ネット犯罪「フィッシング詐欺」対策について



こんな犯罪が起こっています

三井住友銀行を装い、セキュリティ強化のため、「暗証カードを再発行することになった」「ワンタイムパスワードを配布することになった」等の名目で、偽の申込サイトに誘導して、暗証カード上の数字をすべて入力させて暗証番号を盗み取る手口が確認されています。

当行から、暗証カード上のすべての数字を入力いただくご依頼をすることは、絶対にありませんので、決して入力することのないようご注意ください。

また、銀行員、銀行協会員、警察等であっても、店舗外や電話等で第二暗証のすべての数字をお尋ねすることは絶対にありません。

弊行インターネットサービスをより安心してご利用いただけるよう、フィッシング詐欺に対して、以下の対策を実施しています。


フィッシング対策のフロー 電子署名付き電子メール(S/MIME)


EV SSLサーバ証明書によりサイトの正当性を容易に確認可能に

弊行のインターネットサービスをご利用のお客さまが「現在閲覧しているWebページが三井住友銀行の正当なサイトかどうか」をより直感的かつ容易に確認いただけるよう、新規格のサーバー証明書「EV SSLサーバー証明書」を採用しています。導入は、個人向けインターネットサービスより順次行ってまいります。


対応ブラウザについて

Internet Explorer 7.0以降、Safari 3.2以降

EV SSLサーバ証明書の機能を有効にするための設定方法はこちら

対応ブラウザ以外でEV証明書をインストールしたサイトに接続した場合、アドレスバーの色が変化することはありませんが、SSL通信は行われます。

対応ブラウザ以外で証明書の内容を確認する方法については簡単セキュリティ教室 そのメール、本物ですか? あなたの対策は?(その2)をご覧ください。


確認方法<Microsoft Edge、Internet Explorer 11の場合>

(以下の例ではMicrosoft Edgeを表示しています)

Microsoft Edge、Internet Explorer 11では「ブラウザのアドレスバーの色」と「サイトを運営する企業名の表示」の2点を確認することにより、正当な三井住友銀行のサイトであることを確認できますので、三井住友銀行に見せかけたサイト(フィッシングサイト)を視覚的に簡単に判別できるようになります。


  1. ブラウザのアドレスバーが緑色に表示されていることを確認

  2. 鍵マークと共に、サイトを運営する企業名(Sumitomo Mitsui Banking Corporation)が表示されていることを確認(EV SSLサーバ証明書を発行した認証局名も交互に表示されます)


  • Web サイトを悪意のあるサイトの可能性があると判断した場合、Windows 10 の Microsoft Edge または Internet Explorer 11 には赤の背景で警告が表示され、サイトのコンテンツは表示されません。
  • アドレスバーの色は直感的な判断が可能となるものですが、確認は必須ではありません。鍵マークと共に表示されるサイトを運営する企業名が確認できれば正当なサイトであることは確認できます。

確認方法<Chromeの場合>

Chromeでは「ブラウザのアドレスバーの色」と「サイトを運営する企業名の表示」の2点を確認することにより、正当な三井住友銀行のサイトであることを確認できますので、三井住友銀行に見せかけたサイト(フィッシングサイト)を視覚的に簡単に判別できるようになります。


  1. ブラウザのアドレスバーが緑色に表示されていることを確認

  2. 鍵マークと共に、サイトを運営する企業名(Sumitomo Mitsui Banking Corporation)が表示されていることを確認(EV SSLサーバ証明書を発行した認証局名も交互に表示されます)


  • 赤色の鍵アイコンが表示された場合はサイトへの接続は暗号化されていますが、Google Chrome では混合スクリプトが検出されました。このページで個人情報を入力する場合は注意が必要です。混合スクリプトとは、HTTPS 経由で配信されるページに、HTTP 経由でコンテンツが読み込まれる状態を指します。このようなスクリプトを通じて、ページが乗っ取られる危険性があります。ページに埋め込まれたサードパーティのスクリプトや動画がこれに該当します。
  • アドレスバーの色は直感的な判断が可能となるものですが、確認は必須ではありません。鍵マークと共に表示されるサイトを運営する企業名が確認できれば正当なサイトであることは確認できます。

確認方法<FireFoxの場合>

FireFoxでは「ブラウザのアドレスバーの色」と「サイトを運営する企業名の表示」の2点を確認することにより、正当な三井住友銀行のサイトであることを確認できますので、三井住友銀行に見せかけたサイト(フィッシングサイト)を視覚的に簡単に判別できるようになります。


  1. ブラウザのアドレスバーが緑色に表示されていることを確認

  2. 鍵マークと共に、サイトを運営する企業名(Sumitomo Mitsui Banking Corporation)が表示されていることを確認(EV SSLサーバ証明書を発行した認証局名も交互に表示されます)


  • 「安全な接続ではありません」というエラーページが表示され、エラー内容のボタンをクリックした後、エラーコードに “SEC_ERROR_UNKNOWN_ISSUER ” と表示された場合、これは、Firefox が知らない認証局により発行された証明書が提示されており、そのページは信頼できないことを意味します。
  • アドレスバーの色は直感的な判断が可能となるものですが、確認は必須ではありません。鍵マークと共に表示されるサイトを運営する企業名が確認できれば正当なサイトであることは確認できます。

FireFoxでは「ブラウザのアドレスバーの色」と「サイトを運営する企業名の表示」の2点を確認することにより、正当な三井住友銀行のサイトであることを確認できますので、三井住友銀行に見せかけたサイト(フィッシ

スマートフォンの場合

・iOS(safari)の場合

「ブラウザのアドレスバーの色」と「サイトを運営する企業名の表示」の2点を確認することにより、正当な三井住友銀行のサイトであることを確認できますので、三井住友銀行に見せかけたサイト(フィッシングサイト)を視覚的に簡単に判別できるようになります。


  • ブラウザのアドレスバーが緑色に表示され、鍵マークと共にサイトを運営する企業名(Sumitomo Mitsui Banking Corporation)が表示されていることを確認


・Android(標準ブラウザ)の場合

「ブラウザのアドレスバーの色」と「サイトを運営する企業名の表示」の2点を確認することにより、正当な三井住友銀行のサイトであることを確認できますので、三井住友銀行に見せかけたサイト(フィッシングサイト)を視覚的に簡単に判別できるようになります。


  1. ブラウザのアドレスバーが鍵マークと共に、緑色に表示されていることを確認

  2. ブラウザのアドレスバーが鍵マークをタップし、「証明書情報」を選択

  3. サイトを運営する企業名(Sumitomo Mitsui Banking Corporation)が表示されていることを確認

  • ご利用の機種によって、操作手順や画面の表示が異なる場合がございます。

・Android(Google Chrome)の場合

「ブラウザのアドレスバーの色」と「サイトを運営する企業名の表示」の2点を確認することにより、正当な三井住友銀行のサイトであることを確認できますので、三井住友銀行に見せかけたサイト(フィッシングサイト)を視覚的に簡単に判別できるようになります。


  1. ブラウザのアドレスバーが鍵マークと共に、緑色に表示されていることを確認

  2. ブラウザのアドレスバーが鍵マークをタップし、「証明書情報」を選択

  3. サイトを運営する企業名(Sumitomo Mitsui Banking Corporation)が表示されていることを確認

  • ご利用の機種によって、操作手順や画面の表示が異なる場合がございます。

実施サービス

以下のサービスでEV SSLサーバ証明書を導入しています。

  • インターネットバンキング(SMBCダイレクト)
    https://direct.smbc.co.jp/
    https://direct3.smbc.co.jp/
  • 当行ホームページの重要情報を入力・閲覧するページ
    https://www.smbc.co.jp/
  • 当行ホームページで各種申込書を作成するサービス
    https://www5.smbc.co.jp/
  • カードローンのお申し込みページ
    https://cardloan.smbc.co.jp/
  • その他のサービスも順次切替を行ってまいります。

偽サイトを迅速に閉鎖(RSA FraudAction)

お客さまへの詐欺対策の提供に留まらず、弊行がフィッシング詐欺時に作成される弊行のホームページに見せかけた偽のWebサイト(フィッシングサイト)を、迅速に閉鎖させる為に、今回、RSAセキュリティ社が提供する、各国のインターネットサービスプロバイダとの協力によってフィッシングサイトを閉鎖するサービス「RSA FraudAction」を採用しました。

 (RSAセキュリティ株式会社のホームページを別ウインドウで開きます。)


セキュリティトップへ

このページの先頭へ戻る