「MUFGカード」や「三菱東京UFJ銀行」をかたるフィッシングメールが、15日の夜から出回っており、三菱東京UFJニコスがホームページに「緊急のお知らせ」を掲載し注意を呼びかけている。
フィッシングは、実在する企業やサービスを装うメールやSMSなどで偽のWebサイトに誘導し、アカウント情報やクレジットカード情報などを騙し取ろうとするもの。問題のメールは、「【重要:必ずお読みください】」という件名で15日金曜日の夜から連日不特定多数にばらまかれており、ネット上では、今朝届いたというメールも報告されている。
メールの内容は、「MUFGカードWEBサービスご登録確認」と称し、第三者によるアクセスがあり登録IDを暫定的に変更したのでログインして再変更するよう促すもの。クレディセゾンやセディナ、JCBなどのフィッシングで幾度となく使われてきた文面で、今年4月から6月にかけて行われたMUFGカードをかたるフィッシングの大半もこの文面だった。
メールの差出人は、表示名を「MUFGカード」や「三菱東京UFJ銀行」に偽装しているが、メールアドレスは偽装しておらず、国内大手プロバイダなどのものが記載されている。メールアドレスを確認すれば、偽物であることがすぐに分かる。
メールのリンクは偽装しておらず、誘導先のURLがそのまま記載されている。公式サイトの「www.cr.mufg.jp」に似せた「www.cr-mufg」や「www.mufg-jp」などの文字列と、「.top」や「.xyz」などのトップレベルドメインを組み合わせた紛らわしいURLが使われているが、不自然な日本語ともども、注意すれば怪しいことに気付くだろう。編集部がこの4日間で確認した誘導先のURLは、17種類。18日14時現在、9件はアクセスできなくなったが、8件がまだ有効なので、クリックしないよう注意していただきたい。
同社は、複数のブランドのクレジットカードを扱っており、ブランド別の複数の会員登録ページが用意されている。偽サイトは、これらを丸ごとコピーしており、各ブランドの偽登録ページで、クレジットカード情報や個人情報などの登録情報一式を騙し取ろうとする。偽サイトは、見た目こそ本物そっくりだが、公式サイトがEV証明書という特別なサーバ証明書を使ったHTTPS接続であるのに対し、偽物はHTTPSでは接続できないという決定的な違がある。本物に表示されるはずの錠前マークや「Mitsubishi UFJ NICOS Co., Ltd.」(JCBカードの場合は「JCB Co.,Ltd」)という運営者名の表示がないので、ここを確認すれば偽サイトに騙されることはない。
このグループは、企業が休みに入る週末を狙った攻撃が多く、たいてい月曜日までに攻撃を終える。今回のフィッシングは、今朝のメールでいったん休止すると思われるが、今春と同様に断続的に行われるかもしれないので警戒していただきたい。
(2017/12/19 ネットセキュリティニュース)
【関連URL】
・緊急のお知らせ(三菱UFJニコス)
http://www.cr.mufg.jp/
・MUFGカードをかたるフィッシング(詐欺)メールにご注意ください!(三菱UFJニコス)
http://www.cr.mufg.jp/member/notice/fishing/index.html
・MUFG カードをかたるフィッシング (2017/12/18)(フィッシング対策協議会)
https://www.antiphishing.jp/news/alert/mufgcard_20171218.html
【関連記事:ネットセキュリティニュース】
・クレカ会員サービスの登録確認を装うフィッシングに注意(2017/04/25)
・クレカ利用者を狙うフィッシングに注意、登録確認かたるメール出回る(2017/06/12)