UFJカードの会員8名が、2004年9月から10月にかけて、クレジットカード偽造による不正キャッシングで現金を引き出されていたことがわかった。利用されたカードは、架空メールで利用者にカード番号などを入力させるフィッシング詐欺で情報を収集し、偽造されたものである可能性が高いという。偽造されたカードは33名分で、うち8名のカードが不正使用された。被害総額は約150万円。
UFJカードでは、会員のカードの利用パターンに不審な点があった場合、支払いを保留にしてカード保持者に確認を取るなどして不正利用を防ぐ対策を取っているというが、今回のフィッシング被害はその確認作業によって発覚した。偽造されたカードはいずれも、ルーマニア、イギリス、ドイツ、オーストリアなどのヨーロッパ諸国でキャッシング利用されており、UFJカード側で会員に確認を取ったところ、カードが偽造された会員らは、カード番号などを確認するメールが届いた際に、ホームページ上でクレジットカード番号を入力した覚えがあったという。
UFJカード側では、会員がアクセスしたホームページやメールの内容、およびメールを受け取った時期などについては把握できていないという。ただし、利用者の報告によると、UFJカードを語ったメールではなく、ポータルサイトやプロバイダサイトでカード番号を確認するパターンであったため、被害はUFJカード以外にも及んでいる可能性がある。
同社は2004年12月より、ホームページ上でカードの暗証番号の照会や変更ができるというサービスを開始している。このページが悪用される可能性について同社では、「直接カード番号などを入力するものではなく、複数の本人認証項目を入力することで事前に登録され、以降はID番号とパスワードの入力によってログインする方式を採るため、このページからカード番号などの情報が盗み出される可能性は低い」としている。
UFJカードでは、「当社がフィッシング詐欺に使われているようなメールで、カード番号や有効期限、暗証番号などを尋ねることはない。このようなメールを受信しても、メールへの返信やホームページへのログインをしないようにしてほしい」と注意を呼びかけている。今後の対策については、「物理的なカード利用のセキュリティに関しては、IC化を進めることで安全性を高める。オンライン取引でのセキュリティに関しては、フィッシング対策のみならず、安全管理面で不足している部分を洗い出し、対応策を打ち出していく」としている。
JPCERTコーディネーションセンターによると、フィッシング詐欺の増加傾向は、不正に作成されたと思われるホームページの報告件数にも現れているという。同センターでは2004年4月、海外の金融機関を装った偽のホームページが日本国内のコンピュータ上に作られているとの報告を最初に受けたというが、その後2005年1月までの間に同様のケースが41件報告されたという。これらのホームページはフィッシング詐欺に悪用されていたとみられ、JPCERTでは現在も週に数件のペースで同様の報告があるとしている。
CNET Japanの記事を毎朝メールでまとめ読み(無料)
ZDNET×マイクロソフトが贈る特別企画
今、必要な戦略的セキュリティとガバナンス
ものづくりの革新と社会課題の解決
ニコンが描く「人と機械が共創する社会」