フィッシング対策協議会(Council of Anti-Phishing Japan)は9月27日、「フィッシング対策協議会 Council of Anti-Phishing Japan|ニュース|緊急情報|au PAY をかたるフィッシング (2021/09/28)」において、au Payを偽装したフィッシングの報告を受けていると伝えた。
メールには、次のような件名が使われていることが報告されている(以下以外の件名も使われている可能性がある)。
- 【重要】au PAYカード一時停止のお知らせ
- 【au PAY】のサービスはまもなく停止します 。
- 【au PAY】ご利用のお知らせ [メールコードP●●●●]
- 【au PAY】ごサービス通知
- auPAYカード本人確認を完了してください。
確認されている偽サイトとしては、次のURLが挙げられている(以下以外のURLも使われている可能性もある)。
- http://www.aupay-●●●●.xyz/
- https://online-aupay.●●●●.cn/
- https://connect.au-login.jp.●●●●.cn/
- https://aupay.●●●●.shop/
- https://automin●●●●.shop/
報告されている詳細内容は次のとおり。
- 「サービスを一時停止している」や「本人確認が必要」などといった内容の偽のメールが送られてくる
- メールに記載されたリンクにアクセスすると、ログインや個人情報の入力を求める偽のサイトに誘導される
フィッシング詐欺に使われているWebサイトは正式なWebサイトの内容をコピーして作成されたものと見られ、一見しただけで判別することが難しいため注意が必要。真偽の確認を行うには、メールやメッセージに含まれているリンクからたどるのではなく、公式アプリやWebブラウザに登録したブックマークなどからアクセスするなどの操作を行い、確認を行うことが望まれる。