「三菱東京UFJ銀行」や「MUFGカード」をかたるフィッシングメールが出回っているとして、三菱東京UFJニコスやフィッシング対策協議会が注意を呼びかけている。複数ある偽サイトの一部は、24日15時現在も稼働中だ。
フィッシングは、実在する企業やサービスを装うメールやSMSなどで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などを騙し取ろうとするもの。
問題のメールは、先週末から、「【重要:必ずお読みください】」という件名で不特定多数にばらまかれている。以前から度々行われている、クレディセゾンやセディナ、JCBなどのフィッシングと同じグループの攻撃と同じ手口で、メールの差出人の表示名を「三菱東京UFJ銀行」などに偽装し、悪用されたとみられる国内大手プロバイダのメールアドレスが記載されている。
メールの内容は、「MUFGカードWEBサービスご登録確認」と称し、第三者によるアクセスがあり登録IDを暫定的に変更したのでログインして再変更するよう促すもの。これまでに何度も使われて来たお馴染みの文面だ。
誘導先には、公式サイトの「www.cr.mufg.jp」に似せた「www.cr-mufg.●●●」(●●●は6種類のトップレベルドメイン)という名前のドメイン名を複数使用しており、同社の会員サイトの登録ページを模した偽サイトを開く。同社は、複数のブランドのクレジットカードを扱っており、会員登録ページもブランド別に用意されている。偽サイトは、これらを丸ごとコピーしており、各ブランドの偽登録ページで、クレジットカード情報や個人情報などの登録情報一式を騙し取ろうとする。
偽サイトは、見た目こそ本物そっくりだが、公式サイトが「EV-SSL」という特別な証明書を使ったHTTPS接続であるのに対し、偽物はHTTPSでは接続できないという決定的な違がある。本物に表示されるはずの錠前マークや「Mitsubishi UFJ NICOS Co., Ltd.」(JCBカード選択時は「JCB Co.,Ltd」)という運営者名の表示がないので、ここを確認すれば偽サイトに騙されることはない。
(2017/04/25 ネットセキュリティニュース)
【関連URL】
・MUFG カードをかたるフィッシング (2017/04/24)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/mufgcard_20170424.html
・MUFGカードをかたるフィッシング(詐欺)メールにご注意ください!
http://www.cr.mufg.jp/member/notice/fishing/index.html