au PAYをかたり、フィッシングサイトへ誘導するメールの報告が増えているとして、フィッシング対策協議会が情報を公開した。同サイトは9月28日17時時点で稼働中であるため、引き続き注意が必要だ。
フィッシングメールの件名は、以下のものが確認されている。
- 【重要】au PAYカード一時停止のお知らせ
- 【au PAY】のサービスはまもなく停止します 。
- 【au PAYS】ご利用のお知らせ [メールコードP●●●●]
- 【au PAY】ごサービス通知
- auPAYカード本人確認を完了してください。
メールの本文は以下のような複数の内容が確認されており、本人確認のためなどとして、記載されたURLへアクセスするよう誘導している。
au PAY カード会員サイトでは、セキュリティ保護の観点から緊急の措置として、アカウントメンテナンスに取り組んでいます。
※「24時間以内」に下記のURLより本人確認を完了してください。(フィッシング対策協議会の緊急情報より一部抜粋。原文ママ)
日ごろからau ID携帯をお使いありがとうございます。
お客様に重要なお知らせがあります。(フィッシング対策協議会の緊急情報より一部抜粋。原文ママ)
誘導先はau IDのログインページを装ったウェブサイトで、au IDの入力が求められる。入力すると続けてパスワードや暗証番号の入力画面に遷移する。
誘導先のフィッシングサイトのURLは、以下のものが確認されている。このほかにも類似するドメイン名が使われる可能性があるため注意が必要だ。
- http://www.aupay-●●●●.xyz/
https://online-aupay.●●●●.cn/
https://connect.au-login.jp.●●●●.cn/
https://aupay.●●●●.shop/
https://automin●●●●.shop/
フィッシング対策協議会は、「フィッシングサイトは本物のサイトの画面をコピーして作成されることが多く、見分けることは非常に困難」と指摘する。そのうえで、類似のフィッシングサイトが公開される可能性もあることから、サービスへログインする際はメールやSMSのリンクを利用するのでなく、公式アプリやウェブブラウザーのブックマークからアクセスするよう、注意を促している。
株式会社KDDIでも、フィッシング詐欺の事例を紹介するとともに、「フィッシング詐欺にだまされないための4か条」を紹介している。
具体的には、1)不審なSMSやメールにあるリンクを不用意にクリックしないこと、2)ウェブサイトがauの正規のURLか疑わしい場合はIDやパスワードおよび暗証番号を入力しないこと、3)ID・パスワード・暗証番号を他人に教えないこと、4)ログインした覚えがないのに2段階認証のメールが送られてきたら「上記の端末でログインする」ボタンを押さずに「ログインしない」ボタンを押すよう呼び掛けている。