auじぶん銀行アプリに対する不正出金の驚くべき手口

第38弾

2020年10月13日に一部報道でauじぶん銀行の「スマホATM」という機能がフィッシング被害にあい、現金を不正に引き出される事件の容疑者が逮捕されました。報道およびauじぶん銀行のリリースを元に、このフィッシングの手口を再現してみます。この事件からもわかるように、フィッシングに対しては2要素認証に対する過度の期待は禁物であり、利用者側としてSMSやメールで送信されるURLにはアクセスしない、アクセスしてもパスワード等を入力しないという自衛策が求められます。

本日お伝えしたいこと ・じぶん銀行アプリのスマホATMによる不正出金の手口を再現します（一部推測） ・中継型フィッシングによるなりすましは、二要素認証を突破できることを紹介します

参考情報

• 銀行アプリ悪用　42万円窃盗疑い　福岡県警、中国籍の男逮捕｜【西日本新聞ニュース】
  http://web.archive.org/web/20201101131750/https://www.nishinippon.co.jp/item/n/654091/ （アーカイブ）
  
• 昨日および本日の一部報道について | auじぶん銀行
  https://www.jibunbank.co.jp/announcement/2020/1014_01.html
  
• auじぶん銀行のフィッシングSMSが届いた（実際のSMSから偽サイトの様子を紹介しています）
  https://blog.tokumaru.org/2020/11/ausms.html