新生銀行を名乗るフィッシング詐欺メール

このところ銀行を名乗るフィッシング詐欺メールが立て続けに来る。
少し前まではみずほ銀行が多かったが、今は新生銀行を名乗るものがほとんど。毎日複数来る。
今日も来ていた。htmlメールで、送信者アドレスはaccount＠shinseibank．com　となっている。shinseibank．com　は実際に新生銀行が使っているドメインなので、引っかかる人もいるだろうから、情報としてここにまとめておく。

今朝来たメールはタイトルが「 【新生銀行】メールアドレスの確認」で、送信者は「新生銀行 」となっていた。
htmlメールの中身がこれ↑。
銀行から来るメールが「こんにちは！」で始まるわけがないだろうにね。詰めが甘いというか……。

このメールはhtmlなので、僕のメールソフトでは本文は表示されないが（htmlのみのメールは本文を表示しないように設定してある）、今回は敢えてブラウザで表示させてみた↑

このメールのヘッダ情報を見ると↓こうなっている。

実際の送信者アドレスは163．com　というドメインから送られていることが分かる。
しかし、From:　だけでなく、Reply-To：　も　shinseibank．com　なので、このメールに「返信」すると、送信者ではなく新生銀行にメールが届く。つまり、返信する者は最初から切り捨てているわけだ。

次に、htmlメールのソースを見てみる。クリックすると飛んでいく先はどこなのか？
表示ではあたかもhttps://pdirect08.shinseibank．com/～～～～　にアクセスするかのようだが、ソースのa href　の先を見ると、haoluosc．com　というドメイン名のサーバーであることが分かる↓　そこでJava Scriptを起動する仕組み。

では、メールを送信している　163．com　と　リンク先の　haoluosc．com　とは何者なのか？　Whois情報を見るとこうなっていた↓

どちらも所有者の実体は中国にある。
163．comのレジストラーであるMarkMonitorという会社は、企業の情報秘匿やセキュリティ保護を代行する会社らしい。
当初はこの会社にWhois情報を代行させて所有者情報を隠していたと思われる。しかし、こうした犯罪行為が発覚したため、MarkMonitor社でも情報を公開したのではないだろうか。

ちなみに送りつけてきたアドレスは銀行に登録しているものではなく、楽天やYahoo!など、ネットショップ関連で使っているもの。つまり、アドレス流出は銀行からではない。
銀行に登録していないアドレス宛に銀行からメールが来るわけはないので、その点からもおかしいとすぐに分かるわけだが、このように、メールアドレスは複数使い分けることが大切だ。
重要度別にいくつも使い分けて、重要度下位のアドレスはいつでも切り捨てられるようにしておくとよい。

そして何よりも重要なのは、

• htmlメールは使わない、すぐに開かない
• 少しでも怪しいと思うメールには触らず完全削除
• 少しでも不審なメールの要求には応対しない

……ということ。

最近は「ウイルスメール」（メール自体にウイルスが仕込まれている）よりも、こうしたフィッシング詐欺メール（ブラウザでネット接続させてから情報を盗み出したりウイルスをブラウザ経由で受信させる手口）が増えている。これらは送信者アドレスがセキュリティソフトのデータベースでブラックリスト入りしない限り、普通のメールとして受信されてしまう。

被害者でもある新生銀行ではトップページで注意喚起している↓