【注意喚起】楽天証券「多要素認証設定」詐欺サイトのIPアドレスと回線情報を特定
| 【高度解析レポート】楽天証券を騙るフィッシング詐欺 技術ドキュメント:ネットワーク解析および視覚的偽装の検証 |
目次
最近のスパム動向
2026年2月現在、金融機関によるセキュリティ強化(多要素認証の義務化)という「事実」を逆手に取った詐欺が急増しています。攻撃者は公式の文言を巧妙に流用し、2月10日という極めて短い期限を設定することで、利用者の冷静な判断を妨げようとしています。 |
メールの解析結果と構造詳細
| 件名 | [spam] 【重要通知】楽天証券 |多要素認証裾定のご案内No.1076613 |
| 技術的指摘 | 件名冒頭に[spam]が付与されており、配信サーバーのレピュテーション(信頼性)が低いことを示しています。また、「設定」が「裾定」と誤変換されている点も、海外拠点の攻撃グループによる特徴的なミスです。 |
| 送信者名 | “楽天証券” <info@rakuten-sec.co.jp> |
| 受信日時 | 2026年02月07日 22:57 |
メール本文のデザイン再現
楽天証券をご利用いただき、誠にありがとうございます。
多要素認証(MFA)とは?
※設定には約3分かかります
|
危険なポイント:連絡先の矛盾
| 【決定的な偽装証拠】 メール末尾に記載されている電話番号「0120-889-820」を調査したところ、楽天証券とは一切無関係な「AGAメディカルケアクリニック 新宿院」の番号であることが判明しました。 これは攻撃者が、以前に使用した別業種の詐欺テンプレートから電話番号を書き換え忘れたか、適当なフリーダイヤルを流用した証拠です。金融機関が他業種のクリニック番号を案内することは論理的にあり得ません。 |
メール回線関連情報(送信元)
| Receivedヘッダーに記録された「本物の送信元」データです。 | |
| 送信ドメイン | koreusity.com |
| 送信元IPアドレス | 34.180.101.151 |
| ホスト名 | 151.101.180.34.bc.googleusercontent.com |
| 設置国 | アメリカ (Google Cloud) |
| ip-sc.netで送信元回線(34.180.101.151)の根拠データを表示 | |
サイト回線関連情報(誘導先)
| 誘導先URL | https://evsxz***.top/jp (伏せ字処理済) |
| リンク先IPアドレス | 104.21.14.172 |
| ドメイン登録日 | 2026年02月01日 |
| 技術的考察 | ドメイン取得からわずか1週間足らずで稼働しています。これは、セキュリティ機関に検知・ブロックされる前に目的を果たす「短命ドメイン(Burner Domain)」の手法です。楽天証券のような社会的信用の高い企業が、設立直後の `.top` ドメイン(格安ドメイン)を決済や認証に使うことはありません。 |
| ip-sc.netでリンク先IP(104.21.14.172)の解析レポートを確認 | |
詐欺サイトの視覚的証拠(スクリーンショット)
| ▼ 解析時に確認された偽ログインページ(稼働中・危険)
本物の楽天証券ログイン画面を高度にコピーしており、IDとパスワードを盗み取る設計です。 |
まとめと推奨される対応
今回のメールは、一見すると公式のデザインを忠実に再現していますが、「AGAクリニックの電話番号」や「取得直後の不審なドメイン」といった致命的な矛盾が存在します。過去の楽天証券を騙る事例と比較しても、誘導先が非常に新しいため、ウイルス対策ソフトの検知をすり抜ける可能性があります。 【推奨アクション】 |