2020/05/08

JPモルガン・チェース銀行のアカウントを狙う詐欺

クレジット,キャッシュカード,通帳,銀行,紙幣

2020 年 5 月 8 日 Trevor Collins 著

先日ウォッチガードの従業員が警告をテキストで受け取り、その内容は JP モルガン・チェース銀行(以下チェース銀行)口座へのアクセスが制限されている、というものでした。その従業員はすぐに偽物であると判断し、調査のためにウォッチガードへそのメッセージを提供しました。結果、メッセージ内のリンクは、偽のログインページにユーザを転送するものであると判明しました。幸いこのメッセージを受け取った人物はセキュリティについて熟知しておりリンクを辿ることはありませんでしたが、観察力に欠ける従業員がこのメッセージを受け取っていた可能性もゼロではありません。テスト環境でこのフィッシングを追跡したところ、この詐欺に騙されると、最終的に銀行口座が乗っ取られる可能性があることがわかりました。

ウォッチガードのサンドボックスを使用してこのサイトにアクセスすると、最初はただ何もないページが表示されました。しかしさらに調べてみると、そのページにはいくつかの HTML コードが含まれていました。スマートフォンのような縦長のウィンドウサイズにリサイズされたときにのみ、コンテンツが表示される仕様になっていたのです。詐欺師がページをこのように作った理由が、分析を避けるためかどうかはわかりませんが、ウィンドウのサイズを変更することで Web サイトを見ることができました。

偽の Web サイトは本物によく似せて作られていますが、注意深く見ると、ページ下部の著作権年、「ユーザを記憶する」「トークンを使用する」のチェックボックスなど、いくつかの相違点を見つけることができます。

ウォッチガードはその Web サイトを閲覧しつつ、ブラウザが Web サーバに送信するデータを「Fiddler」と呼ばれるネットワークモニタで監視しました。すると、ユーザ名とパスワードを入力した時点でこの情報が詐欺師に送信され、のちに使用するためにサーバに保管されていることがわかりました。しかし口座にアクセスするためには、さらに多くの情報が必要です。チェース銀行を含め他のほとんどの銀行では多要素認証を必要としているため、まだ手口は続きます。

一度「ログイン」すると、アカウントが制限されているのでロックを解除するには電話番号を更新する必要がある、という通知が表示されました。詐欺師は、通常のアカウント更新が行われていると勘違いさせるために電話番号の欄を用意したのかもしれません。または口座の電話番号を変更したり、偽の通知を送信したりするために番号を使用している可能性もありますが、確かなことはわかりません。これをテストするには実際の銀行口座を使用しなければならず、しかしそれは当然ながら、行なっていません。ウォッチガードが詐欺を調査する際に使用しているプリペイド携帯の番号を入力したところ、その番号は詐欺師に送信されましたが、メッセージや電話を受け取ることはありませんでした。

最後のステップでは、コードが送信されるのを待ち、受信したらコードとパスワードを再度入力します。ウォッチガードではこのタイプの詐欺を熟知しています。この背後には詐欺師が情報を保管するサーバがあり、そこで手に入れた情報を使って、チェース銀行にログインしている可能性が高いのです。なお、ここで受け取るコードは本物のチェース銀行からのもので、これを偽物の Web サイトに入力すると、詐欺師が本物の Web サイトのログインページにこのコードを入力し、アカウントにアクセスできるようになります。

今回は本物のチェース銀行の口座を使わなかったのでコードを受け取ることはありませんでしたが、偽のコードを入力してみると、ページを通過することができました。ここで入力するパスワードは、前述の電話番号欄と同様に、通常の認証が行われていると勘違いさせるのが目的かもしれません。「サービスプロバイダに負荷がかかっている可能性がありますので、少々お待ちください」というメッセージは、詐欺師の手口を知る手がかりとなります。詐欺師のサーバは、ユーザが電話番号を入力するまで、ログイン情報をサーバに送信していない可能性が高いということです。また、詐欺師のシステムが、本物のチェース銀行のログインページに適切なリクエストを行うのに時間がかかっている、という可能性もあります。理由が何であれ、詐欺師の側でリクエストを行うために少し余分な時間が必要であることは間違いありません。

ランダムなコードとパスワードを入力すると、再びこの情報が詐欺師に送られたのちに、偽物の Web サイト上で確認メッセージが表示されました。もし本当の銀行のログイン情報を入力していたとすれば、すぐにでも詐欺師は現金を引き出せるでしょう。

個人情報を要求してくるテキストメッセージや電話には、常に注意しましょう。チェース銀行は、自社の Web サイト上でこのような詐欺についてユーザに注意を促しています。「口座が危険にさらされているために、個人情報やアカウント情報が必要である、と伝えるメール、電話、テキストメッセージには返信しないでください」と述べています。もし使用しているサービスのアカウントに問題が発生した場合は、直接 Web サイトに行くか、電話をかけることで解決するべきです。