三井住友カードは28日、同社をかたる不審なメールが、同社の会員を含む不特定のユーザーに送られているとして、注意を呼び掛けた。メールのリンクをクリックすると偽のサイトに誘導され、クレジットカード情報などをだまし取られるおれがある。
同社の発表文では、「三井住友カード【重要】」などの件名で届く3種類の事例を紹介しており、編集部では、この中の「事例1」と見られるものを確認している。
このフィッシングメールの内容は、下記の「ネットショッピング認証サービス」の「重要なお知らせ」の文面をそのままコピーしたもので、「Vpass情報照会・変更」のリンクをクリックすると、クラックされたと見られる一般サイトを経由して、同社の会員サイト「Vpass」の偽サイトへと誘導される。中継サイト偽サイトともに、30日午後2時現在も稼働中だ。
偽サイトは、「Vpass」の会員登録ページを元に本物そっくりに作られており、クレジットカード情報やメールアドレス、パスワードなどの登録情報を全て入力させようとする。偽サイトのURLには、「スクウェア・エニックス」や「三菱東京UFJ銀行」などと同じように、本物のURLを織り交ぜた紛らわしいものを使用しているので、うっかりしていると騙されてしまうかもしれないので注意したい(今回使われているドメインはjp-ibg.com)。
本物のサイトはEV SSLに対応しているので、アドレスバーのURLは「https://」で始まり、横に錠前マークと「Sumitomo Mitsui Card Company , Limited」という会社名が表示される。見た目をいくら似せても、この部分は偽サイトに真似のできない点なので、ここをチェックすれば騙されることはない。
なお、今回のフィッシングでは、メールに記載したURLに送付先のメールアドレスが付加されている。不用意にアクセスすると、攻撃者に送付先を把握されるおそれがあるので注意していただきたい。
(2014/04/30 ネットセキュリティニュース)
【関連URL】
・「三井住友カード」を名乗る不審なメールにご注意ください(三井住友カード)
https://www.smbc-card.com/mem/cardinfo/cardinfo8090411.jsp
・ネットショッピング認証サービス「重要なお知らせ」
https://www.smbc-card.com/mem/service/sec/secure01.jsp