象印マホービンは2019年12月4日に発生したグループ会社が運営する「象印ショッピング」への不正アクセスによる個人情報の流出問題で、その後もJCBギフトカードのプレゼントを装ったフィッシング詐欺目的の偽装サイトに誘導する偽装メールなどが消費者に送られていることに注意喚起している。1月13日に送信されたと推測される偽装メールを確認したと1月16日に発表した。

1月13日に送信されたと推測される偽装メール
(モザイクは詐欺サイトのURL)

 偽装メールに記載しているアドレスにアクセスしないように注意を促している。また、不審なメールが届いたり、不明な点がある場合は同社の「お客様相談窓口(0120-120-450)」まで問い合わせるように発表した。

 偽装メールの差出人のメールアドレスは「shopmaster@■■■■■■■.ad.jp」で、件名は「○○(消費者の名前)様おめでとうございます!【■■■】新春初夢キャンペーン実施中!」というもの。

 本文は「■■■■内のショップ「金券ネット■■■■店」特別企画 先着100名様限定。JCBギフトカード1,000円分プレゼントを進呈します! ★ご当選おめでとうございます★ つきましては、賞品発送のため下記のURLにクリックして頂き必要な情報をご記入お願い致します」として、フィッシング詐欺目的の偽装サイトのアドレスが表示されている。このアドレスにアクセスしてはいけない。

 本物らしく装う手口として、次のような注意書きも添えられているという。「※プレゼントですので、100円の配送料が発生します、ご了承ください。※プレゼントはレターパックで発送しております。発送完了はメールでお知らせ致します。※賞品は2週間以内に発送予定です。※ご記入いただきました個人情報は、弊社個人情報保護方針に基づき管理いたします」。

 フィッシング詐欺は、実在する企業などを装ったメールを送って、受信者に偽のホームページに誘導し、クレジットカード番号やID・パスワードなどを入力させて個人情報を不正に入手するもの。

 象印マホービンは12月5日、象印ショッピングシステムの一部の脆弱性をついた第三者による不正アクセスで最大28万52件の個人情報が流出したと発表。氏名や住所、注文内容(商品、金額等)、配送先情報、メールアドレス、電話番号、生年月日、性別などが流出した恐れがあるという。

 クレジットカードの情報は流出していないとするが、偽装メールに記載された偽装サイトにアクセスしてユーザーがクレジットカード情報(カード名義人名、クレジットカード番号、有効期限、セキュリティコード、パスワード)を入力した場合は、クレジットカード情報が盗取された可能性がある。

 12月4日には「〇〇〇〇(消費者の名前) おめでとうございます!オリジナルQUOカード キャンペーン実施中!」という件名の偽装メールが、送信元「shopmaster@zojirushi.co.jp」(現在使用していない)のアドレスで送られており、12月15日にも送信されていて、12月16日に注意喚起するリリースを発表している。
 
12月15日に送信された偽装メール

 象印が公開中のサイトでクレジットカード情報を入力する画面はないことや、「ZOJIRUSHIオーナーサービス」で実施している「オーナーサービス登録キャンペーン『QUOカードプレゼント企画』」は、当選者に賞品を発送して当選通知に代えているため、同社からのメールや電話などによる当選通知は行っていない。

 なお、象印の公式サイトではフィッシング詐欺の防止策として「EV-SSL証明書」を導入している。アドレスバーのカギマークの横に、サイトを運営する組織名である「zojirushi.co.jp」が表示されたり、カギマークをクリックすると証明書を発行した認証局「Cybertrust Japan SureServer EV CA G3」が表示されることで公式サイトであることを確認できる。