ネットバンキングで暗証番号や合言葉の入力を誘う不正画面が表示される事例発生・警察庁などが注意呼びかけ

2012/10/28 07:05

警察庁は2012年10月26日、インターネットバンキング(インターネットを利用した銀行口座取り扱いサービス)に自分の口座番号・パスワードを入力してログインした直後、不正にポップアップ(新しいブラウザのウィンドウが立ち上がること)画面が立ち上がり、利用者の暗証番号などを問い合わせる「不正な」入力用画面が表示されるという、金融情報を狙った犯行手口が確認されたと発表した。警察庁や該当金融機関では「入力をすると情報が悪用されかねない」とし、注意を呼び掛けている(【警察庁発表リリース】)。




↑ 三菱東京UFJが公知した「当行を装った偽画面例」
今件手口は、利用者が金融機関の「正規の」インターネットバンキングのページからログインをすると、不正にポップアップ画面が表示され、「システムのメンテナンスや機能の向上のためにお客様情報の再入力をお願いします」などのような正規の文言らしい表記と共に、第二暗証番号や質問・合言葉、インターネット用暗証番号などの入力フォームが表示されるというもの。ウェブサイトへのアクセス時ではなく、正規のページからログインした「後に」不正なページがポップアップされるのが特徴で、「ログイン後だから本物のはず」という利用者側の油断を悪用した手口といえる。

リリースでは発表時点で三井住友銀行、ゆうちょ銀行の2行で同事象が確認されたとのことだが、その他にも三菱東京UFJでも同様の事象があったとの公知がされている。


↑ ゆうちょ銀行による「不正ポップアップ画面」事例
・【[重要]不正にポップアップ画面を表示させてゆうちょダイレクトの情報を盗み取ろうとする犯罪にご注意ください(ゆうちょ銀行)】
「ゆうちょダイレクトでは、ポップアップ画面を表示して、お客さまに情報を入力していただく機能を使用しておりませんので、このような画面が表示されても、合言葉・インターネット用暗証番号の入力は絶対に行わないでください。なお、送金等の取引時以外に、ログイン後に改めてお客さま情報の入力を求めることはありません」

・【[重要]不正にポップアップ画面を表示させてインタ-ネットバンキング（SMBCダイレクト）の情報を盗み取ろうとする犯罪にご注意ください(三井住友銀行】
「SMBCダイレクトでは、ポップアップ画面を表示して、お客さまに情報を入力していただく機能を使用しておりません。」

・【ウィルス感染等によるインターネットバンキングの犯罪にご注意ください(三菱東京ＵＦＪダイレクトインターネットバンキング)】
「当行ではログイン時に、「確認番号表（乱数表）の数字すべて」を入力いただくことはありません」