トレンドマイクロは、2014年2月末から日本のインターネットサービスプロバイダのサーバー上で、国内の特定の銀行を狙ったフィッシングサイトが連続して作成されたのを確認した。2月27日から3月4日までの丸5日間に30以上に上る。2月27日以降日本国内の少なくとも2,000人のユーザーから3,600件以上のアクセスがあったという。

トレンドマイクロ、日本の特定の銀行を装うフィッシングサイトの攻撃再開を確認
確認されたフィッシングサイトの画面例1
確認されたフィッシングサイトの画面例 2
確認されたフィッシングサイトの画面例 2

フィッシングサイトの URL には特長がある。サブドメインに日本の特定の銀行の正規ドメイン名をそのまま含む。形式として最もおおいドメイン名は、<日本の銀行のドメイン名>.<英字3文字>.cn.com で全体の9割を占めるという。また URL には必ず、「login.htm」の文字列が入っており、銀行サイトのログイン画面だと思わせようとする意図があるという。

フィッシングサイトに使用されるホストは、日本の大手 ISP 2社の4つの IP アドレスに集中しており、1つの IP アドレスに対して最大15のフィッシングサイトが作成されていた。Whois 情報によれば、フィッシングサイトの登録者は2種類のフリーメールアドレスを使用しており、類似性から1つの大きなサイバー犯罪グループによる攻撃であると推測されている。

2013年には、オンライン銀行を狙った不正送金被害が14億円以上と過去最大であり、新しく登場したオンライン銀行詐欺ツールが要因として挙げられているが、フィッシング詐欺も断続的に被害が確認されている。スパムメールで、「アカウントの確認のため」、「セキュリティ向上のため」などの理由でだます手口が多く、オンライン銀行へのログインを促す内容の案内メールを受け取った場合は、内容を確認し、不審な点があればすぐ銀行へ連絡する必要がある。

確認されたフィッシングメールの例
確認されたフィッシングメールの例