MUFG カードのフィッシングメールを調査
Gmail の 迷惑メール に振り分けられていたが 2019年 5月 24日付けで【 重要:必ずお読みください 】というタイトルの MUFG を騙るフィッシングメールが届いていたので 少し調べてみた。
メール本文は下記のような内容。
MUFGカードWEBサービスご登録確認
いつも MUFG カード WEB サービスをご利用いただき、ありがとうございます。
この度、MUFG カード WEB サービスに対し、第三者によるアクセスを確認いたしました。
万全を期すため、本日、お客様のご登録 ID を以下のとおり暫定的に変更させていただきました。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
http://www.xxxx-xx.xxx/xxxxxx/xx
上記 MUFG カード WEB サービス ID は弊社にて自動採番しているものですので、 弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、 大変お手数ではございますが、下記 URL からログインいただき、 任意の ID への再変更をお願いいたします。
なお、新たな ID? パスワードは、セキュリティの観点より「 8桁 」のご登録を強くおすすめいたします。
http://www.xxxx-xx.xxx/xxxxxx/xx
*他のサイトでも同じ ID をご利用の場合には、念のため異なる ID への変更をおすすめいたします。
よくある自動翻訳の文章と異なり 自然な日本語文章でもっともらしい内容になっているが「 弊社は、 」に対する述語が無いなど詰めが甘い。
はじめは URL が「 https:// 」になっていないことも疑問に感じたが、MUFG の公式サイトも ログインするカード選択ページは「 http://www.cr.mufg.jp/select/login.html 」で 保護されていなかった。
送信元は MUFG カード <takeshi-kimiya@ai.tnc.ne.jp>
ドメインを検索してみたものの該当なし。
ちなみにクレジットカード会社が個人名でメールを送ってくることはない。
宛先は “****.*****” <****.*****@jbinc.co.jp>
表示されている氏名は 名前の部分は合っているものの名字が異なっており、メールのドメインも適当で ドメインも登録がなかったので メールヘッダーを確認。
by mx.google.com with ESMTPS id ********.2019.05.24.10.07.29
for <****.****@gmail.com>
Fri, 24 May 2019 10:07:30 -0700 (PDT)
「 m-out-com 」を検索すると東京本社の「 エムアウト 」という企業がヒットするものの 無関係っぽいので、社団法人日本ネットワークインフォメーションセンター( JPNIC )で IP アドレスを検索。
社団法人日本ネットワークインフォメーションセンター(JPNIC)
送信元は東証一部の「 株式会社 TOKAI コミュニケーションズ 」。
偽装していなければ使用したメールクライアントソフトは「 Microsoft Outlook 16.0 」。
Gmail であればデカデカと「 このメールにはご注意ください 」とフィッシングメールであることを警告してくるだけでなく、リンクも削除されるので 酔狂でなければ アクセスすることはないはず。
記載されている URL を強引に開こうとすれば 今度はセキュリティソフト ( ESET Internet Security ) が反応する。
スマホの無料セキュリティアプリ Sophos Mobile Security もきっちり仕事をしている。
VirusTotal でメールに記載されていた URL を調べたところ「 Sophos 」や「 BitDefender 」など 3 件のセキュリティアプリが「 Malicious ( 悪意のある ) 」もしくは「 Phishing 」と判定。
次に「 Aguse.jp 」で調べてみたら メタタグは公式の MUFG と全く同じという手の込みよう。
IP アドレスの管理元は香港で 記載されている住所を検索すると「 HSBC ( 香港上海銀行 ) 」の住所と一致した。
記載された URL にアクセスしてみると 公式サイトとそっくり!
ただ 現在 公式サイトでは「 My JCB 」のアイコンは消えている。
本来の MUFG カードは カードブランド選択後に「 ID 」と「 パスワード 」でログインし、更に「 生年月日 」または「 電話番号 」での 認証 が必要になるのだが、詐欺サイトはログインなしにカード番号の入力フォームが表示され、URL も保護されていない「 http:// 」のままになっているものの MUFG , DC , NICOS など各ブランドのフォームデザインも同じ。
フォーム 入力後も URL が保護されていないだけで よく見かける動作をする。
ソースを見ても日本語のカタカナや漢字が使われているのだが 一部 隠しきれていなかった(笑)
「 错误信息 」とは「 エラー情報 」のことらしい。
Aguseの「 ブラックリスト判定結果 」では「 非営利団体 SPAMHAUS プロジェクトによる IP アドレスベースの送信者ブラックリスト ( https://www.spamhaus.org/sbl/ ) 」に該当。
このフィッシングメールは手当たり次第に発送されているのか MUFG カード会員宛に発送されているのかが気になるところだが、公式サイトでも注意喚起されており Gmail でもフィッシング判定されているので、普通にセキュリティ対策を行っていれば まず詐欺に合うことはないはず。
また MUFJ の場合 カードの不正利用が発覚した時点でカードは利用不能になる。

またカードが不正利用された。
MUFGの不正使用検知システムで不正利用が発覚して実害なし 昨年の12月に2年以上も前に切り替えを行った「Amazon Master クラシック」が欧州で不正利用されたのだが、今度はMUFG系のVISAカードが不正利用さ […]
関連記事

マルウェアの種類と概要
悪意のあるソフトウェア「 マルウェア 」の形態と種類について Malware ( マルウェア ) は Malicious softwere ( 悪意のあるソフトウェア ) の 混成語。 一般的に使用されている 広義での「 […]

ProtonMail インポートツールの使い方
Gmail や Outlook ほか IMAPプロトコル が利用可能なプロバイダから ProtonMail へ メールをインポート 「 ProtonMail インポート アシスタント 」 は Gmail / Yhaoo […]

ProtonMail custom domain – 独自ドメインの追加
ProtonMail で 独自ドメイン のメールを送受信する ProtonMail は「 Plus 」以上の 有料プランで 独自ドメインを追加でき 暗号化される ProtonMail のメールサーバ で 独自ドメインの […]

Synology Diskstation での Resillo Sync 利用方法
P2P タイプのファイル同期ツール Resillo Sync を Synology Diskstation で利用 Resilio Sync は BitTorrent Inc の独立企業として設立された Resilio […]

Synology Diskstation の ダイナミックDNS導入
Synology Diskstation の ダイナミックDNS 導入 と HTTPS 接続 Synology の 独自OS「 DSM 」では DDNS や SSL 証明書 の取得 が非常に 簡略化 されており 小難しい […]