クレジットカードを装ったフィッシングメールは年間を通じて出回っており、通常は英語圏のユーザーを狙った英文メールだが、何かの加減で国内ユーザーの元にも大量に飛来することがある。今回は、マスターカード(MasterCard)をかたるメールが先週末の18日から20日にかけて国内ユーザーの元に舞い込み、21日にフィッシング対策協議会が緊急情報を発して注意を喚起した。
フィッシングメールは、「Important MasterCard Alert」、「MasterCard Alert」、「Message Regarding Your MasterCard」、「Important MasterCard Alert」、「MasterCard Account Holder」などの件名で届く。送信者は「mastercard@●●●.com」で、●●●部分は数桁の数字になっている。
メールの英文は「オンラインシステムをアップデートしたので、アカウント情報の更新が必要」という内容で、リンクした偽サイトに誘導する。メールに記載したIDを入力させた後、住所、生年月日、電話番号などの個人情報や、カード番号、有効期限などのクレジットカード情報を入力させて騙し取ろうとする。
フィッシング対策協議会の元には21日までに13件の報告が寄せられたといい、協議会は今回のフィッシングメールで誘導先の偽サイトとして悪用されているURLを9件、公開している。編集部が確認した偽サイトは9件あり(うち5件は協議会発表のURLと重複)、うち4件はすでに閉鎖しているが、残りは現在も稼働中だ。9件すべて、WebブラウザーのFireFoxがブロックすることを確認している。
攻撃者は、同時期に多数の一般サイトに偽サイトを設置し、そこに誘導するメールをばらまいている。悪用される偽サイトは一般のWebサイトが不正アクセスを受けて仕掛けられることが多く、今回判明しているURLもそうした海外の一般サイトだ。今回は国内の偽サイトは確認されていないが、国内のWebサイトも不正アクセスを受けて偽サイトに利用される危険は常にあることに留意したい。
今回のマスターカードを装うフィッシングメールは20日までに沈静化した模様だが、何かの拍子にまた飛来するかもしれない。手元に舞い込んできたら慌てずに対処されたい。カード会社や金融機関が、口座や個人情報をたずねるメールを送ることは、絶対にない。こうした内容のメールを受け取ったら、ただちに削除するに限る。英文メールなので国内ユーザーが罠にはまる可能性は低いと思われるが、うっかりURLをクリックしたり、大切な情報を入力したりすることのないようご注意を。
(2010/06/23 ネットセキュリティニュース)
■MasterCard(マスターカード)を騙るフィッシング(2010/6/21) (フィッシング対策協議会)
https://www.antiphishing.jp/alert/alert1083.html
【関連記事:ネットセキュリティニュース】
・アラートメールにご用心~偽MSのウイルスメール、偽MasterCardのフィッシング(2010/02/22)
・4月の国内フィッシング事情:Yahoo!は小休止?/カード会社装う英文メール(2010/05/06)