【解析】TS CUBICカード偽装メール調査その正体は?
【調査報告】最新の詐欺メール解析レポート 本レポートでは、特定された脅威インテリジェンスに基づき、メールの解析結果と通信経路のエビデンスを提示します。 | 最近のスパム動向
今回ご紹介するのは「TS CUBIC(トヨタファイナンス)」を騙るメールですが、その前に最近のスパムの動向を解説します。現在、新生活準備や年度末のポイント還元を口実にしたフィッシング詐欺が急増しています。特に「期間限定キャンペーン」や「キャッシュバック」という甘い言葉で、偽のログインページへ誘導し、クレジットカード情報や個人情報を組織的に窃取する手口が目立ちます。
| メール基本解析データ | 件名: | [spam] 【TS CUBIC】2026年2月限定スペシャルキャンペーン | | 件名の見出し: | 件名に「[spam]」が付与されているのは、受信サーバーのスパムフィルターが「送信ドメインの不一致」や「既知のブラックリストIP」を検知したための警告表示です。 | | 送信者: | “TS CUBICカード” <noreply@emailnetwork.vatican2plus50.com> | | 受信日時: | 2026-02-26 23:29 | | 確認された件名のバリエーション(同一攻撃グループ)
本調査では、解析したメール以外にも同一の送信インフラおよび偽装ドメインを用いた複数の件名を確認しています。これらは受信者の興味を引くためにA/Bテストのように使い分けられており、組織的なフィッシングキャンペーンの特徴を示しています。
・【TS CUBIC】週末は全額キャッシュバック!期間限定開催
・【TS CUBIC】抽選で1万人に還元チャンス
・【TS CUBIC】週末は全額キャッシュバック!今すぐチェック
・【TS CUBIC】今すぐチェック!還元キャンペーン情報
・【TS CUBIC】ご利用で全額戻るチャンス!上限10,000円
|
※いずれの件名も「全額キャッシュバック」「還元」といった強い言葉を使い、週末(土日)を狙って集中的に配信される傾向があります。
| 送信者に関する情報 表示名は「TS CUBICカード」となっていますが、実際のメールアドレスのドメインは「vatican2plus50.com」であり、公式サイト(tscubic.com)とは一切関係がありません。なお、送信者が「aaa@bbb.co.jp」のように受信者自身のメールアドレスと一致している場合は、受信者のアドレスを盗用(なりすまし)している明白な証拠です。 | メール本文の構造解析 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
期間限定!TS CUBICで全額キャッシュバックチャンス!
==============================
カードご利用によるキャッシュバックキャンペーンの詳細
==============================対象期間中にTS CUBICカードでお支払いいただくと、抽選で 10,000名様に 全額キャッシュバックが当たります。
(キャッシュバック上限金額:10,000円) ◆キャンペーン概要
◆参加方法:https://www.tscubic.com/C***paign
◆対象:TS CUBICカード
◆キャンペーン期間:2026年2月1日(日)〜2026年3月31日(火)
※キャンペーン対象期間中の土曜日・日曜日が対象です。
◆特典:抽選で10,000名様に全額キャッシュバック
◆キャッシュバック上限金額:10,000円 —————————- ご不明な点がございましたら、カスタマーサービスまでお問合せください。
→ https://www.tscubic.com/ ※本メールはご案内用です。内容は予告なく変更となる場合があります。
※記載の内容はイメージです。正式な条件はキャンペーンページをご確認ください。 | | 専門的な技術解説と矛盾点
このメールの犯人の目的は、偽のキャッシュバックキャンペーンを餌に、ユーザーを偽サイトへ誘導し、クレジットカード番号、有効期限、セキュリティコード、および個人情報を盗み取ることです。
【添付ファイル化されたロゴの異常性】
本物らしく見せていますが、ロゴ画像がHTML内のリンクではなく「添付ファイル(..png)」として処理されている点が非常に不自然です。これには明確な悪意があります。
1. スパムフィルターの回避:外部サーバーから画像を読み込むリンクを貼ると、そのURLがブラックリストに載っている場合に即座に遮断されます。添付ファイルにすることで、外部通信を減らし検知を遅らせる狙いがあります。
2. 自動読み込みの悪用:一部のメールソフトでは外部画像の表示を制限していますが、添付画像であれば本文中に表示されやすいため、視覚的な信頼性を無理やり高めようとしています。 また、本文末尾に「※記載の内容はイメージです」という免責事項があるのも、本物のキャンペーン告知としては極めて異例であり、詐欺サイト特有の「言い訳」と言えます。 | 送信元(Received)の詳細解析 以下はメールヘッダーから抽出した、送信に利用された信頼できるサーバー情報です。 | 送信元ホスト: | mail.77c0cd6.company | | 送信IPアドレス: | 38.111.118.254 | | ホスティング社名: | Cogent Communications | | 設置国: | United States (USA) | | ドメイン登録状況: | Whois: https://whois.domaintools.com/vatican2plus50.com |
【回線解析エビデンス】
このIPアドレスは送信者が利用した実在のサーバーであり、正規の配送経路とは完全に異なります。ドメイン「vatican2plus50.com」の登録日を確認すると、攻撃開始の直前に取得された「使い捨てドメイン」であることが明白です。
■ 本レポートの根拠データ(ip-sc.net):
https://ip-sc.net/ja/r/38.111.118.254 | リンク先サイト(詐欺サイト)の解析 メール本文内に「https://www.tscubic.com/」と記載されていますが、実際のリンク先は偽装されています。 | 実際の転送先URL: | https://yccdf.c***/verification (伏字含む) | | セキュリティ検知: | ウイルスバスター等により「フィッシング詐欺サイト」としてブロック確認済み | | サイトの状態: | 現在は「このサイトにアクセスできません」というエラーページが表示されるか、または偽のログインフォームが稼働している可能性があります。 | | ドメインIP: | 104.21.18.232 | | ホスティング社: | Cloudflare, Inc. | | 設置国: | United States | | ドメイン登録状況: | Whois: https://whois.domaintools.com/yccdf.com |
【危険と判断できるポイント】
ドメイン「yccdf.com」は正規サービスとは無関係であり、Cloudflareのネットワークを利用して攻撃者のサーバーを隠蔽しています。取得日が最近であるドメインは、警察やセキュリティ機関による閉鎖を前提とした「短期間の犯罪用」である証拠です。
■ サイト回線関連情報(ip-sc.net):
https://ip-sc.net/ja/r/104.21.18.232 | 推奨される対応とまとめ
過去の事例と比較しても、本件は「キャッシュバック」という強力な誘引剤を用いた典型的なフィッシング手法です。宛名の記載がない、または不特定多数に向けた表現が使われている場合は、即座に疑うべきです。
【対処法】
1. メール内のリンクは絶対にクリックせず、そのまま削除してください。
2. 万が一クリックしてしまった場合でも、カード番号や個人情報を入力しないでください。
3. 公式サイトのブックマーク、または公式アプリから正しい情報を確認してください。
■ トヨタファイナンス(TS CUBIC)公式注意喚起: | |