ニュース

三菱UFJ銀行をかたるフィッシングSMS、「【三菱UFJ銀行】お知らせ、お客様の銀行口座取引を一時的に規制しています」などの不審なメッセージに注意

偽サイトに誘導し、口座番号やログイン情報を詐取

 三菱UFJ銀行をかたるSMSによるフィッシングの報告を受けているとして、フィッシング対策協議会が情報を公開した。誘導先のフィッシングサイトは10月30日17時時点で稼働中であるため、引き続き注意が必要だ。

 SMSのメッセージは以下のものが確認されており、最後にあるリンク先へのアクセスを促している。なお、これ以外のメッセージが使われている可能性もある。

【三菱UFJ銀行】お知らせ、お客様の銀行口座取引を一時的に規制しています、必ずご確認ください。

SMSのメッセージの例(フィッシング対策協議会の緊急情報より)

 誘導先のフィッシングサイトは、三菱UFJ銀行のインターネットバンキング「三菱UFJダイレクト」のログイン画面を装っており、「店番・口座番号」「契約番号」「ログインパスワード」の入力が求められる。入力してログインの操作をすると、「定期的なお客さま情報の更新に関するご協力のお願い」として「名前(カナ)」「携帯電話番号」「Eメールアドレス」「生年月日(西暦)」の入力画面が表示され、さらに操作を続けると、電話の自動音声で伝えられた設定用番号やワンタイムパスワードの入力を求める画面へと遷移する。

誘導先のフィッシングサイトの画面(フィッシング対策協議会の緊急情報より)

 誘導先のフィッシングサイトのURLは、以下のものが確認されている。これ以外のドメイン名やURLが使われる可能性もあり、注意が必要だ。

https://mufg●●●●.com/

 フィッシング対策協議会は、「フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難」と指摘する。その上で、日頃から、サービスへログインする際はメールやSMSのリンクを利用するのでなく、公式アプリやウェブブラウザーのブックマークからアクセスするよう、注意を促している。

 またAndroidスマートフォンなどでこのようなショートメッセージのリンクを開くと、不正アプリのインストールへ誘導される場合があるとし、インストールした可能性がある場合にはアプリをアンインストールしたり、Google Playプロテクトでチェックするよう呼び掛けている。

 三菱UFJ銀行でも注意喚起を実施。同行から、取引に関する通知などをSMSで送ったり、メールやSMSでインターネットバンキングのログイン画面へ直接誘導し、パスワード・暗証番号などの入力を求めることは一切ないとした上で、正規のサイトのURLは「https://www.bk.mufg.jp/」(三菱UFJ銀行/トップページ)、「https://direct.bk.mufg.jp/」(三菱UFJダイレクト/トップページ)、「https://entry11.bk.mufg.jp/」(三菱UFJダイレクト/ログイン画面)からそれぞれ始まると説明している。