Malwarebytes Labsは6月1日(現地時間)「Phishing mail claims a 3D Secure upgrade is required」において、3Dセキュアのセキュリティアップデート警告を装って被害者を不正なサイトに誘導するフィッシングメールが確認されたと伝えた。このメールにはQRコードが掲載されており、被害者がこれをスマートフォンなどでスキャンすると、個人情報の入力を求める不正なサイトに誘導されるという。

3Dセキュアは、オンライン決済を安全に行うための本人認証サービスである。クレジットカード情報の盗用による成りすましなどを防ぐ目的で主要なクレジットカードブランドで導入されており、VISAでは「Visa Serure」、Mastercardでは「Mastercard SecureCode」といった具合にブランドごよに異なる名称を持っているが、3Dセキュアはその総称として使われている。

3Dセキュアに対応したクレジットカードで決済を行う場合、カード番号や有効期限などのカード本体の情報に加えて、事前認証されたユーザー名とパスワードの情報が必要となるため、オンラインでのカード利用の安全性を高めることができる。

今回報告されているフィッシングの手口は、この3Dセキュアの認証情報の登録もしくはアップデートを促す警告メールを装うものだ。メールには、「このメールは3Dセキュアのセキュリティアップデートに登録されていない」という旨の警告文とともに、アップデートを実施するためと称するQRコードが掲載されている。

  • 3Dセキュアのアップデート警告を装うフィッシングメール(引用:Malwarebytes Labs)

    3Dセキュアのアップデート警告を装うフィッシングメール 引用:Malwarebytes Labs

このQRコードをスキャンした場合、被害者はクレジットカード会社のWebサイトを模倣した偽のサイトに誘導される。この偽のWebサイトでは、名前や生年月日、郵便番号、携帯電話、および電子メールアドレスなどの入力が要求されるという。

  • 個人情報の入力を求める偽のサイト(引用:Malwarebytes Labs)

    個人情報の入力を求める偽のサイト 引用:Malwarebytes Labs

最近のフィッシングメールでは、この例と同様にQRコードを利用するケースも多い。QRコードは埋め込まれたURLを目視で確認するのが難しいためだ。QRコードリーダーアプリには、実際にURLを開く前にプレビューが表示されるものも少なくないが、複数のWebサイトをリダイレクトさせることで判別を難しくしていることもあるため注意が必要だ。