UFJカードをかたる不審な英文メールが確認されたとして、三菱UFJフィナンシャル・グループと三菱UFJニコスが14日、注意を呼びかけた。メールは英文だが、メール内のリンクをクリックすると日本語のフィッシングサイトへ誘導される。フィッシングサイトは17日午前の段階でまだ稼働中で、注意が必要だ。
フィッシングメールの件名は「UFJ Card ( Mitsubishi UFJ Financial Group )」で、差出人は「”UFJ Card ( Mitsubishi UFJ Financial Group )”」。本文には英語で「アカウントが重複していたので閉鎖する。回復するためには個人情報の入力が必要だ」などと書かれ、英文であることを正当化しようと「This message was sent in english because a large number of our customers are not from Japan.」とも書いてある。
メール内のリンクをクリックすると、カード番号、確認コード、暗証番号、有効期限の入力欄がある偽サイトが開き、こちらは日本語で書いてある。偽サイトは、UFJカードのサイトで実際に使われている入力フォームの一部分をコピーしたものとみられる。
三菱UFJフィナンシャル・グループと三菱UFJニコスでは、顧客の個人情報をメールで問い合わせたり回答を依頼することはないとし、このようなメールを受信した場合には、決してURLをクリックせずにメールを削除してほしいとしている。
セキュリティ企業のエフセキュアが13日に公開したインターネットの安全性に関する年次調査の結果によると、日本人でフィッシング詐欺を見抜く自信があると答えた人は22.5%で、調査が行われた8か国中最低だった。フィッシングメールやサイトでは英語が使われることが圧倒的に多いため、「これまでに遭遇したことがないから見分けられるかどうかわからない、不安だ」という人が多いことも考えられる。
現状では、今回のケースもそうだが、英語のメールを読まない人は大部分のフィッシング詐欺を回避できる。ただし、日本語を使ったフィッシングメールやサイトも数は少ないながら見つかっている。当編集部では今年に入ってから、国内のブランドをかたったフィッシングサイトを9件観測している。Yahoo!JAPANをかたっていたのが6件、シティバンクをかたっていたのが2件、そしてUFJカードをかたった今回の1件だ。
対策としてまず、個人情報の入力を要求するメールは無視しよう。また、少数の例外はあるものの、ほとんどのフィッシング詐欺はSSLが有効かどうかを確かめることで回避できる。個人情報を入力する時は、サイトのURLが「https://」で始まっていることと、ブラウザに錠マークが表示されていることの両方を確かめたい。
(2009/04/17 ネットセキュリティニュース)
■「UFJ Card」を名乗る不審な英文メールにご注意ください(三菱フィナンシャル・グループ)
http://www.mufg.jp/caution/fake26.html
■当社類似名称を名乗るEメールにご注意ください(三菱UFJニコス)
http://www.cr.mufg.jp/info/2009/090414_01.html■ 9カ国を対象にオンラインセキュリティに関する意識調査を実施(エフセキュア)
http://www.f-secure.co.jp/news/200904131/