MUFG カードのフィッシングメールを調査
Gmail の 迷惑メール に振り分けられていたが 2019年 5月24日付けで【 重要:必ずお読みください 】というタイトルの MUFG を騙るフィッシングメールが届いていた。
ある意味 釣られてしまうので「 Fishing 」でも問題ない気もするが 堂々と「 Fishing 」と言ってしまうと ちょっと恥かしいかも。
で、クレジットカード系のフィッシングメールは初めて見たので 興味本位で少し調べてみた。
メール本文は下記のような内容。
この度、MUFG カード WEB サービスに対し、第三者によるアクセスを確認いたしました。
万全を期すため、本日、お客様のご登録 ID を以下のとおり暫定的に変更させていただきました。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
http://www.xxxx-xx.xxx/xxxxxx/xx
上記 MUFG カード WEB サービス ID は弊社にて自動採番しているものですので、 弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、 大変お手数ではございますが、下記 URL からログインいただき、 任意の ID への再変更をお願いいたします。
なお、新たな ID? パスワードは、セキュリティの観点より「 8桁 」のご登録を強くおすすめいたします。
http://www.xxxx-xx.xxx/xxxxxx/xx
*他のサイトでも同じ ID をご利用の場合には、念のため異なる ID への変更をおすすめいたします。
よくある自動翻訳の文章と異なり 自然な日本語文章でもっともらしい内容になっているが「 弊社は、 」に対する述語が無いなど詰めが甘い。
はじめは URL が「 https:// 」になっていないことも疑問に感じたが、MUFG の公式サイトも ログインするカード選択ページは「 http://www.cr.mufg.jp/select/login.html 」で 保護されていなかった。
送信元は MUFG カード <takeshi-kimiya@ai.tnc.ne.jp>
ドメインを検索してみたものの該当なし。
ちなみにクレジットカード会社が個人名でメールを送ってくることはない。
宛先は “****.*****” <****.*****@jbinc.co.jp>
表示されている氏名は 名前の部分は合っているものの名字が異なっており、メールのドメインも適当で ドメインも登録がなかったので メールヘッダーを確認。
by mx.google.com with ESMTPS id ********.2019.05.24.10.07.29
for <****.****@gmail.com>
Fri, 24 May 2019 10:07:30 -0700 (PDT)
「 m-out-com 」を検索すると東京本社の「 エムアウト 」という企業がヒットするものの 無関係っぽいので、社団法人日本ネットワークインフォメーションセンター( JPNIC )で IP アドレスを検索。
社団法人日本ネットワークインフォメーションセンター(JPNIC)
送信元は東証一部の「 株式会社 TOKAI コミュニケーションズ 」。
偽装していなければ使用したメールクライアントソフトは「 Microsoft Outlook 16.0 」。
Gmail であればデカデカと「 このメールにはご注意ください 」とフィッシングメールであることを警告してくるだけでなく、リンクも削除されるので 酔狂でなければ アクセスすることはないはず。
記載されている URL を強引に開こうとすれば 今度はセキュリティソフト ( ESET Internet Security ) が反応する。
スマホの無料セキュリティアプリ Sophos Mobile Security もきっちり仕事をしている。
VirusTotal でメールに記載されていた URL を調べたところ「 Sophos 」や「 BitDefender 」など 3 件のセキュリティアプリが「 Malicious ( 悪意のある ) 」もしくは「 Phishing 」と判定。
次に「 Aguse.jp 」で調べてみたら メタタグは公式の MUFG と全く同じという手の込みよう。
IP アドレスの管理元は香港で 記載されている住所を検索すると「 HSBC ( 香港上海銀行 ) 」の住所と一致した。
記載された URL にアクセスしてみると 公式サイトとそっくり!
ただ 現在 公式サイトでは「 My JCB 」のアイコンは消えている。
本来の MUFG カードは カードブランド選択後に「 ID 」と「 パスワード 」でログインし、更に「 生年月日 」または「 電話番号 」での 認証 が必要になるのだが、詐欺サイトはログインなしにカード番号の入力フォームが表示され、URL も保護されていない「 http:// 」のままになっているものの MUFG , DC , NICOS など各ブランドのフォームデザインも同じ。
フォーム 入力後も URL が保護されていないだけで よく見かける動作をする。
ソースを見ても日本語のカタカナや漢字が使われているのだが 一部 隠しきれていなかった(笑)
「 错误信息 」とは「 エラー情報 」のことらしい。
Aguseの「 ブラックリスト判定結果 」では「 非営利団体 SPAMHAUS プロジェクトによる IP アドレスベースの送信者ブラックリスト ( https://www.spamhaus.org/sbl/ ) 」に該当。
このフィッシングメールは手当たり次第に発送されているのか MUFG カード会員宛に発送されているのかが気になるところだが、公式サイトでも注意喚起されており Gmail でもフィッシング判定されているので、普通にセキュリティ対策を行っていれば まず詐欺に合うことはないはず。
また MUFJ の場合 カードの不正利用が発覚した時点でカードは利用不能になる。
またカードが不正利用された。
MUFGの不正使用検知システムで不正利用が発覚して実害なし 昨年の12月に2年以上も前に切り替えを行った「Amazon Master クラシック」が欧州で不正利用されたのだが、今度はMUFG系のVISAカードが不正利用さ […]
関連記事
2Checkout Payment service の決済方法と定期購読の停止
グローバル決済サービス 2Checkout での決済とサブスクリプション ( 定期購読 ) の停止方法 2Checkout は 海外アプリの決済サービスで多く使用されている eコマース 全般のシステムを提供しているグルー […]
Telework Mgt with Google Calendar – Googleカレンダーでテレワーク管理
即席テレワークに活用できる Googleカレンダーの共有機能 テレワークは 特定の仕事場にとらわれない働き方を指す造語で、在宅勤務とほぼ同義になっている。 通勤で疲弊しているサラリーマンにとって「 在宅勤務 」は 憧れの […]
ヤコ オーブン陶土で土器を制作
オーブンで焼成が可能な ヤコのオーブン陶土を使ってオリジナルのウォーターディッシュを作成 オカヤドカリ用 に 海水と真水を同時に入れることができる 半分に区切った水入れを探しているのだが、なかなか市販で手頃なものがなく「 […]
Essential Phone – ハイエンドモデル Essential Phoneの沿革
流星のごとく現れて 消えていった ハイエンド Androidスマホ Essential Phone のまとめ Essential Phone は Android の生みの親 とされる Andy Rubin 氏が 2017 […]
Synology Diskstation DS218J – 多機能NASの活用法
メディアサーバやクラウドストレージ一元管理の設定方法 Synology Diskstation は 分かりやすい Synology 独自の OS 「 Synology DiskStation Manager (DSM) […]