署名があることの意味を
一般人が容易に把握できるUIにならないと無意味じゃないかな。
メーラーによっては電子署名自体が添付ファイル扱いなんだし、
電子署名なのか、
わけのわからん添付ファイルなのか、
一般人には区別つかないのが現状。
電子署名の有無での信頼性は、
今のところ送り手の免罪符でしかないよ
# 責任としての免罪符効果はある
# 一般人の心理面への免罪符効果はない
# 電子署名をちゃんと確認するユーザーは添付ファイルを疑いなく実行するようなマヌケじゃない
Re:だからちゃんと電子署名を・・・ (スコア:5, 参考になる)
クリックするとメーラーが正しい証明書であると確認してから
本文が表示されます。
Re: (スコア:0)
こういう「確認しないと読めない」仕様になっているのは、
ある意味正しいやり方かもしれないですね。
Re: (スコア:0)
その辺り当人の気分に拠るからな。
気に入らない会社なんかだと、
「それにより確認しないでボタンを押す人間を増やし反って危険にしている」
とか言われるんだ。
ま、なんと言われようが確認必須は良いとは思いますが。
Re: (スコア:0)
それは最近やっと電子署名を付けるようになったみずほへの当てつけですか?
いや、キャンペーンのメールとかほんとにスパムと区別が付かなかったし。
Re: (スコア:0)
内容は読んでも、リンクはクリックしない。
送信者のアドレスが (スコア:1)
乱数表 (スコア:1)
旧三和銀行(旧UFJ銀行の前身)時代にネットバンキング契約しています。いまでも振込みには当時送られてきた10×10の乱数表が必要(実際に入力するのはランダムな位置の数桁)なんですが、今回の申し込みソフトは数値100個入力させる仕様だったのでしょうか?
それとも、旧三菱東京からの契約者はパスワードシステムが違うのでしょうか?
残念(?)ながらフィッシングメールは来ませんでした。
本物(署名つき)の注意喚起メールは2通来たけど…
Re: (スコア:0)
自分は旧MTFG系のはずだけど、5x5=25個の2桁数字。
今のMUFGの本物ケータイアプリはこの2桁数字 25個を事前登録させられたよ。
(おかげでこの乱数表を持ち歩かなくて済む。)
# 同じく、フィッシングは来なかったので、頻繁に来た注意喚起メールにウンザリ。
Re:乱数表 (スコア:1)
やっぱり契約したときのシステムによって違うんですね。参考になります。
旧MTFG系でも最低でも50個の数値の入力が必要と。
正規で全数入力させるアプリが存在するということは、フィッシングアプリで入力を求められても疑問を持たない可能性がありますね。exeファイルを実行したり、ログインのパスワードを入力しちゃった時点で迂闊なんですが、乱数表全数入力させるのは障壁だと思っていました。
しかし、乱数表持ち歩かなくていいのは便利ですね。スマホ版出してくれないかなぁ…
Re: (スコア:0)
スマホはケータイより格段にハックしやすいから、乱数表のアプリでの保持は無理じゃないかな?
実は、PCでの取引のために、写真に撮ってケータイに入れてます。(爆
さらに紛失対策で免許証とか、保険証とか、クレジットカードとか、あらゆるカードの写しが携帯の中に…
クレジットカードの裏面(セキュリティコードと署名)はさすがに撮らない。
# ロックしてれば、まぁ問題ない…んだけど、してない。
# だから絶対AC!
## ところで、システム更新以降なぜか/.jpにログイン状態にできない。
Re: (スコア:0)
ケータイみたいな落っことしやすいものにそういう情報入れるのって大丈夫なのかね。
Re: (スコア:0)
財布用の口座には、盗られたって構わない程度の金額しか入れないようにすればいい。
それ以上の額はインターネットバンキングのない別の口座に入れて
キャッシュカードも作らないでおいておけばひどい目に会うことは少ないと思う。
スパム大好き (スコア:0)
脊髄反射はacで・・・
Re:スパム大好き (スコア:2)
流石、フィッシング、芸が細かい
Re: (スコア:0)
「【三菱東京UFJ銀行】当行を装った不審なメールにご注意ください」ですね
オフトピ (スコア:0)
マイコミジャーナルのリンク先がおかしいですね。
Re: (スコア:0)
Hiroki (REO) Kashiwazaki
不特定多数 (スコア:0)
送られた先は、本当に「不特定多数」なんでしょうかねぇ。
「口座持ってないのに、メールが来たよ」って話が無いので。
・三菱東京UFJに口座を持っていて
・ネットバンキングを使うように設定をしていて
・こんなのに騙されるようなレベルの人で
ってのを5人当てるには、相当送らないといけないような。
Re:不特定多数 (スコア:1)
三菱東京UFJに口座を持ってないけど、メールは来たよ。
Re:不特定多数 (スコア:3, 参考になる)
うちの場合、三菱東京UFJに登録したメールアドレスには正規の注意メールがきて、
登録していないメールアドレスにフィシングメールがきた。
Re: (スコア:0)
大きな銀行なら、数打ちゃ当たるんじゃないの?
新銀行東京の名を語ってメール送っても反応は鈍いと思う。
やっと………かなぁ (スコア:0)
不謹慎かもしれませんが、この手のフィッシングメールはきっちりした日本語でアナウンスすれば引っかかる人がそれなりに出たと思ってます。
今年Androidの台頭でモバイルセキュリティ市場が花開いたように、この手のフィッシングも痛い事例が出ないと、認知されないでしょう。
もう、何年も前から「来年こそモバイルセキュリティが重要になる」って言われてたんですよ。
まあ、今でもまっとうな統合セキュリティソフトなら、メールのフィルタリングやwebブラウザリンクのレピュテーション判定とか、色々やっていると思うので、わりと安全でしょう。