三井住友カード会員が利用できるサービス「Vpass」。オンライン上で、カードの利用状況や、「Tポイント」と4月22日に統合したばかりの「新Vポイント」の情報を見ることが可能です。
そんな「Vpass」利用者をターゲットにした「フィッシング詐欺」が近ごろかなり出回っており、SNS上でも被害の報告がいくつもあげられています。ということで、今回は「Vpass」をかたるフィッシング詐欺に釣られるとどうなるか試してみました。
■ 届いた怪しげなメール
フィッシング詐欺とは、個人情報(カード情報、銀行口座情報など)をだまし取ることが目的の詐欺です。昨今流行しているのが、大手企業をかたるもの。
流れとしては、大手企業名義でフィッシングメールを不特定多数に送りつけ、フィッシングサイト(偽サイト)へと誘導。そこでだまされた人に対して、個人情報を入力するよう仕向けて、情報を盗み取る、という手口です。
編集部では過去に、イオンカード、Amazon、メルカリ、ETCなどをかたったフィッシングサイトも調査して紹介していますが、流れは全て共通していました。
今回の偽Vpassへの入り口も例に漏れず、フィッシングメールから。メールタイトルは「【 三井住友カード 】決済完了のお知らせ」となっていました。
筆者も届いてすぐは、はて、何が決済されたのかな?と思いましたが、そもそも「三井住友カード」を持っていないので、すぐにこれが「フィッシングメール」であることに気づけました。ただ、本当の三井住友カード会員なら、「え!勝手に使われた!」なんて驚いて、すぐにVpassにて利用明細を確認しようとするかもしれません。
ちなみに決済場所として記されていた店舗は、静岡県某所に実在する「ヤマダデンキ○○店(○は編集部で伏せました)」で、利用金額は13,860円。さらに……
「カードを使用した覚えがない場合は、以下 の リ ン ク をクリ ッ ク し てカ ー ド使用の詳細を確認してください。」
(文字間のスペースはあえてそのままにしています)
との記載があり、それっぽいことを記載して、リンクを踏ませようと仕掛けています。しかもメール自体がHTMLなので、メール上ではリンクされているURLが正しいものか、怪しいものかはパッと見判断つきません。詳しい方なら調べることも可能ですが、一般の方ならすぐに信じてしまうかも。これは……SNSで話題になっているとおり、ひっかかる人はかなり多そう。
■ ログインしてみる
次から、フィッシングサイトに実際に潜入して手口を紹介していきます。まずはメールに書かれたリンクをクリック……。
※普通にクリックしていますが、本来この行為は危険が伴いますので絶対に真似しないでください。今回はあくまで調査目的で行っています。
その後の遷移先では、偽Vpassのログイン画面が出てきました。作りはかなり精巧で、三井住友のロゴなどがそのまま使われています。偽だと気づいていない方なら、この先ずんずん進んでしまいそう。
さて、今回はというと……そもそもアカウントを持っていないので、何を入れたらいいのか?空白でログインしようとすると弾かれました。
とりあえずダミー情報を入力すると……無事通過。
■ カード情報を入れてみる
ログインすると出てきたのは、まさかの「スマホ非対応」のサイト。画面がはみ出してしまっています。このご時世スマホに対応していないとはお粗末ですね。
ただ、ログイン画面はしっかりスマホ対応されていたので、もしかすると本当の目的はログイン時にVpassの「ユーザ名」「パスワード」を盗むことなのかもしれません。
スマホ不対応の画面からだと調査もすすめにくいので、再度PCで画面を開いてみました。ここからはカード情報を入れさせて、盗んでいくようです。
近ごろのフィッシングサイトでは、わりとイタズラ対策がほどこされています。「1111」などの適当な番号は弾かれることがほとんど。ここもカード情報をしっかり入れないと通らない可能性があるので、特殊な「テスト番号」を使って検証していきます。
なお、空白で通ろうとすると弾かれました。ヌルチェック(空白チェック)がかなりしっかりしている。そこまでちゃんとするなら、スマホ対応もすれば良いと思うけど、そうすることで被害が増えるなら、そのままでいいのかもしれません。
話を戻します。テスト番号と潜入用ダミー情報を全て入力。その先に進もうとしたところ……テスト番号は通らず。何をやってもその先に進みません。テスト用番号が通るパターンの「フィッシングサイト」もありますが、今回は通りませんでした。
テスト番号は一般に広く公開されているので、もしかするとフィッシングサイト側で対策しているのかもしれませんが、可能性はもう一つあります。
「カード番号を何回(何種類)も入力させるため」
1~2度同じカード番号が弾かれてしまうと、人によっては別のカードを試して通ろうとするでしょう。その心理を狙った可能性があります。詐欺師側としては1度で複数のカード情報がだまし取れるわけです。
この、次々と番号を盗み取っていく「無限カード番号収集パターン」は、近ごろのフィッシングサイトで増えている手口です。以前は、テスト番号を入力すると、わりとすんなり完了画面まで行き着くことができました。
それがここ最近だと3回ほどエラーを繰り返した後、本物のサイトに飛ばすパターンや、永遠エラーだけ出し続けるパターンを確認しています。
■ 本物のサイト
最後に本物のサイト(左)と、偽サイト(右)を並べて紹介します。
パッと見、違いはそんなに感じませんが、よくよくみるとヘッダーにアプリバナーがあったり、右側にチャットのアイコンがあったりと、異なる点が多々あります。しかしながら、普段そんなにVpassサイトを使わない人にとっては、違いに気づきづらいかもしれません。
■ 続々登場するフィッシング詐欺の手口
フィッシング対策協議会が行った2024年4月の「フィッシング報告」によると、4月のフィッシングサイトのURL件数(重複なし)は、この一年で最も多かった3月よりも減少しているものの、それでも39,863件も確認されているそうです。それだけの数のフィッシングサイトがこの世に存在しているなんて、もはやテロ。
今後もこの手のフィッシング詐欺は続々と登場していくことが予想されます。特に今回のVpassに関連した「新Vポイント」のように、新しいサービスが始まったタイミングは特に狙われやすく、危険が高まるので要注意。
少しでも「あやしいな」と感じることがあれば、リンクから確認しようとせずに、直接自分でサイトを調べてから、確認することをオススメします。
<参考・引用>
フィッシング対策協議会 2024年4月月次報告
三井住友カード「弊社を装った不審なメールやSMSにご注意ください」
(たまちゃん)