年末に入り、ますます加速するカード会社関連の名前を騙(かた)るフィッシング詐欺 。これまで楽天カードや、以前紹介した「歴代最強クラス」の三井住友カードのフィッシング詐欺など、そのクオリティは本物と区別がつかないレベルに近付きつつある。

そんな中、今度はMyJCBカードを語るフィッシング詐欺が猛威を振るっているという情報が。実は、私(耕平)のメールボックスにも送られてきたのだが、そのクオリティが凄まじく、本家と区別がつかないレベルだった……。ということで、今回はJCBカードユーザー必読のフィッシング詐欺潜入レポートをしていきたいと思う。

・メールのクオリティがハンパない

まず、詐欺のキモであるフィッシングメールを見てみよう。

今までのフィッシングメールは、どこか日本語が不自然だったりレイアウトがおかしかったりと、パッと見で怪しいと分かるパターンが多かった。しかしながら、このMyJCBカードを装ったフィッシングメールは、一切の妥協が無いほど本物に寄せてきている。

誤字は見当たらず、メールのレイアウトも本家から送られた本物のメールと信じて疑わないほど、全く違和感の無いクオリティだ。私(耕平)はJCBカードを保有していないため詐欺に気づくことができたが、もしカードを契約していたら……何の疑いもなくクリックしていた可能性が高い。

ちなみに、このメールも他のフィッシング詐欺同様に数種類存在し、どのパターンも同じレベルのクオリティ。したがって、どのパターンが来ても最大級の警戒レベルが必要だ。

では、フィッシングメールに載っているURLをクリックして進んでいくとどうなるのか? その点が気になる人は多いだろうから結論を言ってしまうと、これは偽のサイトに誘導して個人情報を抜き取った後に、本物のサイトに飛ばされるというパターン。実際のところは、以下の「URLをクリックしてみた」をご確認いただきたい。

なお、今回は調査のためにURLをクリックしたが、本来であれば「怪しいな」と思ったメールのリンクをクリックしてはいけない。正しい対処法については、JCBでもフィッシング詐欺の対処法のサイトを作っているので、そちらでどうぞ。

・URLをクリックしてみた

さて、実際にクリックしてみる。普通ならブラウザのセキュリティが発動し、警告画面が表示されるが……

今回は警告画面が表示されず、まさかのセキュリティー突破! この時点で、フィッシング詐欺防止策の1つが通用しなくなっていると言っていいだろう。

そして意外だったのが、「紛失・盗難のご連絡」のサイトに飛ばされたこと。今まで紹介したフィッシングサイトは、メールのURLをクリックするとログイン画面に誘導されるパターンだったのだが……今回はその点からして違う。

ちなみに本物と比較しても、全く変わらない。今までのフィッシングサイトは、本家にあるロゴなどが無かったり、レイアウトが微妙に違うなどで見分けられたが、この偽サイトに至ってはそういった穴が一切無いのだ。

なので、サイトのURLが違うという事前知識が無ければ、この時点で判別することは不可能に近い。

そして、サイト内にある「カードの紛失・盗難」のボタンをクリックすると……

いかにも、本物っぽいログインページに飛ばされる。

ただし、ログインページに関しては本物と明確に違っていた。

それでも偽サイトの方は、色や文字フォントは本家と全く同じ。しかも、それっぽい「お知らせ」を入れていたりと、これまでのフィッシングサイトに比べて、クオリティは相当高い。

ここで、JCBカードを持っていない私がデタラメなIDとパスワードを入力すると……

ログインできてしまった!

ここからまた、超テキトーな情報を打ち込み……

「ご本人様情報など」のページに飛んだら、またまた超テキトーな個人情報を入力して「入力内容確認へ進む」のボタンを押すと……

入力内容確認のページに進むことなく、本物のJCBカードのサポートサイトに飛ばされた!

三井住友カードの時もそうだったが、本物のサイトに飛ばすことで、個人情報が抜かれたことに気づかせない新手の手法がここでも使われていたのだ。

・メールが届いてからの流れ

というわけで、流れをまとめてみよう。

違和感の無いメール

本物と見分けがつかないレベルのフィッシングサイト

個人情報入力後、本物のサイトに移動する仕掛け

……最後に、JCBカードを使用している人はここから解説する防御策をぜひ読んでいただきたい。

・MyJCBカードユーザーが絶対に押さえておきたい防御策

まず、第一に本物であろうが偽物であろうが、「メールが来たらまず疑ってかかる」意識を持つことが大切だ。そして先にも触れた通り、JCBはフィッシング詐欺の対処法を説明したサイトを作っている。必ず目を通しておくようにしたい。また何度も言うが、メールのURLをクリックしてログインページに飛ぶことは控えてほしい。

これらを守ることで、悪質なフィッシング詐欺に引っかかる可能性は大幅に抑えられるかと思う。JCBカードユーザーは役立てていただきたいと、切に願う。

参考リンク:株式会社ジェーシービー「フィッシング詐欺対策」
Report:耕平
Photo:RocketNews24.

▼一見フィッシングメールとはわからないクオリティだ。

▼警告画面が表示されずにフィッシングサイトに飛んでしまった……。

▼入力後、本家のページに飛ばされる手法がここでも。

▼内閣サイバーでも注意喚起を発令している。