銀行振込時の第2暗証番号カードの再発行通知が来た

　ある日、取引している銀行から、大切なお知らせが届きます。メールには、昨今のフィッシング詐欺事件の多発を鑑みて、セキュリティを向上させる取り組みを行うようなことが書かれています。早速URLを開いてみると、契約者番号や暗証番号などを求められます。さらには、第2暗証番号カードの番号を全て入力するフォームもあります。もし、この手続きが遅れると、支障が出るようなことが書いてあります。

　もちろん、ネット詐欺です。フィッシング詐欺の代表例で、あらゆるユーザーに送られます。その銀行の口座を持っていないなら、無視する人も多いのですが、普段使いしているとちょっと気になってしまいます。

　早く手続きをすること、とか、手続きしないとオンラインでの振り込みができなくなる、と脅してきます。新たな暗証番号カードはすぐに郵送すると書いていることもあります。送信元のメールアドレスや記載されているURLを見れば本物でないことは分かるでしょう。そもそも、銀行が第2暗証番号カードの番号を全て教えてくれ、なんて言ってくるわけがありません。銀行はログインしただけでは資金の移動が難しいのですが、第2暗証番号全てを教えてしまうと、どこでも振り込んでしまうことが可能になります。対処法は無視するだけでOKです。

メールに記載されているURLを開くと、暗証番号などを盗むためのフォームが表示されます（画像はIPAの「情報セキュリティ読本 教育用プレゼン資料」より）

　ワンランク上の攻撃もあります。本連載でも繰り返し伝えている通り、メールのURLをクリックするのではなく、自分で銀行を検索して、トップページからログインすると詐欺に遭う可能性を減らせます。しかし、この正規のウェブページを開いたときに、契約者番号や暗証番号を入力するポップアップが開くケースも報告されています。これは、引っかかってしまう人も多いのではないでしょうか。

　これらは、8～9年前に流行ったフィッシング詐欺です。ロシアのサイバー犯罪者が「SPYEYE」と呼ばれるマルウェア（悪意のあるプログラム）をばらまき、主にネットバンキングのユーザーから情報を収集し、荒稼ぎしたのです。現在はこのマルウェアの制作者は逮捕されています。

　このマルウェアは銀行ごとにカスタマイズされ、正規のウェブページをばれないように改ざんしていました。日本の銀行向けにカスタマイズされたバージョンも存在したそうです。

マルウェアに感染した状態でオンラインバンクにアクセスすると、その情報を盗まれてしまう可能性があるのです（画像はトレンドマイクロ セキュリティブログより）

　こちらは、まず防御が重要です。セキュリティ機能をきちんと有効にしていればほぼ問題ありません。市販のセキュリティソフトはもちろん、OS標準のセキュリティ機能でも防御できます。また、メールファイルに添付された怪しいファイルを開かないとか、ネットから出所不明のアプリをダウンロードしないといった心がけも重要です。

　ネット詐欺の中でも、オンラインバンキングに関する詐欺は1件当たりの被害金額が大きくなります。その分、銀行側も万全のセキュリティを構築しているのですが、ユーザー側も自己防衛をする意識は忘れないようにしてください。

NPO法人DLIS（デジタルリテラシー向上機構）

高齢者のデジタルリテラシー向上を支援するNPO法人です。媒体への寄稿をはじめ高齢者向けの施設や団体への情報提供、講演などを行っています。もし活動に興味を持っていただけたり、協力していただけそうな方は、「dlisjapan@gmail.com」までご連絡いただければ、最新情報をお送りするようにします。