するめを食べながら覚え書き

(一応)PCと園芸の話題がメインな、雑記系ブログです。くコ:彡
Home > ブログ > レビュー - 雑貨・その他レビュー > りそな銀行をかたる偉そうなフィッシング詐欺メールが届いた話

[1303]  [1302]  [1301]  [1300]  [1299]  [1298]  [1296]  [1295]  [1294]  [1293]  [1292
2016年3月4日に「りそな銀行重要なお知らせ (2016年3月4日更新)」というメールが来ました。

私は『りそな銀行』を使っていない事もあり、最初は勧誘メールか?と思ってスルーしようとしたのですが、もしかして・・・と思ったら案の定、フィッシング詐欺サイト(以下:偽サイト)への誘導メールでした。
貴様のアカウントの利用中止を避けるために――りそな銀行かたるフィッシングメールに注意 -INTERNET Watch
笑える部分もあったので、ブログに取り上げておこうと思います。

うちに来たメールの内容は以下です。
 


2016年「りそな銀行」のシステムセキュリティのアップグレードのため、貴様のアカウントの利用中止を避けるために、検証する必要があります。

本人認証サービス

すぐに分かった変な点は以下。
  • 客に対して「貴様」を使っている。
  • 説明が変。
  • メールが届いた時間が銀行の営業時間ではない。(※23時52分着)
  • 届いたメールアドレスが普段使っていないYahoo!のフリーアドレス宛て。
  • 重要なアップグレードのお知らせなのに、具体的なアップグレードの日程が書かれて無い。
  • メール内容がシンプル過ぎて怪しい。

まず、内容で「ん?」と思ったのは「貴様」です。
Twitterなどで既に多数のツッコミが入っていますが、「貴様」は見下していると誤解を生むので普段は使われない言葉です。
元々は貴様は尊敬語だったという話もありますが、だからと言って反対の意味が浸透している現在で使ったらアウトです。
この1点だけでも、日本語に詳しくない外国人が関わっているのでは?と推測できます。

尚、本物の『りそな銀行』のサイトでは客の事を「貴様」では無く、「お客さま」と呼称しています。

次に気になったのは説明文です。
貴様のアカウントの利用中止を避けるために、検証する必要があります。」の部分は
お客様のアカウントが利用できなくなる恐れがあるため、検証する必要があります。」などにしないと意味が伝わりにくいだろうと思いました。

外国人が日本語の文章を書こうとすると、多かれ少なかれ何処かに『粗(アラ)』が出る事がかなり多いです。
カタカナ表記が間違っていたり、中国語表示が混ざっていたり、文法的におかしかったり・・・
誤字脱字などがあっても日本人が間違える間違え方ではないので分かりやすいです。
外国人の変な間違え方を見る度、日本語って難しいのだなと思います。

幾つかの点の分析は省きますが、他には、メールがシンプル過ぎるのが怪しいと思いました。
普通ならメールの最後に銀行名や問い合わせ先などが書かれているものですが、書かれていません。


◆ 比較


続いては、偽サイトにアクセスして、正しい『りそな銀行』のサイトと比較してみた結果です。


■ URLの比較


以下は『Firefox 43』でアクセスした時のURL欄です。

こちらが正URL。左側に緑色のカギのマークと銀行名が表示されてていますが、これがSSLサーバー証明証が付いたサイト=正しいサイトの証明となります。
但し、ブラウザによっては色は変わりません。


こちらは偽URL。かなり正URLを真似てますが、SSLサーバー証明証がありません。

ちなみに、右側の国旗はFirefoxアドオンの『Flagfox』で、サーバー所在を表示しています。
Flagfox :: Add-ons for Firefox
GoogleChromeでは、『Yet another flags』で表示できます。
Yet another flags - Chrome ウェブストア

  • 正URL:https://mp.resona-gr.co.jp/mypage/MPMB010X010M.mp?BK=0010
  • 偽URL:http://mp.rsoena-gr.cuuca.cc/mypage/MPMB010X010M.htm?BK=0010?EsetProtoscanCtx=c235f78

送ってきたメールアドレスは、「mp@resona-gr.co.jp」で、りそな(resona)の名前が正しく入っていますが、URLでは、rそえな(rsoena)になっています。
しかも、ドメインが日本ドメイン「.jp」では無く、「.cc」つまりはオセアニアのココス諸島ドメインです。

情報によると度々ドメインを変えてフィッシング詐欺を繰り返しているそうなので、注意して下さい。

Flagfoxで表示した国旗をクリックすると、サーバーの所在地が表示されます。

ホスト名 mp.resona-gr.co.jp
こちらが正しいURLのサーバー所在地。所在地は日本で、ISPはソフトバンクモバイルを使っている事がわかります。


ホスト名 mp.rsoena-gr.cuuca.cc
そして、こちらが偽URLのサーバー所在地。国は中国の香港が表示され、ISPはレインボーネットワークという日本では聞き慣れない業者の名前が出てきました。


※2016/03/08追記:どうなったのかもう一度、詐欺サイトに飛んでみようとした所、転送先が別なURLに切り替えられていました。

ホスト名 mp.resona-gr.co.jp.id.rvve.cn.com - Geotool
気になったのはホスト名で、「gr」=ギリシャドメイン?、「co.jp」=日本企業ドメイン、「.id」=インドネシアドメイン、「.rvve」は謎ですが「ve」だけならベネズエラドメイン、「.cn」=中国ドメインを意味すると思われる文字列と、最後に「.com」=アメリカドメインが付いているという、めちゃくちゃなホスト名です。
雑なだけで特に意味は無さそうですが、雑だなと思う辺り、妙に人間臭さを感じる部分ではありました。


■ サイトの比較


サイトの比較もしてみました。

正しい『りそな銀行』サイトのマイゲートログインページは以下。


偽サイトのマイゲートログインページは以下です。


現在の『りそな銀行』の正しいページと違う点は、2点。
まずは右上のスローガンが違います。

  • 正:想いをつなぐ、未来を形に。
  • 偽:新しいクオリティへ、新しいスピードで。

偽サイトのスローガンは、昔のスローガンのままでした。

2点目は背景が違います。
正しいサイトはチューリップ、偽サイトはアジサイが表示されています。
これも昔のサイト画像をそのまま使いまわしている影響の様です。

今回は偽サイトにも粗が出ているケースでしたが、今後、マメに修正される偽サイトが出てくる可能性もあるので注意して下さい。


HTMLのソースを比較してみました。
使ったソフトはRekisaという文章比較ソフトです。
Rekisa - 窓の杜ライブラリ 


ソースの内容は正しいサイトのコピペで、違う部分は、たった11行の一部分のみでした。
どうやら偽サイトは、相当お手軽に作れてしまう物な様です。
現在、物理 or ソフトウェアのトークンや、2段階認証などのセキュリティ強化策の対応が進んでいますが、サイト側にも何らかのコピー防止策が必要なのでは?と思います。


■ りそな銀行からの注意喚起


この、りそな銀行をかたるフィッシング詐欺メールは2月頃から確認されている様です。
りそな銀行のサイトに行くと、目につく位置にデカデカと注意喚起が出ていました。


【ご注意】銀行を装った、ID・パスワード等の入力を求める不審な電子メールについて│マイゲート│りそな銀行

犯人、もしくは犯人達は、中の文を変えてあちこちに送っている様で、今後も引き続き『りそな銀行』をかたるフィッシング詐欺メールが出回る可能性があります。


■ ブラウザなどの反応


偽サイト発覚から時間が経過している事もあり、ブラウザ側で偽サイトはブロックされる様になっていました。

こちらは『Firefox 43』でアクセスした時の画面です。
ウイルス対策ソフトよりも早くブロックするので、ウイルス対策ソフトは反応しません。


続いては『Google Chrome 48』でアクセスした時の画面です。
こちらもウイルス対策ソフトよりも早くブロックするので、ウイルス対策ソフトは反応しません。


最後は『Internet Explorer 11』でアクセスした時の画面です。
こちらはウイルス対策ソフトが反応した後にブロックしました。


ウイルス対策ソフト『ESET』でのブロック内容です。
今回はすぐに反応してくれましたが、新しいフィッシング詐欺サイトの場合、情報が集まって対応されるまでは反応しないものなので、過信するのは禁物です。


あと、フィッシング詐欺メールが来た場合、いつもなら使用しているメールソフト『Thunderbird』で、危険かもしれないと警告が出るのですが、今回の場合は出ませんでした。
恐らくは、URLに偽装などのギミックの無い単純なものだったので反応しなかったと思われます。
何れにせよ過信は禁物です。


しかし、今回「貴様のアカウント」には笑いました。
ただ、銀行をかたるフィッシング詐欺メールは始めてだったので、色々と気を付けないとなと思った事例でもありました。
皆さんも自分だけは大丈夫だとは思わず、色々なパターンでのフィッシング詐欺を考えて十分に気を付けて下さい。




※2016/03/08追記

■ また来た「貴様のアカウント」メール


りそな銀行をかたるフィッシング詐欺メールが来てから3日後の3月7日に、また詐欺メールが来ました。
何か変わったのかと思いきや、前回と同じメールアドレスに同じメールアドレスから、タイトルだけ変えて同じ内容で送ってくるというお粗末なものでした。

タイトルの違いは以下。
  • 1通目:「りそな銀行重要なお知らせ (2016年3月4日更新)」
  • 2通目:「りそな銀行メールアドレスの確認」
日付を加えるのが面倒だったのか、より雑になっています。

他に違う所は、メールに書かれた中間転送先でした。
  • 1通目:http://www.leiyiju.com/images/
  • 2通目:http://yoogmei.com/js/

飛ばされる詐欺サイトもURLだけ違います。
  • 1通目:https://mp.resona-gr.co.jp/mypage/MPMB010X010M.mp?BK=0010
  • 2通目:http://mp.resona-gx.co.jp.mypage.ciirc.cc/mypage/MPMB010X010M.htm?BK=0010
URLを考えるのが面倒だったのか、最初に来たものより雑です。

ホスト名 mp.resona-gx.co.jp.mypage.ciirc.cc
サーバー所在地は前と変わらず中国の香港でした。

何から何まで雑すぎますが、誰か1人でも引っかかれば大儲けになると考えると、この「数撃ちゃ当たる」という典型的なメールばら撒き手段はこれからも続くと思います。


※2016/03/08:追記

◆ この記事にコメントする
お名前
タイトル
文字色
コメント
パスワード ※修正用  Vodafone絵文字 i-mode絵文字 Ezweb絵文字
ブログ内検索
プロフィール
HN:
ryuun
趣味:
PC全般、園芸、ゲーム、etc
自己紹介:
栃木在住。興味・趣味の範囲が広いので、ブログ内容はカオス気味です。
もし、記事に間違った部分があればコメントでツッコミを入れて下さい。
後、ゲームでは別なHNでプレイしているので、何処かでryuunさんを見かけても別人です。
カテゴリー
メインPCスペック
Windows10 Pro 64bit,
Intel Corei7-870(2.93GHz),
ASUS P7H55-M, Scythe 夜叉,
Patriot DDR3-1333(4GBx4),
PowerColor RADEON HD5850,
Scythe 超力2プラグイン 650W,
SS Temjin SST-TJ08B-E,
SoundBlaster Audigy Platinum,
Crucial m4(128GB),WD10EADS,
LG E2370V-BF,EIZO FG2421
Logicool MX-1000VX-R,
SteelSeries Qck(x2枚),
AppleKeybord MB869J/A,
KAZEMaster, NB-ELOOP B12-1
サブPCスペック
Windows10 Pro 64bit,
Intel Core i7 3770K(3.5 GHz),
GIGABYTE GA-B75M-D3H,
DDR3-1600(4GBx2),
ENERMAX LIBERTY ELT400AWT,
Cooler Master Silencio550,
CFD CSSD-S6T128NHG5Q,
WD20EFRX, PLEX PX-W3PE,
EarthSoft PT1PT2,
風マスター2,NB-ELOOP B12-1
所有スマホ・タブレット
メインでプレイ中のゲーム
・黒猫のウィズ (Android)
・白猫プロジェクト (Android)
・スプラトゥーン2 (NS)
不定期ぼやき枠
ブログは暫くお休み中
楽天市場(レビューするかも)
最新コメント
[11/16 お砂糖さん]
[09/26 ryuun@管理人]
[09/24 りと]
[07/17 toku]
[03/03 ryuun@管理人]
カレンダー
11 2017/12 01
S M T W T F S
1 2
3 4 5 6 7 8 9
10 11 12 13 14 15 16
17 18 19 20 21 22 23
24 25 26 27 28 29 30
31
PCゲーム販売サイト(メモ用)
▼Steam (cc=jp)
Steam
▼GreenmanGaming(GMG)
GreenmanGaming(GMG)
▼GAMERSGATE(GG) (米国)
GAMERSGATE(GG)
▼GAMERSGATE(GG) (英国)
GAMERSGATE(GG)
▼YUplay(ロシア)
YUplay
▼GameStop
GameStop
▼Origin(日本)
Origin
▼Amazon(日本)
Amazon(日本)
IndieBundleセール開催サイト
▼The Humble Bundle(THB)
blogimg_gamebundle_thmb2.png
▼The Humble Bundle(THWS)
The Humble Bundle(THWS)
▼Indie Royale
Indie Royale
▼The Indie gala
The Indie gala
▼BUNDLE STARS.COM
BUNDLE STARS.COM
▼groupees
groupees
このブログのQRコード
カウンター
アクセス解析

Template by decoboko.jp