EC-CUBE管理画面のログイン情報を盗むフィッシング詐欺

EC-CUBEサーバファイル破損のお知らせメールが届く
フィッシング詐欺と判断した理由
フィッシング詐欺に引っかからないこともセキュリティ対策の一環

EC-CUBEサーバファイル破損のお知らせメールが届く

今朝、EC-CUBEの保守サポートをさせて頂いているEC事業者様より「EC-CUBEからサーバファイルが破損してるとメールを受け取りました」と連絡がありました。
メールを転送して頂くと以下のような内容でした。

メールにはそのショップ名やメールアドレスが記載されている為、ダミー情報に置き換えます。
・ショップ名：サンクユーECショップ
・ショップURL：dammy.thank-u.net
・メールアドレス：dammy@thank-u.net
（もちろんいずれも存在しませんので、イタズラしないでくださいね。）

差出人　: サンクユーECショップ
宛先　　: dammy@thank-u.net
件名　　: 【EC_CUBE】サンクユーEC_サーバーファイル破損のお知らせ
受信日時: 2021/02/22 10:00
サンクユーEC 管理者様
===============================
○このメールはサーバーより自動送信されています。
===============================
サーバー内のファイルの破損が確認されました。
このままですとサイトにアクセスできなくなる可能性がありますので
確認の上、修復をよろしくおねがいします。
管理ページにアクセス [1]
Links:
——
[1] dammy.tthank-u.net/kanri/

以下は実際に送られてきたメールのキャプチャです。
EC事業者様が特定されそうな情報は隠しています。

フィッシング詐欺と判断した理由

上記をご覧頂ければお分かりになりますが、タイトルにEC_CUBEが入っています。
その為、EC-CUBEを利用しているEC事業者様はついつい信じてしまいます。
実際、担当者様から「EC-CUBEからメールを受け取りました」とご報告がありました。

とは言え、怪しい雰囲気はプンプンしています。
担当者様も「迷惑メールぽいんですが確認してください」とおっしゃっていました。
そのような勘は大切です。

では、フィッシング詐欺であるという明確な理由を下記します。

EC-CUBEではなくEC_CUBE

なぜかEC-CUBEではなくEC_CUBEという表記になっています。
正しい表記はEC-CUBEです。
_（アンダーバー）ではなく-（ハイフン）です。

差出人がおかしい

差出人が「サンクユーECショップ」になっています。
EC-CUBEではなく、なぜか自社サイト名になっています。
しかも、ドメインがthank-u.netではなく、tthank-u.netと余計な１文字が入っていて錯覚させようとしています。

管理ページURLが間違っている

管理ページのURLが dammy.tthank-u.net/kanri/になっており、差出人メールアドレス同様ドメインが微妙に異なります。
私が実際にアクセスすると、EC-CUBEの管理画面が表示されました。
偽の管理画面（フィッシングサイト）にログインさせてログイン情報を騙し取ろうとしたフィッシング詐欺なのは確実です。
以下はEC-CUBE管理画面を装ったフィッシングサイトのキャプチャです。

管理画面のログイン情報を騙し取られると、EC-CUBEで管理している会員の個人情報が漏洩してしまいます。
くれぐれもお気をつけください。

フィッシング詐欺に引っかからないこともセキュリティ対策の一環

EC-CUBEは国内で一番利用されているECオープンソースシステムです。
大手企業のECサイトもあれば、多くの売り上げをあげているECサイトもたくさんあります。
その為、今後このようなフィッシング詐欺が増えることが予想されます。
フィッシング詐欺に引っかからないこともセキュリティ対策の一環です。
システムに関する重要な内容のメールが届いた時は、冷静になり無闇矢鱈にリンクをクリックせず、システムに詳しい方に報告することをお勧め致します。

投稿者プロフィール

OSAMU HORIKAWACEO: 株式会社サンクユー代表取締役CEO。
基幹システムとECをつなぎ、受発注業務の最適化を支援する専門家。

関西大学卒業後、東証プライム上場のゼネコンにて人事総務を経験。
その後システムベンダーへ転職し、IBM AS/400環境における金融・物流・販売管理・経理・人事など、企業の基幹業務を支えるシステム開発に従事する。
プログラマからプロジェクトマネージャーまでを経験し、台湾・台北駐在として銀行システム構築プロジェクトにも参画。

この経験を通じて、「システムの質は要件定義の質に比例する」という思想を確立。
業務理解を起点としたシステム設計を強みとする。

その後、クレジット決済代行会社にて、決済システムの再構築や銀行連携、ECサイト構築を担当。
あわせて組織改革にも携わり、20名から60名規模への組織拡大を実現（退任時：常務取締役）。

2008年に株式会社サンクユーを創業、2010年に法人化。
現在は、基幹システムとECの両領域に精通した知見を活かし、BtoB企業における受発注業務のデジタル化・効率化を支援。
特に、FAX・電話・メールなどアナログ業務のEC化や、基幹システムとの連携を前提とした業務設計を得意とする。

単なるECサイト構築にとどまらず、業務フローの整理・要件定義・システム設計まで一貫して関与し、「現場で使われる仕組み」を実現することを重視している。

NTTレゾナント「goo Search Solution」にてEC関連コラムを執筆。
ECマーケティングレポート | goo Search Solution

■趣味・関心領域
BMW / WRC / ロードバイク / RIZIN / UFC / 大相撲
David Bowie / blur / MUSE / The Rolling Stones / XTC
機動戦士ガンダム（富野由悠季）
ベルセルク / 頭文字D / 進撃の巨人 / ジョジョの奇妙な冒険 / あしたのジョー
Mission: Impossible / Memento / ワイルド・スピード / ソナチネ
LOST / Game of Thrones / FRINGE / The Mentalist
上岡龍太郎 / ダウンタウン