JPCERT CCが運営するフィッシング対策協議会は4月30日、「三井住友VISAカード」をかたるフィッシングサイトの報告を受けたと発表した。5月1日9時時点で、フィッシングサイトは稼働中であり、JPCERT/CC にサイト閉鎖のための調査を依頼中だという。
具体的には、「三井住友カード【重要】」という件名によるメール内の「Vpass」というリンクから偽サイトに誘導したり、「カードのご利用明細が届いております。ご確認下さい」というメールで添付のリンクをクリックさせようとしたりするもの。
同カードのインターネットサービスは「Vpass」という名称であるため、それをかたっていると思われる。
「三井住友カード」をかたるメールの例。本文がなく「Vpass」というリンクだけが書かれているメールと、VpassIDおよびパスワードの変更を促しつつ、「→Vpass情報照会・変更」というリンクをクリックさせようとするメールが確認されている |
フィッシングサイトのURLとしては、以下が確認されている。
- http://www.●●●●.com/jp/
- http://www.smbc-card.com.●●●●.com/vp/create/create_user.html
- http://www.smbc-card.jp-●●●●.com/vp/create/user
三井住友カードは、同社から顧客にメールを送信する場合、メール本文に顧客の氏名、会員向けサイト「Vpass」で登録されたハンドルネーム、または所有のカード名称を入れており、それ以外のメールを送信することはないとしている。