「【重要】不正利用監視通知(三井住友カード)」という件名のメールやSMSが届き、本文中のQRコードを見て「本物?それとも詐欺?」と不安になっていませんか。実はこのメール、三井住友カードを騙るフィッシング詐欺(クイッシング)として広く報告されている手口とそっくりです。この記事では、本物との見分け方、もしQRコードを読み込んでしまった場合の対処法、今後同じような詐欺に引っかからないための予防策を、プライシー編集部がわかりやすく整理しました。

結論
そのQRコード、詐欺(フィッシング)の可能性が非常に高いです

「不正利用監視通知(三井住友カード)」という件名でQRコード付きのメール・SMSが届いた場合、フィッシング対策協議会が緊急情報を出した実在の詐欺キャンペーンと同じ手口である可能性が高いです。三井住友カードの正式な連絡は、メールやSMS内のリンク・QRコードから直接ログインを求める形では行われません。少しでも不安を感じたら、記載のQRコードやリンクは開かず、公式アプリ「Vpass」またはブラウザに保存したブックマークから直接アクセスして確認してください。

その「不正利用監視通知」メール・SMSの正体

このメールは、QRコードを読み込ませて偽サイトへ誘導する「クイッシング(Quishing)」と呼ばれるフィッシング詐欺の一種です。2024年8月、フィッシング対策協議会が三井住友カードを騙るQRコード型フィッシングについて緊急情報を出し、大きな話題になりました。三井住友カードを騙るフィッシングメール自体は2022年にも協議会から警告が出ており、手口を変えながら現在まで断続的に確認されています。心当たりがあって検索している方は、まずは落ち着いて以下の特徴と照らし合わせてみてください。

実際に確認されている件名・本文の特徴

報告されている偽メールの件名は「【重要】不正利用監視通知(三井住友カード)」で統一されています。本文には「ご利用日時」「ご利用場所」「ご利用金額」といった具体的な利用情報が記載され、「使用詳細を取得してください」などとQRコードの読み取りを促す構成が特徴です。実際に確認された例では、架空の利用として特定の家電量販店で9万円台の高額利用があったと装うパターンも見つかっています。金額や店舗名は例ごとに異なりますが、「高額利用をでっち上げて不安を煽る」という基本構造は共通しています。

身に覚えのない高額利用の通知ほど要注意です。「こんな買い物した覚えがない」という驚きにつけこんで、冷静な判断力を奪うのがこの詐欺の狙いです。金額や店舗名に驚いても、その場でQRコードを読み込まず、一呼吸置きましょう。

QRコードで何が盗まれるのか

QRコードを読み込むと、三井住友カードの会員専用サービス「Vpass」そっくりに作られた偽サイトへ誘導されます。VpassIDとパスワード、カード番号、有効期限、セキュリティコード、生年月日、電話番号、メールアドレス、郵便番号といった、カードを不正利用するために必要な情報一式の入力を求められます。フィッシング対策協議会も「本物のサイト画面をコピーして作られているため、見分けることは非常に困難」と警告しており、URLを見ずに画面の見た目だけで信じてしまうのは危険です。悪用されるサイトのドメインには短縮URLサービスや、見慣れない「.buzz」「.top」「.xyz」といった形式が使われる傾向があるため、URL欄を確認する習慣も身につけておきましょう。

本物の三井住友カードからの連絡と見分ける3つのチェックポイント

三井住友カード公式も「弊社を装った不審なメールやSMSにご注意ください」というページで具体的なチェック方法を案内しています。ここでは公式が案内するチェックポイントを、実際に確認しやすい順番で整理しました。

1. 送信元のメールアドレス・ドメインを確認する

正規のメールは、以下のような公式ドメインから送信されます。表示名だけでなく、実際の送信元アドレスまで確認してください。

正規ドメインの例備考
vpass.ne.jp会員サービス「Vpass」関連
contact.vpass.ne.jpVpassからの通知用
payment.vpass.ne.jp支払い関連の通知用
smbc-card.com三井住友カード公式ドメイン

これら以外のドメイン、特に無関係な文字列が並ぶドメインやフリーメールから届いている場合は、その時点で偽物と判断してよいでしょう。

2. 公式ロゴ・ハンドルネームを確認する

正規のメールには、送信者名の横に三井住友カードまたはVpassの公式ロゴが表示されます。あわせて、本文中のハンドルネーム(会員が自分で登録した呼び名)が、自分で設定したものと一致しているかも確認しましょう。ロゴがない、もしくはハンドルネームに心当たりがない場合は偽物の可能性が高いです。

3. SMS・LINEで届いた場合の見分け方

SMSの場合は送信元電話番号が「+81」から始まっているかを確認してください。それ以外の番号から届いている場合は非正規の可能性があります。LINEで届いた場合は、送信元アカウントに緑色の公式アカウントマークが付いているかを確認しましょう。あわせて、「緊急」「カードをロックしました」「24時間以内に手続きしないと利用停止」といった不安を煽る強い表現が使われているメッセージは、フィッシングの典型的な特徴なので警戒してください。

もっとも確実な対策は、メールやSMS内のリンク・QRコードを一切使わないことです。三井住友カードの利用状況を確認したいときは、公式アプリ「Vpass」を起動するか、あらかじめブラウザに保存しておいたブックマークからアクセスする習慣をつけましょう。

QRコードを読み込んでしまった・情報を入力してしまった場合の対処法

すでにQRコードを読み込んでしまった、あるいは偽サイトに情報を入力してしまったという方も、落ち着いて以下の手順で対応すれば被害を最小限に抑えられる可能性があります。

1
VpassID・パスワードを最優先で変更する

入力してしまった場合は、まず公式アプリまたは公式サイトから直接ログインし、VpassIDとパスワードを変更してください。パスワードが使い回しになっている他サービスがあれば、そちらも変更しておくと安心です。

2
カード番号やセキュリティコードを入力した場合は利用停止・再発行の手続きを行う

カード情報まで入力してしまった場合は、速やかにカードの利用停止手続きを行い、再発行を申し込みましょう。

3
利用明細をこまめに確認する

手続き後も、しばらくは利用明細を定期的にチェックし、身に覚えのない利用がないか確認してください。

4
不審メール専用ダイヤルに相談する

迷ったときや不正利用が疑われるときは、三井住友カードの不審メール専用ダイヤル(0120-778-808、24時間対応)に相談しましょう。フィッシングサイト自体を見つけた場合は、フィッシング対策協議会(info@antiphishing.jp)への報告も被害拡大の防止につながります。個人情報を入力してしまい犯罪被害が心配な場合は、警察相談専用電話「#9110」で相談することもできます。

同様の詐欺を防ぐための予防策チェックリスト

一度見分け方を知っておけば、次に似たようなメールが届いても慌てずに対応できます。以下のチェックリストを、家族にもぜひ共有してみてください。

  • メール・SMS内のリンクやQRコードからは絶対にログインしない
  • カード利用状況の確認は公式アプリ「Vpass」かブックマークから行う
  • 「緊急」「24時間以内」など不安を煽る文言には一呼吸置く
  • 送信元のメールアドレス・ドメインを必ず確認する
  • 迷惑メールフィルターを有効にしておく
  • 不安なときは0120-778-808(三井住友カード不審メール専用ダイヤル)に確認する

よくある質問

このメールやSMSは無視して削除してよいですか?

はい、URLやQRコードを一切開かずに削除して問題ありません。不安な場合は、削除する前に三井住友カード公式アプリ「Vpass」やブックマークから直接ログインし、実際に不正利用の通知が来ていないかを確認しておくとより安心です。

実際に不正利用の被害にあった場合、補償は受けられますか?

三井住友カードには会員規約第14条に基づく会員保障制度があり、不正利用の申告日から遡って60日前までの利用について補償される仕組みがあります。ただし、暗証番号入力を伴う利用で会員側に故意・過失があった場合など、補償対象外となるケースもあるため、詳細は公式の補償制度ページで確認してください。

QRコードから偽サイトに情報を入力してしまいましたが、まだ実害は出ていません。今から何をすべきですか?

実害が出ていなくても、被害を未然に防ぐために本記事の対処法(VpassID・パスワードの変更、カード情報を入力していればカードの利用停止・再発行)をすぐに行うことをおすすめします。時間が経つほど悪用されるリスクが高まるため、気づいた時点で早めに対応しましょう。

三井住友カードから本当に不正利用の連絡が来ることはありますか?その場合はどう連絡がありますか?

はい、実際にカードの不正利用が疑われる場合、三井住友カードから連絡が来ることはあります。ただしその際も、メールやSMS内のリンク・QRコードから直接カード情報の入力を求める形は取りません。連絡を受けた場合は、記載のリンクではなく公式アプリやブックマークから自分でログインして状況を確認するようにしましょう。

まとめ

この記事のポイント

  • 「不正利用監視通知(三井住友カード)」のQRコード付きメール・SMSは、実在するフィッシング詐欺(クイッシング)の可能性が高い
  • 本物かどうかは送信元ドメイン・公式ロゴ・ハンドルネームで確認できる
  • もっとも確実な対策は、メール内のリンク・QRコードを使わず、公式アプリやブックマークからアクセスすること
  • 情報を入力してしまった場合は、パスワード変更→カード利用停止・再発行→明細確認の順で速やかに対応する

普段のカードの使い方に少し気をつけるだけで、こうした詐欺の被害はぐっと防ぎやすくなります。ネットショッピングでお得な買い物をするときも、公式アプリや信頼できるサービスを使うのが安心への近道です。値下げ通知やセール情報を安全にチェックしたい方は、価格比較アプリ「プライシー」もあわせてチェックしてみてください(プライシーをアプリで見る)。

記事の内容は執筆時点の情報を基にしています。掲載している価格・日程・仕様等は変更になる場合があります。最新情報はご自身でご確認ください。