ニュース

S/MIME電子署名ファイルが添付されたフィッシング、件名「<重要>【三井住友銀行】パスワードの変更が完了しました」などの不審なメールに注意

三井住友カードや三井住友銀行をかたり、カード情報などを詐取

 S/MIME電子署名ファイルが添付されたフィッシングの報告を受けているとして、フィッシング対策協議会が情報を公開した。誘導先のフィッシングサイトは12月15日9時時点で稼働中であるため、引き続き注意が必要だ。

 フィッシングメールの件名は、次のものが確認されている。なお、これら以外の件名も使われている可能性がある。

  • <重要>三井住友カードお客様情報の確認
  • <重要>【三井住友銀行】パスワードの変更が完了しました

 S/MIME電子署名とは、メールの発信者がなりすましではなく本人自身だと確認できるようにする手段の一種。OutlookなどのS/MIME電子署名に対応したメールアプリで開くと、正しい送信者からのメールであることを電子署名により確認できる。しかし、全てのメールアプリが対応しているわけではなく、S/MIME電子署名に非対応のメールアプリで開いた場合は、「smime.p7s」というファイル(S/MIME電子署名ファイル)が添付された普通のメールとして表示され、本人確認はできない。

 今回情報が公開されたフィッシングメールには、なりすまし元とは異なる、ほかのメールで作成されたS/MIME電子署名ファイルが添付されていたという。三井住友銀行では発信するメールにS/MIME電子署名を採用しており、S/MIME電子署名対応メールアプリを利用している同行の利用者は、なりすましのメールだと判別できる。しかし、S/MIME電子署名に非対応のメールアプリを使用していると、S/MIME電子署名ファイルが添付されていることは分かるものの、それが正規のものか、なりすましかは判別できない。

 なお、三井住友カードでは、S/MIME電子署名を採用していない。

 メール本文は、複数の文面が確認されており、次のように、本人確認のためとしてリンクへのアクセスを促すもの、パスワード変更完了を知らせるメールを装うものが紹介されている。

――――三井住友カード重要なお知らせ――――

ご注意

  このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました
  弊社では第三者によるカード犯罪を未然に防止し、会員の皆様に安心してカードをご利用いただくために、カードご利用の際に、お客さまの信用状況、ご利用可能額に関係なく、
カードのお取引を保留させていただく場合がございます。

  ご利用内容の確認を以下の方法でご確認させていただく場合がございます。

(フィッシング対策協議会の緊急情報より一部抜粋 原文ママ)

こちらは三井住友銀行です。
SMBC IDのパスワード変更が完了しましたので、三井住友銀行よりお知らせいたします。

ご利用チャネル: Vpassアプリ
取引日時: 2023年12月14日(木)7時38分

※このメールは、ご入力いただいたメールアドレスあてに自動でお送りしています。本メールにはご返信いただけません。
※このメールは、三井住友銀行口座等をお持ちでないお客さまも含め、SMBC IDを運営する住友銀行よりお送りしております。
※このメールに身に覚えがない場合、恐れ入りますが以下のお問合せ先までご連絡ください。

(フィッシング対策協議会の緊急情報より一部抜粋 原文ママ)

メール文面の例(フィッシング対策協議会の緊急情報より)

 緊急情報では、三井住友カードのウェブサイトを装うフィッシングサイトが紹介されている。最初に「Vpassログイン」の画面でIDとパスワードの入力が求められ、入力してログインの操作をすると、続けて「カードご登録内容の照会」の画面となり、会員番号(カード番号)や有効期限、セキュリティコードのほか、生年月日の入力を求める画面となる。

誘導先のフィッシングサイトの画面(フィッシング対策協議会の緊急情報より)

 誘導先のフィッシングサイトのURLは、以下のものが確認されている。これ以外のドメイン名やURLが使われる可能性もあり、注意が必要だ。

https://www.yaau●●●●.com/
https://www.yuan●●●●.com/
https://www.account.smbc●●●●.com/
https://●●●●.aceaw●●●●.xyz/

 フィッシング対策協議会は、「フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難」と指摘する。その上で、日頃から、サービスへログインする際はメールやSMSのリンクを利用するのでなく、公式アプリやウェブブラウザーのブックマークからアクセスするよう、注意を促している。