MUFGカードのフィッシングメールが届いた。

スポンサーリンク
Reports-icon

MUFGカードのフィッシングメールを調査

Gmailの迷惑メールに振り分けられていたが、【重要:必ずお読みください】というタイトルで、2019年5月24日付けでMUFGを騙るフィッシングメールが届いていた。
ちなみにフィッシングメールの「フィッシング」は「釣り(Fishing)」ではなく「詐欺(Phishing)」のこと。
ある意味、釣られてしまうので「Fishing」でも問題ない気もするが、堂々と「Fishing」と言ってしまうと、ちょっと恥かしいかも。

で、クレジットカード系のフィッシングメールは初めて見たので、興味本位で少し調べてみた。



メール本文は下記のような内容。

MUFGカードWEBサービスご登録確認

いつも MUFGカードWEBサービスをご利用いただき、ありがとうございます。
この度、MUFGカードWEBサービスに対し、第三者によるアクセスを確認いたしました。
万全を期すため、本日、お客様のご登録IDを以下のとおり暫定的に変更させていただきました。
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。

http://www.xxxx-xx.xxx/xxxxxx/xx

上記MUFGカードWEBサービスIDは弊社にて自動採番しているものですので、 弊社は、インターネット上の不正行為の防止・抑制の観点からサイトとしての信頼性・正当性を高めるため、 大変お手数ではございますが、下記URLからログインいただき、 任意のIDへの再変更をお願いいたします。

なお、新たなID?パスワードは、セキュリティの観点より「8桁」のご登録を強くおすすめいたします。

http://www.xxxx-xx.xxx/xxxxxx/xx

*他のサイトでも同じIDをご利用の場合には、念のため異なるIDへの変更をおすすめいたします。

よくある自動翻訳の文章と異なり、自然な日本語文章でもっともらしい内容になっているが、「弊社は、」に対する述語が無いなど詰めが甘い。

はじめはURLが「https://」になっていないことも疑問に感じたが、MUFGのログインするカード選択ページは「http://www.cr.mufg.jp/select/login.html」で、公式サイトも保護されていなかった。

送信元は  MUFGカード <takeshi-kimiya@ai.tnc.ne.jp>

ドメインを検索してみたものの該当なし。
ちなみにクレジットカード会社が個人名でメールを送ってくることはない。

宛先は “****.*****” <****.*****@jbinc.co.jp>

表示されている氏名は、名前の部分は合っているものの名字が異なっており、メールのドメインも適当で、このドメインも登録は無し。

そこでメールヘッダーを確認。

Received: from m-out-com.basmail.jp (m-out-com.basmail.jp. [2403:7800:5021::57])
by mx.google.com with ESMTPS id ********.2019.05.24.10.07.29
for <****.****@gmail.com>
Fri, 24 May 2019 10:07:30 -0700 (PDT)

「m-out-com」を検索すると東京本社の「エムアウト」という企業がヒットするものの無関係っぽいので、社団法人日本ネットワークインフォメーションセンター(JPNIC)でIPアドレスを検索。

社団法人日本ネットワークインフォメーションセンター(JPNIC)link

mufj-phishing001

送信元は東証一部の「株式会社TOKAIコミュニケーションズ」。

偽装していなければ使用したメールクライアントソフトは「Microsoft Outlook 16.0」。

mufj-phishing006

Gmailであればデカデカと「このメールにはご注意ください」とフィッシングメールであることを警告してくるだけでなく、リンクも削除されるので、酔狂でなければアクセスすることはないはず。

mufj-phishing003

記載されているURLを強引に開こうとすれば、今度はセキュリティソフト(ESET Internet Security)が反応する。

mufj-phishing005

スマホの無料セキュリティアプリ Sophos Mobile Securityもきっちり仕事をしている。

mufj-phishing007

VirusTotalでメールに記載されていたURLを調べたところ「Sophos」や「BitDefender」など3件のセキュリティアプリが「Malicious(悪意のある)」もしくは「Phishing」と判定。

mufj-phishing008

次に「Aguse.jp」で調べてみたら、メタタグは公式のMUFGと全く同じという手の込みよう。

mufj-phishing013

IPアドレスの管理元は香港で、記載されている住所を検索すると「HSBC(香港上海銀行)」の住所と一致した。

mufj-phishing010

記載されたURLにアクセスしてみると、公式サイトとそっくり!
ただ、現在公式サイトでは「My JCB」のアイコンは消えている。

mufj-phishing011

本来のMUFGカードは、カードブランド選択後に「ID」と「パスワード」でログインし、更に「生年月日」または「電話番号」での認証が必要になるのだが、さすがに詐欺サイトはログインなしにカード番号の入力フォームが表示され、URLも保護されていない「http://」のままになっているものの、MUFG、DC、NICOSなど各ブランドのフォームデザインも同じ。

mufj-phishing016

フォーム入力後もURLが保護されていないだけで、よく見かける動作をする。

mufj-phishing012

ソースを見ても日本語のカタカナや漢字が使われているのだが、隠しきれていなかった(笑)
「错误信息」とは「エラー情報」のことらしい。

mufj-phishing014

Aguseの「ブラックリスト判定結果」では「非営利団体SPAMHAUSプロジェクトによるIPアドレスベースの送信者ブラックリスト(https://www.spamhaus.org/sbl/)」に該当。

このフィッシングメールは手当たり次第に発送されているのか、MUFGカード会員宛に発送されているのかが気になるところだが、公式サイトでも注意喚起されており、Gmailでもフィッシング判定されているので、普通にセキュリティ対策を行っていれば、まず詐欺に合うことはないはず。

またMUFJの場合、カードの不正利用が発覚した時点でカードは利用不能になる。

Reports-icon

またカードが不正利用された。

MUFGの不正使用検知システムで不正利用が発覚して実害なし 昨年の12月に2年以上も前に切り替えを行った「Amazon Master クラシック」が欧州で不正利用されたのだが、今度はMUFG系のVISAカードが不正利用さ […]





関連記事

googlecalendar-icon

Telework Mgt with Google Calendar – Googleカレンダーでテレワーク管理

即席テレワークに活用できる Googleカレンダーの共有機能 テレワークは 特定の仕事場にとらわれない働き方を指す造語で、在宅勤務とほぼ同義になっている。 通勤で疲弊しているサラリーマンにとって「 在宅勤務 」は 憧れの […]

Reports-icon

Make an Earthenware – ヤコ オーブン陶土で土器を制作

オーブンで焼成が可能な ヤコのオーブン陶土を使ってオリジナルのウォーターディッシュを作成 以前からオカヤドカリ用に 海水と真水を同時に入れることができる 半分に区切った水入れを探しているのだが、なかなか市販で手頃なものが […]

Reports-icon

Synology Diskstation DS218J – 多機能NASの活用法

メディアサーバやクラウドストレージ一元管理の設定方法 Synology Diskstation は 分かりやすい Synology 独自の OS 「 Synology DiskStation Manager (DSM)  […]

Reports-icon

Synology Diskstation DS218 – NASのセットアップ

多機能 NAS Synology Diskstation DS218 J のセットアップ NAS (Network Attached Storage)は 外付けHDD のような感覚で使用できる ネットワーク HDD で、 […]

Reports-icon

UHD Friendly ドライブとファームウェア ダウングレード方法

UHD Blu-rayのリッピング時に必須のBDドライブ UHD Blu-ray ディスクをパソコンで視聴するには、UHD BDで採用されている保護技術AACS2.0によって、CPUやMBのオンボードグラフィックが「 I […]