インターネット上で偽のウェブサイトに誘導し個人情報などを盗み取るフィッシング詐欺をめぐり、金融機関が本人確認強化のため導入している「２段階認証」が突破されるケースが増えている。詐欺サイト上で打ち込ませたＩＤやパスワードを正規の銀行サイトに入力、利用者のもとに届いた１回限り有効なパスワード（ワンタイムパスワード）を再び詐欺サイトに入力させ、盗み取る手口だ。２段階認証でも安全とは言い切れないとして、関係者は注意を呼びかけている。

フィッシング詐欺は現在、スマートフォンなどに金融機関や運送会社の不在通知などをかたって偽サイトに誘導するＵＲＬ付きのショートメッセージサービス（ＳＭＳ）を送り、偽サイトでＩＤやパスワードなどを入力させる手口が一般的となっている。

被害を防ぐため金融機関側は、ネットバンキングなどを利用する人がサイトでＩＤやパスワードを入力した際、ワンタイムパスワードをＳＭＳやメール、電話の音声案内を通じて送り、再度入力してもらう２段階の認証を取り入れ、本人確認強化を図っている。

だが、情報セキュリティー会社「トレンドマイクロ」によると、昨年１１月ごろから、ワンタイムパスワードを入力する項目がある２段階認証の突破を目的とした詐欺サイトが登場。金融機関を名乗り、「口座にリスクがある」などと利用者の不安をあおって偽サイトにアクセスさせた上、ＩＤやパスワードを入力するとワンタイムパスワードの入力を要求してくる。

この際、攻撃者側は利用者が入力したＩＤなどを正規の金融機関のサイトに入力。正規サイトから利用者にワンタイムパスワードが送られ、利用者はだまされていると知らずに偽サイトに発行されたワンタイムパスワードを入力してしまえば、口座にある現金は攻撃者に盗み取られてしまう。

PR

トレンドマイクロによると、今年１～８月に確認されたのは１０～３９件だったが９月には９４件と急増し、１０月も６１件と高止まりの状態が続いている。

続きを読む