【危険】「三 菱 U F J 証 券」からの怪しい緊急通知を解析!フィッシング詐欺の見分け方
このメールは「三菱UFJ証券」を装ったフィッシング詐欺です。
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
最近のスパム動向
最近のスパムは、証券会社や銀行の「不正アクセス検知」を装い、ユーザーをパニックに陥れて偽サイトへ誘導する手法が定番化しています。特に「海外からのアクセス」という文言は、危機感を煽るための常套句です。
今週のスパム傾向
今週は、送信元名に「三 菱 U F J」といった不自然なスペースを挿入し、フィルタリングを回避しようとする小細工が目立ちます。また、ドメインの末尾に「.cfd」などの安価な新ドメインを利用するケースが急増しています。
前書き
さて、三菱UFJ証券を名乗る御仁から「緊急のご本人確認」なるお便りが届きました。
ご丁寧に「三 菱 U F J」と一文字ずつソーシャルディスタンスを保った名前で送ってくるとは、随分と風通しの良い組織のようです。
[spam]という特大の「偽物印」を背負いながら、大真面目にセキュリティを語るその姿には、一周回って感心すら覚えます。
では、詳しく見ていくことにしましょう。
件名
[spam] 【海外からの異常アクセス検知】緊急のご本人確認をお願いします
件名の見出し
件名の冒頭に[spam]が付与されています。
これは、送信元のサーバーや受信サーバーが、このメールの配信元IPアドレスの評判(レピュテーション)が極めて低いこと、またはSPF/DKIM等のなりすまし防止技術で不合格となったことを検知し、自動的にラベル付けしたものです。
送信者
“三 菱 U F J 証 券” <mo89wg4i@postalservicehub.cfd>
受信日・受信時刻
2026年1月28日 8:57
本文
このたび、弊社セキュリティシステムにより、通常とは異なる 「海外IPアドレス」からのログイン試行が検出されました。
本件は不正アクセスの可能性が高く、緊急のご本人確認をお願い申し上げます。◆ 検知された異常アクセス概要
・アクセス元:海外(日本国外IP)
・時間帯:お客様通常利用時間外
・端末情報:登録環境と不一致
ご本人確認を行う
h**ps://help.accnotice.cfd/v9/app/vue/page/html/mufgsaj?cid=523545141115154
◆ ご確認が行われない場合のリスク
・セキュリティ確保のためログイン制限を実施
・一部取引機能の自動停止
・重大な場合はアカウント一時凍結
速やかなご確認をいただくことで、資産とお取引環境を保護できます。
ご多忙のところ恐れ入りますが、何卒至急のご対応をお願いいたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
登録情報の変更・配信停止はこちら
h**ps://help.accnotice.cfd/v9/app/vue/page/html/mufgsaj?cid=523545141115154
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
送信元:三菱UFJモルガン・スタンレー証券株式会社
〒113-8411 東京都文京区本郷3-33-5
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright(C) Mitsubishi UFJ Morgan-Stanley Securities Co.,Ltd. All Rights Reserved.
(セキュリティのため、URLを一部伏字「h**ps」にし、リンクを無効化しています)
危険なポイント
送信元アドレスの偽装: 三菱UFJモルガン・スタンレー証券の正規ドメインは「sc.mufg.jp」です。
しかし、今回の送信元は postalservicehub.cfd。
証券会社が「郵便(Postal Service)」を名乗る、しかも信頼性の低い「.cfd」ドメインを使用することは絶対にありません。
推奨される対応
即座に削除してください。 決してリンクをクリックしたり、偽の画面で情報を入力してはいけません。公式の通知を確認したい場合は、必ずブラウザのお気に入り、または公式アプリからアクセスしてください。
Received(メールのヘッダー情報)
これはメールの配送ルートを示す記録です。カッコ内の情報は、サーバーが実際に通信を行った「信頼できる送信元情報」を示します。
| 項目 | 詳細内容 |
|---|---|
| Receivedのドメイン | postalservicehub.cfd |
| ReceivedのIPアドレス | 204.194.49.223 |
| ホスティング社名 | PONYNET |
| 国名 | United States (アメリカ) |
メール回線関連情報: 204.194.49.223 は PONYNET が所有するIP帯域です。正規の三菱UFJ関連のネットワークとは一切関係がありません。送信元の表示ドメインと実際の送信IPが一致しており、偽装工作を隠す気すらないことが分かります。
リンク関連
リンク箇所: 本文中の「ご本人確認を行う」および「登録情報の変更・配信停止はこちら」の2箇所にリンクが貼られています。
リンク先URL: h**ps://help.accnotice.cfd/v9/app/vue/page/html/mufgsaj?cid=523545141115154
(※一部を伏字にしております)
ウイルスバスターやGoogleからのブロック
ウイルスバスターでこのURLをブロック確認したところ、「確認中… 少々お待ちください。」とだけ書かれたインジケーターが画面中央で永遠にくるくる回るページが表示されます。これは、セキュリティ製品の自動スキャンを回避したり、ユーザーを焦らせて警戒を解かせるための挙動と考えられます。
リンク先ドメイン調査 (whois.domaintools.com)
| 調査項目 | 詳細内容 |
|---|---|
| リンクドメイン | help.accnotice.cfd |
| IPアドレス | 172.67.163.208 |
| ホスティング社名 | Cloudflare, Inc. |
| 国名 | United States (アメリカ) |
サイト回線関連情報: このドメインはCloudflareのCDN(コンテンツ配信ネットワーク)を背後に隠しており、真のホスト先を隠蔽しようとしています。金融機関がこのような匿名性の高いインフラでログイン画面を公開することはまずありません。
URLが危険と判断できるポイント
URLに「bc.googleusercontent.com」が含まれている場合、それはGoogle Cloudのプロキシやバケットを経由している証拠です。攻撃者が追跡を逃れるために大手クラウドサービスを隠れ蓑にしているため、非常に危険です。
リンク先の稼働状況
現在、リンク先は 稼働中 (Active) です。アクセスを続けると、最終的に三菱UFJ証券のログイン画面を完全に模倣したフィッシングページへと飛ばされます。
詐欺サイトの画像
※永遠に回転し続けるインジケーター。ブラウザのセキュリティ警告を回避する意図が見えます。
まとめ
「緊急」「異常アクセス」といった強い言葉を使っていても、[spam]タグと送信元アドレスの違和感を見逃さなければ、フィッシング詐欺は見抜けます。
「三 菱 U F J」のスペース一文字一文字が、偽物であると叫んでいるようなものです。
皆様、お気をつけて。