フィッシング詐欺対策の業界団体であるフィッシング対策協議会は2014年4月30日、三井住友カードをかたるフィッシング詐欺を確認したとして注意を呼びかけた。偽メールでは、パスワードを定期的に変更してほしいなどとして、偽のパスワード登録画面に誘導しようとする(画面1)。
フィッシング詐欺とは、有名な企業や組織をかたった偽メールや偽サイトでユーザーをだまし、個人情報などを盗むネット詐欺のこと。典型的な手口は、偽サイトのURLを記載した偽メールを不特定多数に送信。実在するWebサイトのログインページなどに見せかけた偽サイトに誘導して、パスワードなどを入力させる。
今回確認されたのは、三井住友カードをかたるフィッシング詐欺。偽メールでは「重要なお知らせ」として、パスワードなどは他のサイトでは使用せず、定期的に変更するよう呼びかけている(画面2)。そして、ユーザーID(VpassID)やパスワードの照会や変更を行うWebサイトとして、偽サイトのURLが記されている。
フィッシング対策協議会によれば、「VpassID」という文字列と、偽サイトのURLだけが記載されている偽メールも確認しているという。
メールに記載されたURLにアクセスすると、「Vpass ID・パスワードの登録」という偽サイトが表示される。偽サイトでは、会員番号やカード有効期限、セキュリティコード(CVV)、電話番号、パスワードなどを入力させようとする。入力した情報は全て攻撃者に送信されて盗まれる。
フィッシング対策協議会によれば、今回報告された偽サイトは、5月1日午前9時時点で稼働中。セキュリティ組織のJPCERTコーディネーションセンターに、偽サイトを閉鎖するための調査を依頼したとしている。また、同じような偽サイトが公開される恐れがあるとして、注意するよう呼びかけている。
[発表資料へ]