無縫地帯

悲報:アドネットワークがフィッシング行為の片棒をかつぐ時代到来

まさかフィッシングサイトが銀行などを騙る広告を配信する時代が到来するとは思いませんでした。業界全体としての対策を行わなければならないタイミングではないかと思います。

山本一郎です。夜釣りが趣味です。

ところで、国内トップクラスの規模を誇る金融機関の「ゆうちょ銀行」がフィッシングの標的となり、注意が呼びかけられておりました。

ゆうちょ銀行をかたるフィッシング(2014/02/20)(フィッシング対策協議会)
「ログイン画面がリニューアル」、ゆうちょ銀行をかたるフィッシングに注意(ITpro 2014/2/20)

今回確認されたのは、ゆうちょ銀行をかたるフィッシング詐欺。偽メールには、偽サイトのURLが記載されている。このURLにアクセスすると、同銀行が提供するインターネットサービス「ゆうちょダイレクト」の偽サイトに誘導される。偽サイトでは、お客様番号やログインパスワード、暗証番号、合い言葉などを入力させようとする。ITpro
上記のようなメールによるフィッシングの他、PCの脆弱性を突いたマルウェアによる攻撃も発覚しています。

【重要】ゆうちょダイレクトの認証を装って暗証番号を盗み取ろうとする犯罪にご注意ください(ゆうちょ銀行 2014/2/18)
「ゆうちょ銀行」のログイン画面リニューアルをかたるフィッシングが発生中(INTERNET Watch 2014/2/20)

ゆうちょ銀行では18日付で、「インターネット暗証番号」による認証が必要ではない場面で、不正な暗証番号の入力画面が表示される事例が発生しているとして、注意を呼び掛ける告知を出している。同行によると、これはPCにウイルスを感染させ、不正な入力画面を表示するMITB攻撃と考えられるという。INTERNET Watch
こうしたネットバンキングサービスを狙う事例は今や日常茶飯事化して久しいわけですが、今回新たに従来とはやや異なる手法で京都銀行が狙われ、奇しくもゆうちょ銀行の件とほぼ同じようなタイミングで発覚しており、残念なことにすでに3口座で被害が確認されているとのことです。

ご用心!!京都銀行のインターネットバンキング画面に偽サイト(MSN産経west 2014/2/18)
検索サイトに京都銀行装う偽サイトの広告公式サイトからの利用呼びかけ(ねとらぼ 2014/2/10)

同行によれば、個人向けインターネットバンキングの取引画面を模した偽サイトにリンクした検索広告が、検索サイトに表示されていた。現在は問題の広告は取り下げられているという。このため同行では検索サイトの広告表示などではなく、公式サイトからインターネットバンキングを利用するよう呼びかけている。ねとらぼ
で、この件を受けて、我らが高木浩光先生が早速京都銀行への取材を敢行した模様です。

午前中、休みだったので、以下で報じられた、京都銀行に対するフィッシング攻撃の被害について、京都銀行に取材した。

京銀ネットバンキングに偽サイトHPからの利用推奨(京都新聞、18日)
http://www.kyoto-np.co.jp/politics/article/20140218000174 …Hiromitsu Takagi
京都銀行に電話で取材したところ、この検索広告サイトは、ヤフーであり、「京銀ダイレクトバンキング」で検索した場合に、トップに偽サイトへリンクした広告が現れるようになっていたそうだ。Hiromitsu Takagi
これは初めて明るみになった事案だと思う(私の知る限り)し、これはヤフー側に取材して、なぜ起きたか、再発防止は可能なのかということが報じられるべきだと思うが、今のところそのような報道は見当たらない。Hiromitsu Takagi
高木氏のツイートを受けて、セキュリティ対策会社を運営するlumin氏が以下のようなコメントをしています。

@HiromitsuTakagi 犯罪者がアドネットワークを利用始めたので、これをとめない限り検索広告の未来は暗いな。lumin
これは衝撃的な事件です。前回のブログ記事でもネット広告が悪用されているという話を書いたばかりですが、現実はさらに暗黒な方向へと加速しつつあるようです。

ヤフーに限らず業界全体の問題として考える必要はあると思いますので、関係各社は一刻も早くこの件に関する調査を進めて真実を詳らかにすることで、業界の鑑としてネットサービスの信頼復活に向けてのご尽力をいただきたいと願うばかりです。

頼むよほんと。