エムアイカードをかたるメール〈電子署名の確認を〉
2021.06.07

「【重要なお知らせ】エムアイカードの利用確認」などの件名で、三越伊勢丹系クレジットカードのMICARD(エムアイカード)をかたった不審なメールが急増しています。

        — エムアイカードをご利用の方はフィッシングメールに注意 —


エムアイカードをかたったメールでは、差出人がMICARD<info@micard.co.jp>と表示され、カードが他人によって使われた可能性を示唆して本人確認名目で架空のフィッシングサイトへ誘導しようとします。

メール本文には以下のような記載があります。

〔偽メールの例〕


【エムアイカード】利用いただき、ありがとうございます。
このたび、ご本人様のご利用かどうかを確認させていただきたいお取引がありましたので、誠に勝手ながら、カードのご利用を一部制限させていただき、ご連絡させていただきました。

つきましては、以下へアクセスの上、カードのご利用確認にご協力をお願い致します。
 お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承下さい。

            — エムアイカードをかたるフィッシングメールの例 —


メール本文には「ご利用確認はこちら」などのリンク(青文字)が貼られており、このリンクをクリックするとフィッシングサイトと呼ばれる偽のエムアイカードログイン画面へ移る仕組みになっています。

    — 巧妙に作られたフィッシングサイトとエムアイカードの正規サイト -

偽のログイン画面は正規エムアイカードのログイン画面とそっくりに作られており、ちょっと見ただけでは偽サイトとの区別がつきません。

一部、配置された図形に崩れが見られる点や、フォントが異なる部分はありますが、全体的に巧妙に作られています。

ここでログインIDとパスワードを入力してしまうと、この段階で詐欺グループにID(メールアドレス)とパスワードが知られてしまうため、このIDとパスワードのセットを使ったパスワードリスト攻撃に転用される恐れがあります。

また、ログイン情報を入力した次の画面ではクレジットカードのカード番号や有効期限、セキュリティコードといったカード決済に必要な情報を入力させようとしてきます。

     — フィッシングサイトのカード情報入力画面 —


この偽サイトにカード情報を入力してしまったが最後、この情報を元に第三者が本人になりすましてカードを利用することが可能となってしまいます。


【エムアイカードのメールは電子署名されている】
このようなフィッシングメール対策として、エムアイカードから発信される正規メールには電子署名が付与されています。

電子署名とは電子文書に対して暗号方式に基づき、確かに作成者による文書である事や改ざんが行われていない事を証明する仕組みで、デジタルデータに押印やサインを付与するイメージです。

電子入札や電子契約、法的書類の電子データ保存などで使われている他、一般の方でもマイナンバーカードに格納された電子証明書を使い、PDFファイル等に電子署名することが可能です。

エムアイカードが電子署名した正規メールでは、電子証明書の発行先が「MICARD Co.Ltd.」、また電子証明書の発行元が「Cybertrust Japan SureMail CA G4」となっています。

電子証明書を確認するには、メールの差出人欄のS/MIME表示やリボンマーク、署名やセキュリティといった記載の部分をクリックします。
※(Secure / Multipurpose Internet Mail Extensions)

                  — 電子署名の付与を確認する方法 —


電子署名の表示については、お使いの電子メールソフトごとに確認する必要があります。

尚、エムアイカードでは送信元メールアドレスが「@micard.co.jp」で終わっていれば正規メールであるとしていますが、フィッシングメールの送信元メールアドレスも「@micard.co.jp」となっており、ドメイン部分を確認するだけでは真偽の判定はできません。

これは詐欺犯がヘッダー部分を好きなように設定して、なりすましメールを送信することが可能なためで、以前のように英数字の羅列といった怪しげなメールアドレスが使われる事は少なくなっています。


【フィッシング被害を防ぐ方法】
以前のフィッシングメールは送信元メールアドレスや日本語の文章が不自然であったり、リンク先のフィッシングサイトもデザインが崩れていたり、文字化けしたりするなど、すぐにそれとわかるレベルでした。

しかし昨今の偽メールや偽サイトは、企業ロゴを配置しデザインもそっくりに作り込まれている他、細かな注意事項までそっくりコピーするなど巧妙さを増しています。

そのため忙しくて余裕のない時など、うっかりフィッシングメールを開いてしまう可能性もあります。

被害を防ぐには、日常的にメールやSMSに貼られたリンクをクリックせず、たとえ正規のメールであっても、用心のため別途Webブラウザを立ち上げ、そこから正規サイトへアクセスする習慣が大切です。


● 必ず新規にブラウザを立ち上げ、正規URLからログインする。

● 絶対にメールやSMSに記載のURLやリンクをクリックしない!

● メールアドレスが正規のものでも信用しない





新着情報一覧

▲ページのトップへ