JPCERT CCが運営するフィッシング対策協議会は4月30日、「三井住友VISAカード」をかたるフィッシングサイトの報告を受けたと発表した。5月1日9時時点で、フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中だという。

具体的には、「三井住友カード【重要】」という件名によるメール内の「Vpass」というリンクから偽サイトに誘導したり、「カードのご利用明細が届いております。ご確認下さい」というメールで添付のリンクをクリックさせようとしたりするもの。

同カードのインターネットサービスは「Vpass」という名称であるため、それをかたっていると思われる。

「三井住友カード」をかたるメールの例。本文がなく「Vpass」というリンクだけが書かれているメールと、VpassIDおよびパスワードの変更を促しつつ、「→Vpass情報照会・変更」というリンクをクリックさせようとするメールが確認されている

フィッシングサイトのURLとしては、以下が確認されている。

  • http://www.●●●●.com/jp/
  • http://www.smbc-card.com.●●●●.com/vp/create/create_user.html
  • http://www.smbc-card.jp-●●●●.com/vp/create/user
三井住友カードをかたるフィッシングサイトの画面

三井住友カードは、同社から顧客にメールを送信する場合、メール本文に顧客の氏名、会員向けサイト「Vpass」で登録されたハンドルネーム、または所有のカード名称を入れており、それ以外のメールを送信することはないとしている。