Kyashをかたるフィッシング、「アカウント異常の検知について」「重要なお知らせ」などのメールに注意

　デジタルウォレットアプリ「Kyash」をかたるフィッシングの報告を受けているとして、フィッシング対策協議会が緊急情報を公開した。フィッシングサイトは9月5日14時時点で稼働中であることが確認されている。

　フィッシングメールの件名は、次のものが確認されている。なお、これ以外の件名が使われている可能性もある。

• アカウント異常の検知について
• 重要なお知らせ

　メールの内容は、次のように複数種類されており、キャンペーンの案内を装って、リンクのクリックを促している。

　メールの内容は、次のようなものが確認されており、「セキュリティシステムにより、お客様のアカウントに不審な活動が検出されました」として、「検出された異常活動」と「推奨アクション」を記載し、「アカウントのセキュリティを保護するため、直ちに以下のアクションを実行してください」と、リンクのクリックを促している。

　リンク先の偽サイトは、Kyashのログイン画面を装ったもので、Google、Apple、Facebookのアカウント情報のほか、「メールアドレスまたは電話番号」「パスワード」の入力を求められる。

　フィッシングメールからのリンク先となるURLは、以下のもののほか、多くのドメイン・URLが確認されている。

メール内のURL

https://▲▲▲▲-▲▲▲▲.osb●●●●.net/
https://▲▲▲▲-▲▲▲▲.qyk●●●●.net/
https://▲▲▲▲-▲▲▲▲.cha●●●●.net/
https://▲▲▲▲-▲▲▲▲.hcz●●●●.com/

誘導先のURL

https://03●●●●.top/
https://2kuw●●●●.top/

　フィッシング対策協議会は、「フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難」と指摘する。その上で、日頃から、サービスへログインする際はメールやSMSのリンクを利用するのでなく、公式アプリやウェブブラウザーのブックマークからアクセスするよう、注意を促している。

　また、フィッシングメールが届くということは、メールアドレスが漏えいすることを意味すると指摘。大量のフィッシングフィッシングメールが届く場合は、新たにメールアドレスを作成して移行するようにすすめている。

　Kyashでは9月5日に、不審なメールや偽サイトに対して、「メールの送信元を確認する」「不審なリンクはクリックしない」「個人情報を入力しない」を呼び掛ける注意喚起を行っている。もしも、個人情報やKyashに登録しているクレジットカード/デビットカードの情報を入力してしまった場合には、変更・停止手続きやカードロックなどの対策を推奨している。