VISAの日本法人(visa.co.jp)を称する、
「トロイの木馬」と思われるメールが、この2日間に4通来ました。

当方のMTAがつけたReceived:ヘッダを見ると、
送信元MTAは「visa.co.jp」を名乗っていますが、
それ以前のReceived:ヘッダが無いし、まあ詐称でしょうね。

From: update@visa.co.jp
Subject: Verified by Visa
MIME-Version: 1.0
Content-Type: text/html; charset="iso-8859-1"
Content-Transfer-Encoding: quoted-printable

という属性の、HTML単体の(テキストパートを含まない)メールで、実際の中身は
<meta http-equiv="content-type" content="text/html; charset=Shift_JIS">
で始まるシフトJISの日本語です。
<head>も<body>も無く、<body>の直後から</body>の直前までを
抽出した形になっています。

中に、
<img src="http://www.visa.co.jp/verified/images/vbv_logo.gif">
<img src="http://www.visa.co.jp/verified/images/gen_logo_visa.gif">
が含まれていて、HTMLとして展開すると
VISA社の認証に関するページで使っているロゴ画像が
表示されるようになっています。

で、文章の方は、

>VISA カード保有者のみなさまへ
>
>VISA カードをお持ちのお客様は自動的に VISA 認証サービス プログラム** 
>にご加入いただいております。
>
>VISA 認証サービスでは、お客様の個人パスワードでお持ちの VISA カードの
>セキュリティを強化します。オンライン ストアでのお支払い手続きの際に、
>ATMで暗証番号を入力するのと同じようにパスワードを入力していただきます。
>これで、実際にお店でカードを使用するときと同じように、
>VISA カードをオンラインで安全に使用することができます。
>サービスの中断を避けるため、できる限り早急にカード情報を
>確認させていただく必要があります。
>
>たいへんお手数ですが、次のカード情報確認ページ* へのリンクを
>クリックしてください
>https://www.visa.co.jp/verified/
(以下略)

この最後の「https://www.visa.co.jp/verified/」という文字列をアンカーとして、
実際には「http:」でIPアドレスを直接指定したURLへリンクしているんですね。
ここへアクセスするとどうなるかは、試していません^_^;

こんな単純な手口に引っ掛かる人って、やっぱり居るのかなあ、と思いつつ……

                                戸田 孝@滋賀県立琵琶湖博物館
                                 toda@lbm.go.jp