ニュースで報道されいる新生銀行フィッシングメールが私のところにも来ました。
しかも、全然関係のないメールアドレス宛に英語で届きました。この時点で騙されるわけがないですが。
とりあえず、面白半分でいろいろ見てみました。すると面白い発見が…

まずHTMLフィッシングメールのソースを確認します。
重要な部分はリンク設定のある箇所。
以下が、フィッシングサイトへの誘導リンクです。

<a href="http://○○○○.ru/shinseybank.com.jp/login.html">
https://direct03.shinseibank.co.jp/FLEXCUBEAt…</a>

リンクタイトルは新生銀行のURLを使っていますが、リンク先は全く違うドメインです。
HTMLメールだけ見てソースを確認しないと、意図しないドメインへ飛ばされます。それが戦略ですが…
フィッシングサイトのURLは一応伏せておきます。

次にフィッシングサイトへ行ってみました。
こんな感じで新生銀行のログイン画面とそっくりというか、同じです。

試しに適当な英数字を入れてログインしてみます。
新生銀行のページならば弾かれるハズです。

…

ログイン成功！次はセキュリティ・カードの入力画面です。
新生銀行はセキュリティ・カードを配布し、利用するよう促していますが、現時点では強制ではありません。

ですが、入力しないと次へ進めないようです。
しかもセキュリティ・カードに記載している全ての数字を。
これも適当に入力して次へ進むと、新生銀行の公式ホームページが出てきて終了しました。
なるほど。。

さて、ここからですがフィッシングサイトのURLを切ってみるとディレクトリが丸見えになっていました。
その中のファイルにアクセスすると、なんとログを発見！
フィッシングサイトに誘導されたユーザーの入力したパスワードが一覧表示してありました。

これだけの脆弱なセキュリティを考えても、フィッシングメールを送った犯人はそれほどシステムに詳しくなく、単純にお金目的の人物と推測されます。恐らく、新生銀行フィッシングメールセットを誰かから購入したのではないでしょうか？

スパムを発信するのは自己責任ということで。
そのぐらい適当で単純なフィッシングシステムです。

肝心のログファイルですが、時間が経過するごとにログが増えていっています。
中には本当のパスワードと思われるログもあります。非常に危険です。

とりあえず、しかるべき機関に上記状況を報告しておきます。