楽天証券、追加認証を突破する「リアルタイムフィッシング詐欺」に注意喚起

　楽天証券株式会社は10月10日、「リアルタイムフィッシング詐欺にご注意ください」との注意喚起を行い、手口と注意点を解説した。

　リアルタイムフィッシング詐欺とは、ユーザーの多段階認証・追加認証を突破することを目的として仕掛けられる。

　一般的なフィッシング詐欺は偽サイト（フィッシングサイト）にユーザーを誘導してアカウント情報やカード情報、個人情報などを入力させ、後でこれを悪用するが、ユーザーが多段階認証を設定していれば、攻撃者によるログインを防止できる。しかし、リアルタイムフィッシング詐欺では、偽サイトでユーザーがIDやパスワードを入力しているとき、攻撃者がその様子を監視しながら、並行して正規サイトにIDとパスワードを入力していく。

　さらに続けて、偽サイト上で多段階認証（楽天証券でいえば絵文字を使った追加認証）を表示し、その場でユーザーに操作させ、その内容を攻撃者が正規サイトに入力する。これによって、攻撃者は多段階認証を突破できてしまう。一般に有効時間が短い多段階認証の情報を、ユーザーに入力させてすぐ（リアルタイムに）悪用することが特徴である。

　楽天証券の説明する手口では、まず、メールやSMSからフィッシングサイトで誘導され、ログインIDとパスワードの入力を求められる。フィッシングサイトは見た目上は正規サイトとの区別が難しいため、表示されるURLが「https://www.rakuten-sec.co.jp/」から始まる正規のURLになっているか確認するようにとしている。

フィッシングサイトのログインIDとパスワードの入力を求める画面の例（楽天証券のお知らせより）

　ログインIDとパスワードを入力した後は、ログイン追加認証が表示される。このときも、表示されるURLが「https://member-rakuten-sec.co.jp/」から始まる正規のURLであるか確認するようにとしている。

フィッシングサイトの追加認証画面と正規サイトの追加認証画面の対比（楽天証券のお知らせより）

　フィッシングサイトに情報を入力していた場合は、この後、取引暗証番号の入力が求められる。正規サイトではログイン直後に取引暗証番号を求めることはない。ログイン直後に取引暗証番号を求められた場合はフィッシングサイトに情報を入力させられたことが分かり、リアルタイムフィッシング詐欺により、まさに自分のアカウントに攻撃者がログインしていると考えられる。速やかに取引やサービスの一時的な利用停止を行い、パスワードや取引暗証番号を変更するようにと案内している。

　このほか、フィッシングサイトでは個人情報の入力を求められる場合があるが、正規サイトでは、ログイン直後に個人情報の入力を求めることはない。

　同社では、身に覚えのない取引や出金を確認した場合には、ただちにパスワードや取引暗証番号を変更のうえ、カスタマーサービスセンターに連絡するようにと呼び掛けている。