おたくま経済新聞

ネットでの話題を中心に、商品レビューや独自コラム、取材記事など幅広く配信中!

【調査】三井住友カード「Vpass」をかたる偽サイトに潜入 何がおきるのか?

 三井住友カード会員が利用できるサービス「Vpass」。オンライン上で、カードの利用状況や、「Tポイント」と4月22日に統合したばかりの「新Vポイント」の情報を見ることが可能です。

 そんな「Vpass」利用者をターゲットにした「フィッシング詐欺」が近ごろかなり出回っており、SNS上でも被害の報告がいくつもあげられています。ということで、今回は「Vpass」をかたるフィッシング詐欺に釣られるとどうなるか試してみました。

  • ■ 届いた怪しげなメール

     フィッシング詐欺とは、個人情報(カード情報、銀行口座情報など)をだまし取ることが目的の詐欺です。昨今流行しているのが、大手企業をかたるもの。

     流れとしては、大手企業名義でフィッシングメールを不特定多数に送りつけ、フィッシングサイト(偽サイト)へと誘導。そこでだまされた人に対して、個人情報を入力するよう仕向けて、情報を盗み取る、という手口です。

     編集部では過去に、イオンカード、Amazon、メルカリ、ETCなどをかたったフィッシングサイトも調査して紹介していますが、流れは全て共通していました。

     今回の偽Vpassへの入り口も例に漏れず、フィッシングメールから。メールタイトルは「【 三井住友カード 】決済完了のお知らせ」となっていました。

    偽三井住友カードから届いたメール

     筆者も届いてすぐは、はて、何が決済されたのかな?と思いましたが、そもそも「三井住友カード」を持っていないので、すぐにこれが「フィッシングメール」であることに気づけました。ただ、本当の三井住友カード会員なら、「え!勝手に使われた!」なんて驚いて、すぐにVpassにて利用明細を確認しようとするかもしれません。

     ちなみに決済場所として記されていた店舗は、静岡県某所に実在する「ヤマダデンキ○○店(○は編集部で伏せました)」で、利用金額は13,860円。さらに……

    「カードを使用した覚えがない場合は、以下 の リ ン ク をクリ ッ ク し てカ ー ド使用の詳細を確認してください。」

    (文字間のスペースはあえてそのままにしています)

     との記載があり、それっぽいことを記載して、リンクを踏ませようと仕掛けています。しかもメール自体がHTMLなので、メール上ではリンクされているURLが正しいものか、怪しいものかはパッと見判断つきません。詳しい方なら調べることも可能ですが、一般の方ならすぐに信じてしまうかも。これは……SNSで話題になっているとおり、ひっかかる人はかなり多そう。

    ■ ログインしてみる

     次から、フィッシングサイトに実際に潜入して手口を紹介していきます。まずはメールに書かれたリンクをクリック……。 

    ※普通にクリックしていますが、本来この行為は危険が伴いますので絶対に真似しないでください。今回はあくまで調査目的で行っています。

     その後の遷移先では、偽Vpassのログイン画面が出てきました。作りはかなり精巧で、三井住友のロゴなどがそのまま使われています。偽だと気づいていない方なら、この先ずんずん進んでしまいそう。

    偽Vpassのログイン画面

     さて、今回はというと……そもそもアカウントを持っていないので、何を入れたらいいのか?空白でログインしようとすると弾かれました。

    空白でログインしようとすると弾かれた

     とりあえずダミー情報を入力すると……無事通過。

    ■ カード情報を入れてみる

     ログインすると出てきたのは、まさかの「スマホ非対応」のサイト。画面がはみ出してしまっています。このご時世スマホに対応していないとはお粗末ですね。

    まさかの「スマホ非対応」のサイト

     ただ、ログイン画面はしっかりスマホ対応されていたので、もしかすると本当の目的はログイン時にVpassの「ユーザ名」「パスワード」を盗むことなのかもしれません。

     スマホ不対応の画面からだと調査もすすめにくいので、再度PCで画面を開いてみました。ここからはカード情報を入れさせて、盗んでいくようです。

    カード番号を入れてみる

     近ごろのフィッシングサイトでは、わりとイタズラ対策がほどこされています。「1111」などの適当な番号は弾かれることがほとんど。ここもカード情報をしっかり入れないと通らない可能性があるので、特殊な「テスト番号」を使って検証していきます。

    個人情報をいれていく

     なお、空白で通ろうとすると弾かれました。ヌルチェック(空白チェック)がかなりしっかりしている。そこまでちゃんとするなら、スマホ対応もすれば良いと思うけど、そうすることで被害が増えるなら、そのままでいいのかもしれません。

     話を戻します。テスト番号と潜入用ダミー情報を全て入力。その先に進もうとしたところ……テスト番号は通らず。何をやってもその先に進みません。テスト用番号が通るパターンの「フィッシングサイト」もありますが、今回は通りませんでした。

    カード番号を入れるもエラー

     テスト番号は一般に広く公開されているので、もしかするとフィッシングサイト側で対策しているのかもしれませんが、可能性はもう一つあります。

     「カード番号を何回(何種類)も入力させるため」

     1~2度同じカード番号が弾かれてしまうと、人によっては別のカードを試して通ろうとするでしょう。その心理を狙った可能性があります。詐欺師側としては1度で複数のカード情報がだまし取れるわけです。

    カード番号の入力項目

     この、次々と番号を盗み取っていく「無限カード番号収集パターン」は、近ごろのフィッシングサイトで増えている手口です。以前は、テスト番号を入力すると、わりとすんなり完了画面まで行き着くことができました。

     それがここ最近だと3回ほどエラーを繰り返した後、本物のサイトに飛ばすパターンや、永遠エラーだけ出し続けるパターンを確認しています。

    ■ 本物のサイト

     最後に本物のサイト(左)と、偽サイト(右)を並べて紹介します。

    本物のVpassログイン画面

     パッと見、違いはそんなに感じませんが、よくよくみるとヘッダーにアプリバナーがあったり、右側にチャットのアイコンがあったりと、異なる点が多々あります。しかしながら、普段そんなにVpassサイトを使わない人にとっては、違いに気づきづらいかもしれません。

    ■ 続々登場するフィッシング詐欺の手口

     フィッシング対策協議会が行った2024年4月の「フィッシング報告」によると、4月のフィッシングサイトのURL件数(重複なし)は、この一年で最も多かった3月よりも減少しているものの、それでも39,863件も確認されているそうです。それだけの数のフィッシングサイトがこの世に存在しているなんて、もはやテロ。

    4月のフィッシングサイトのURL件数(重複なし)

     今後もこの手のフィッシング詐欺は続々と登場していくことが予想されます。特に今回のVpassに関連した「新Vポイント」のように、新しいサービスが始まったタイミングは特に狙われやすく、危険が高まるので要注意。

     少しでも「あやしいな」と感じることがあれば、リンクから確認しようとせずに、直接自分でサイトを調べてから、確認することをオススメします。

    <参考・引用>
    フィッシング対策協議会 2024年4月月次報告
    三井住友カード「弊社を装った不審なメールやSMSにご注意ください」

    (たまちゃん)

    あわせて読みたい関連記事
  • 警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠
    インターネット, サービス・テクノロジー

    警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠

  • 怪しい電話を意図せず撃退してしまう?黒電話ユーザーの詐欺対応が話題
    インターネット, おもしろ

    怪しい電話を意図せず撃退してしまう?黒電話ユーザーの詐欺対応が話題

  • 「ふくぎょうのおしごと!」既視感満載の怪しい広告が勧めてくる“副業”とは?
    インターネット, 社会・物議

    「ふくぎょうのおしごと!」既視感満載の怪しい広告が勧めてくる“副業”とは?

  • 偽ファッション広告
    インターネット, 社会・物議

    偽ファッション広告がGoogle広告に大量出現 サポート詐欺被害に注意

  • ちょ、まてよ。それ何のドラマだよ!「勇者」出演の偽キムタクとLINEで対峙した一部始終
    インターネット, 社会・物議

    ちょ、まてよ。それ何のドラマだよ!「勇者」出演の偽キムタクとLINEで対峙した一…

  • PayPayカードを装うフィッシングメールに注意 他社サービスと連携させる手口が確認される
    インターネット, 社会・物議

    PayPayカードを装うフィッシングメールに注意 他社サービスと連携させる手口が…

  • 声優・かないみか、SNSの乗っ取り被害を報告「DMに返信しないで」
    アニメ/マンガ, 声優

    声優・かないみか、SNSの乗っ取り被害を報告「DMに返信しないで」

  • 偽公式からの当選通知を追跡!行き着いたのは「能登半島応援」を騙る悪質詐欺
    インターネット, 社会・物議

    偽公式からの当選通知を追跡!行き着いたのは「能登半島応援」を騙る悪質詐欺

  • AIで生成されたフェイク動画
    インターネット, 社会・物議

    一瞬本物かと……有名人の顔と声までAIで再現!進化する投資詐欺の実態とは

  • “ネット詐欺のベストアルバム”に遭遇!「○○プレゼント」詐欺体験レポート
    インターネット, 社会・物議

    “ネット詐欺のベストアルバム”に遭遇!「○○プレゼント」詐欺体験レポート

  • たまちゃんWriter

    記事一覧

    元秒刊SUNDAYライター。炎上ネタからグルメネタまで得意とするも、現編集部(おたくま)では炎上ネタは封印。おだやかに書いております。静岡県浜松市在住です。

    ▼こちらのライターの最新記事▼

  • 警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠
    インターネット, サービス・テクノロジー

    警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠

  • マクドナルド非公認レシピ「改造てりたま」
    グルメ, 作ってみた

    マクドナルド非公認レシピ!夏のてりたま欲を満たす「改造てりたま」を作ってみた

  • LINEの画面って拡大できないの?タイトル画像
    インターネット, サービス・テクノロジー

    ピンチ操作が効かないLINE画面も拡大!iPhoneの隠れ便利機能「ズーム」活用…

  • AIで生成されたフェイク動画
    インターネット, 社会・物議

    一瞬本物かと……有名人の顔と声までAIで再現!進化する投資詐欺の実態とは

  • “ネット詐欺のベストアルバム”に遭遇!「○○プレゼント」詐欺体験レポート
    インターネット, 社会・物議

    “ネット詐欺のベストアルバム”に遭遇!「○○プレゼント」詐欺体験レポート

  • フッション系と思わせるサポート詐欺サイト
    インターネット, 社会・物議

    ファッション広告のフリをした罠 ますます巧妙化する“サポート詐欺”

  • トピックス

    1. 警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠

      警告ポップアップで強引に広告誘導 悪質業者が仕掛ける正規サービスを悪用した罠

      インターネットを使っていると、ふとした瞬間に現れる「警告ポップアップ」。 近ごろでは「サポート詐欺」…
    2. 母に何気なく70年万博の話をしたら……“55年前の資料”にテンション爆上がり

      母に何気なく70年万博の話をしたら……“55年前の資料”にテンション爆上がり

      大阪・関西万博をきっかけに、55年前の1970年の大阪万博(以下、70年万博)に興味を抱くようになっ…
    3. ハチワレ特製「暗殺者のチャルメラ」を再現 トマトと粉チーズでインスタントラーメンが大変身

      ハチワレ特製「暗殺者のチャルメラ」を再現 トマトと粉チーズでインスタントラーメンが大変身

      10月1日にXで公開された漫画「ちいかわ」にて、ハチワレがちいかわに振る舞った“暗殺者のチャルメラ”…

    編集部おすすめ

    1. ネカフェの個室に不気味なトランプが……Xユーザーの“恐怖体験”に17万いいね

      ネカフェの個室に不気味なトランプが……Xユーザーの“恐怖体験”に17万いいね

      キーボードに差し込まれたトランプのジョーカーと、その裏に書かれた「げぇむすたあと」の文字。Xユーザーの「たーけ」さんが、たまたま入ったネット…
    2. フライドポテトで、白ごはんを食べる……?ドンキ新作が過去イチ理解できなかった件

      フライドポテトで、白ごはんを食べる……?ドンキ新作が過去イチ理解できなかった件

      「みんなの75点より、誰かの120点」を合言葉にドン・キホーテが展開している偏愛メシシリーズ。10月1日に「本当にこの組み合わせが好きな人が…
    3. 将棋倶楽部24、2025年末でサービス終了 27年の歴史に幕

      将棋倶楽部24、2025年末でサービス終了 27年の歴史に幕

      オンライン将棋対局サービス「将棋倶楽部24」が、2025年12月31日をもって終了することが発表された。運営する席主の久米宏氏が10月1日付…
    4. pium、“カスハラ声明”きっかけに炎上 接客批判受け謝罪と改善策

      pium、“カスハラ声明”きっかけに炎上 接客批判受け謝罪と改善策

      アパレルブランド「pium」が9月30日、店舗スタッフの接客に対する多数の指摘や批判を受け、公式Xにて謝罪文を公開しました。併せて再発防止策…
    5. 「ビー・バップ」クラファン始動、清水で“高校与太郎祭”実現へ 返礼に「鉄橋ダイブ」関連も

      「ビー・バップ」クラファン始動、清水で“高校与太郎祭”実現へ 返礼に「鉄橋ダイブ」関連も

      映画「ビー・バップ・ハイスクール」のロケ地として知られる静岡市清水区で、作品ゆかりの企画を集めた大型オフラインイベント「清水 ビー・バップ・…
    Xバナー facebookバナー ネット詐欺特集バナー

    提携メディア

    Yahoo!JAPAN ミクシィ エキサイトニュース ニフティニュース infoseekニュース ライブドア LINEニュース ニコニコニュース Googleニュース スマートニュース グノシー ニュースパス dメニューニュース Apple ポッドキャスト Amazon アレクサ Amazon Music spotify・ポッドキャスト