おたくま経済新聞

ネットでの話題を中心に、商品レビューや独自コラム、取材記事など幅広く配信中!

【調査】三井住友カード「Vpass」をかたる偽サイトに潜入 何がおきるのか?

 三井住友カード会員が利用できるサービス「Vpass」。オンライン上で、カードの利用状況や、「Tポイント」と4月22日に統合したばかりの「新Vポイント」の情報を見ることが可能です。

 そんな「Vpass」利用者をターゲットにした「フィッシング詐欺」が近ごろかなり出回っており、SNS上でも被害の報告がいくつもあげられています。ということで、今回は「Vpass」をかたるフィッシング詐欺に釣られるとどうなるか試してみました。

  • ■ 届いた怪しげなメール

     フィッシング詐欺とは、個人情報(カード情報、銀行口座情報など)をだまし取ることが目的の詐欺です。昨今流行しているのが、大手企業をかたるもの。

     流れとしては、大手企業名義でフィッシングメールを不特定多数に送りつけ、フィッシングサイト(偽サイト)へと誘導。そこでだまされた人に対して、個人情報を入力するよう仕向けて、情報を盗み取る、という手口です。

     編集部では過去に、イオンカード、Amazon、メルカリ、ETCなどをかたったフィッシングサイトも調査して紹介していますが、流れは全て共通していました。

     今回の偽Vpassへの入り口も例に漏れず、フィッシングメールから。メールタイトルは「【 三井住友カード 】決済完了のお知らせ」となっていました。

    偽三井住友カードから届いたメール

     筆者も届いてすぐは、はて、何が決済されたのかな?と思いましたが、そもそも「三井住友カード」を持っていないので、すぐにこれが「フィッシングメール」であることに気づけました。ただ、本当の三井住友カード会員なら、「え!勝手に使われた!」なんて驚いて、すぐにVpassにて利用明細を確認しようとするかもしれません。

     ちなみに決済場所として記されていた店舗は、静岡県某所に実在する「ヤマダデンキ○○店(○は編集部で伏せました)」で、利用金額は13,860円。さらに……

    「カードを使用した覚えがない場合は、以下 の リ ン ク をクリ ッ ク し てカ ー ド使用の詳細を確認してください。」

    (文字間のスペースはあえてそのままにしています)

     との記載があり、それっぽいことを記載して、リンクを踏ませようと仕掛けています。しかもメール自体がHTMLなので、メール上ではリンクされているURLが正しいものか、怪しいものかはパッと見判断つきません。詳しい方なら調べることも可能ですが、一般の方ならすぐに信じてしまうかも。これは……SNSで話題になっているとおり、ひっかかる人はかなり多そう。

    ■ ログインしてみる

     次から、フィッシングサイトに実際に潜入して手口を紹介していきます。まずはメールに書かれたリンクをクリック……。 

    ※普通にクリックしていますが、本来この行為は危険が伴いますので絶対に真似しないでください。今回はあくまで調査目的で行っています。

     その後の遷移先では、偽Vpassのログイン画面が出てきました。作りはかなり精巧で、三井住友のロゴなどがそのまま使われています。偽だと気づいていない方なら、この先ずんずん進んでしまいそう。

    偽Vpassのログイン画面

     さて、今回はというと……そもそもアカウントを持っていないので、何を入れたらいいのか?空白でログインしようとすると弾かれました。

    空白でログインしようとすると弾かれた

     とりあえずダミー情報を入力すると……無事通過。

    ■ カード情報を入れてみる

     ログインすると出てきたのは、まさかの「スマホ非対応」のサイト。画面がはみ出してしまっています。このご時世スマホに対応していないとはお粗末ですね。

    まさかの「スマホ非対応」のサイト

     ただ、ログイン画面はしっかりスマホ対応されていたので、もしかすると本当の目的はログイン時にVpassの「ユーザ名」「パスワード」を盗むことなのかもしれません。

     スマホ不対応の画面からだと調査もすすめにくいので、再度PCで画面を開いてみました。ここからはカード情報を入れさせて、盗んでいくようです。

    カード番号を入れてみる

     近ごろのフィッシングサイトでは、わりとイタズラ対策がほどこされています。「1111」などの適当な番号は弾かれることがほとんど。ここもカード情報をしっかり入れないと通らない可能性があるので、特殊な「テスト番号」を使って検証していきます。

    個人情報をいれていく

     なお、空白で通ろうとすると弾かれました。ヌルチェック(空白チェック)がかなりしっかりしている。そこまでちゃんとするなら、スマホ対応もすれば良いと思うけど、そうすることで被害が増えるなら、そのままでいいのかもしれません。

     話を戻します。テスト番号と潜入用ダミー情報を全て入力。その先に進もうとしたところ……テスト番号は通らず。何をやってもその先に進みません。テスト用番号が通るパターンの「フィッシングサイト」もありますが、今回は通りませんでした。

    カード番号を入れるもエラー

     テスト番号は一般に広く公開されているので、もしかするとフィッシングサイト側で対策しているのかもしれませんが、可能性はもう一つあります。

     「カード番号を何回(何種類)も入力させるため」

     1~2度同じカード番号が弾かれてしまうと、人によっては別のカードを試して通ろうとするでしょう。その心理を狙った可能性があります。詐欺師側としては1度で複数のカード情報がだまし取れるわけです。

    カード番号の入力項目

     この、次々と番号を盗み取っていく「無限カード番号収集パターン」は、近ごろのフィッシングサイトで増えている手口です。以前は、テスト番号を入力すると、わりとすんなり完了画面まで行き着くことができました。

     それがここ最近だと3回ほどエラーを繰り返した後、本物のサイトに飛ばすパターンや、永遠エラーだけ出し続けるパターンを確認しています。

    ■ 本物のサイト

     最後に本物のサイト(左)と、偽サイト(右)を並べて紹介します。

    本物のVpassログイン画面

     パッと見、違いはそんなに感じませんが、よくよくみるとヘッダーにアプリバナーがあったり、右側にチャットのアイコンがあったりと、異なる点が多々あります。しかしながら、普段そんなにVpassサイトを使わない人にとっては、違いに気づきづらいかもしれません。

    ■ 続々登場するフィッシング詐欺の手口

     フィッシング対策協議会が行った2024年4月の「フィッシング報告」によると、4月のフィッシングサイトのURL件数(重複なし)は、この一年で最も多かった3月よりも減少しているものの、それでも39,863件も確認されているそうです。それだけの数のフィッシングサイトがこの世に存在しているなんて、もはやテロ。

    4月のフィッシングサイトのURL件数(重複なし)

     今後もこの手のフィッシング詐欺は続々と登場していくことが予想されます。特に今回のVpassに関連した「新Vポイント」のように、新しいサービスが始まったタイミングは特に狙われやすく、危険が高まるので要注意。

     少しでも「あやしいな」と感じることがあれば、リンクから確認しようとせずに、直接自分でサイトを調べてから、確認することをオススメします。

    <参考・引用>
    フィッシング対策協議会 2024年4月月次報告
    三井住友カード「弊社を装った不審なメールやSMSにご注意ください」

    (たまちゃん)

    あわせて読みたい関連記事
  • 警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠
    インターネット, サービス・テクノロジー

    警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠

  • 怪しい電話を意図せず撃退してしまう?黒電話ユーザーの詐欺対応が話題
    インターネット, おもしろ

    怪しい電話を意図せず撃退してしまう?黒電話ユーザーの詐欺対応が話題

  • 「ふくぎょうのおしごと!」既視感満載の怪しい広告が勧めてくる“副業”とは?
    インターネット, 社会・物議

    「ふくぎょうのおしごと!」既視感満載の怪しい広告が勧めてくる“副業”とは?

  • 偽ファッション広告
    インターネット, 社会・物議

    偽ファッション広告がGoogle広告に大量出現 サポート詐欺被害に注意

  • ちょ、まてよ。それ何のドラマだよ!「勇者」出演の偽キムタクとLINEで対峙した一部始終
    インターネット, 社会・物議

    ちょ、まてよ。それ何のドラマだよ!「勇者」出演の偽キムタクとLINEで対峙した一…

  • PayPayカードを装うフィッシングメールに注意 他社サービスと連携させる手口が確認される
    インターネット, 社会・物議

    PayPayカードを装うフィッシングメールに注意 他社サービスと連携させる手口が…

  • 声優・かないみか、SNSの乗っ取り被害を報告「DMに返信しないで」
    アニメ/マンガ, 声優

    声優・かないみか、SNSの乗っ取り被害を報告「DMに返信しないで」

  • 偽公式からの当選通知を追跡!行き着いたのは「能登半島応援」を騙る悪質詐欺
    インターネット, 社会・物議

    偽公式からの当選通知を追跡!行き着いたのは「能登半島応援」を騙る悪質詐欺

  • AIで生成されたフェイク動画
    インターネット, 社会・物議

    一瞬本物かと……有名人の顔と声までAIで再現!進化する投資詐欺の実態とは

  • “ネット詐欺のベストアルバム”に遭遇!「○○プレゼント」詐欺体験レポート
    インターネット, 社会・物議

    “ネット詐欺のベストアルバム”に遭遇!「○○プレゼント」詐欺体験レポート

  • たまちゃんWriter

    記事一覧

    元秒刊SUNDAYライター。炎上ネタからグルメネタまで得意とするも、現編集部(おたくま)では炎上ネタは封印。おだやかに書いております。静岡県浜松市在住です。

    ▼こちらのライターの最新記事▼

  • 警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠
    インターネット, サービス・テクノロジー

    警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠

  • マクドナルド非公認レシピ「改造てりたま」
    グルメ, 作ってみた

    マクドナルド非公認レシピ!夏のてりたま欲を満たす「改造てりたま」を作ってみた

  • LINEの画面って拡大できないの?タイトル画像
    インターネット, サービス・テクノロジー

    ピンチ操作が効かないLINE画面も拡大!iPhoneの隠れ便利機能「ズーム」活用…

  • AIで生成されたフェイク動画
    インターネット, 社会・物議

    一瞬本物かと……有名人の顔と声までAIで再現!進化する投資詐欺の実態とは

  • “ネット詐欺のベストアルバム”に遭遇!「○○プレゼント」詐欺体験レポート
    インターネット, 社会・物議

    “ネット詐欺のベストアルバム”に遭遇!「○○プレゼント」詐欺体験レポート

  • フッション系と思わせるサポート詐欺サイト
    インターネット, 社会・物議

    ファッション広告のフリをした罠 ますます巧妙化する“サポート詐欺”

  • トピックス

    1. うまトマバジルチキン定食

      松屋がパスタ定食始めた!? 44店舗限定「うまトマバジルチキン」実食

      松屋は10月14日から、うまトマソースでパスタが楽しめる「うまトマバジルチキンプレート」を全国44店…
    2. その場の“昔”を撮る レンズのない「思い出カメラ」に感じる未来の風

      その場の“昔”を撮る レンズのない「思い出カメラ」に感じる未来の風

      レンズがないのに写真が撮影できる、そんな不思議なカメラ「思い出カメラ」がXで話題です。発明家の堀洋祐…
    3. 【実食】コメダ珈琲店の「ドデカメンチバーガー」は名前に偽りなし バンズからはみ出す“肉の暴力”

      【実食】コメダ珈琲店の「ドデカメンチバーガー」は名前に偽りなし バンズからはみ出す“肉の暴力”

      コメダ珈琲店は10月16日から「ドデカメンチバーガー」と「ドデカチーズメンチバーガー」の2種類のバー…

    編集部おすすめ

    1. ChatGPTが“全年齢対応AI”を卒業? アルトマン氏が語った「成人向けエロティカ解禁」方針

      ChatGPTが“全年齢対応AI”を卒業? アルトマン氏が語った「成人向けエロティカ解禁」方針

      米OpenAIのCEO、サム・アルトマン(Sam Altman)氏が10月15日と16日に自身のX(旧Twitter)で投稿した内容が、世界…
    2. ガンホー「ケリ姫スイーツ」2026年1月末に終了 2012年配信開始から13年

      ガンホー「ケリ姫スイーツ」2026年1月末に終了 2012年配信開始から13年

      ガンホー・オンライン・エンターテイメントは10月16日、スマートフォン向けアクションパズルゲーム「ケリ姫スイーツ」のサービスを、2026年1…
    3. 鳥羽水族館、ラッコ配信で“飼育係モザイク化” カスハラ対策で映像方法変更

      鳥羽水族館、ラッコ配信で“飼育係モザイク化” カスハラ対策で映像方法変更

      三重県の鳥羽水族館は10月15日、人気配信「鳥羽水族館ラッコ水槽ライブカメラ」の映像内容を一部変更すると発表しました。今後は、給餌の際などに…
    4. 毛玉とるとる Pro(KC-NW825)

      ストッキングやタイツも可の毛玉取り器誕生 マクセルイズミ「毛玉とるとる Pro」を発売

      マクセルイズミ株式会社は、ストッキングやタイツなどの繊細な衣類にも対応する毛玉取り器の新モデル、「毛玉とるとる Pro(KC-NW825)」…
    5. キヤノンの名機が「ガシャポン」で復活 歴代カメラ5種を精密ミニチュア化

      キヤノンの名機が「ガシャポン」で復活 歴代カメラ5種を精密ミニチュア化

      キヤノンが、バンダイの「ガシャポン」とコラボレーション。歴代のカメラとレンズをミニチュア化した「Canon ミニチュアカメラコレクション」を…
    Xバナー facebookバナー ネット詐欺特集バナー

    提携メディア

    Yahoo!JAPAN ミクシィ エキサイトニュース ニフティニュース infoseekニュース ライブドア LINEニュース ニコニコニュース Googleニュース スマートニュース グノシー ニュースパス dメニューニュース Apple ポッドキャスト Amazon アレクサ Amazon Music spotify・ポッドキャスト