九州カード・西日本シティ銀行騙り詐欺メール解析:ドメイン・回線情報の技術レポート

【調査報告】最新の詐欺メール解析レポート
メールの解析結果:西日本シティ銀行・九州カードを装ったフィッシング詐欺

 

■ 最近のスパム動向


今回ご紹介するのは「西日本シティ銀行」および「九州カード」を騙るメールですが、その前に最近のスパムの動向について解説します。2026年現在、金融機関を騙るフィッシングメールは、単なる「利用停止」の脅しから、「セキュリティ強化(3Dセキュア登録)」を口実にする手口へとシフトしています。特に年度末や新生活シーズンは、カードの更新やサービス改定が多いため、ユーザーの心理的隙を突く攻撃が急増しています。


また、本件と同様の本文を流用した以下のような件名のメールも多数確認されており、警戒が必要です:

  • 【アクション必須】カード利用制限回避のためのワンタイムパスワード登録
  • 【緊急】オンライン決済セキュリティ強化のためのワンタイムパスワード登録
  • 【西日本シティ银行】オンラインショッピングセキュリティアップデートのお知らせ
  • 【カード利用継続のために】ワンタイムパスワード登録のご案内

 

解析対象:電子メール基本情報
件名 [spam] 【ご確認ください】本人認証サービス(3Dセキュア)登録のお願い
件名の見出し 冒頭に「[spam]」が付与されています。これは受信サーバーのスパムフィルタが、送信ドメイン認証の失敗や過去のブラックリスト照合に基づき、このメールを「迷惑メール」と自動判定したことを示しています。
送信者 “Visaカ”西日本シティ银行” <no-reply-HaWn@kita9.ed.jp>
受信日時 2026-03-01 10:21

 

送信者に関する情報の詳細分析


表示名は「西日本シティ銀行」を装っていますが、実際のメールアドレスは no-reply-HaWn@kita9.ed.jp となっています。これは北九州市の教育機関関連のドメインであり、銀行とは一切関係がありません。万が一、送信者がご自身のメールアドレス(aaa@bbb.co.jp形式)になっている場合は、送信元を偽装して受信者のアドレスを盗用している「なりすまし」状態です。

 

メール本文の構造解析(再現)

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。安全のためリンクは無効化し、一部を伏せ字(*)にしています。


九州カードロゴ
One for all area 九州カード
「本人認証サービス(3Dセキュア)ワンタイムパスワード」登録のご案内

登録期限:できるだけお早めに

対象カード:九州カード

平素より西日本シティ銀行をご利用いただき誠にありがとうございます。

ネットショッピングにおけるカード不正利用防止のため、「ワンタイムパスワード」による本人認証サービスの導入が進んでおります。未登録の場合、一部加盟店でのカード利用が制限される可能性がございます。

【サービス登録のメリット】
● 第三者による「なりすまし」不正利用を防止
● オンラインショッピングのセキュリティ強化
● 簡単なSMSまたはメールでの認証

今すぐ登録する

(URL:https://debit.vpass.xb***.com/mem/co.jp/ ※伏せ字あり)

※パスワード通知先は携帯電話番号(SMS)またはメールアドレスとなります
※登録情報に誤りがあるとパスワードが届きませんのでご注意ください

=======================================
【重要なお知らせ】
・本メールは配信専用アドレスから送信されています
・返信いただいてもお答えできませんのでご了承ください
・カード到着前に本メールが届く場合がございます
=======================================
株式会社西日本シティ銀行
商号等 株式会社西日本シティ銀行 登録金融機関 福岡財務支局長(登金)第6号
https://www.ncb***.co.jp/
=======================================
(C) THE NISHI-NIPPON CITY BANK, LTD. All right reserved.

 

■ メールの目的および専門的見解


【犯人の目的】
本メールの目的は、「クレジットカード情報の完全な窃取」です。3Dセキュアの登録を装い、カード番号、有効期限、セキュリティコード、そして最終的には二要素認証の突破に必要な情報を入力させるフィッシング・トラップです。


【デザインと違和感】
ロゴまで使い本物っぽく作り込まれていますが、技術的に見ると非常に不自然です。送信者名に「Visaカ」や「西日本シティ银行」(「銀」が簡体字の「银」)という表記が含まれており、海外の攻撃キットを使用していることが推測されます。また、銀行名とカード会社名が混在している点も大きな矛盾です。

 

Received(送信者情報)・メール回線解析

以下はメールヘッダーから抽出された、信頼性の高い「生の送信経路情報」です。
Receivedホスト名 C202602261882517.local (unknown)
送信元IPアドレス 167.148.186.38
ホスティング事業者 Google LLC (bc.googleusercontent.com 経由)
設置国名 United States (米国)
ドメイン登録日 kita9.ed.jp (既存の正規ドメインの悪用または偽装)
■ メール回線関連情報

送信元IP [167.148.186.38] はGoogle Cloudのインフラを利用しています。正規の銀行がクラウドの踏み台のような経路から配信専用メールを送ることはまずありません。
[本レポートの根拠データ:167.148.186.38 の詳細解析を確認する]

 

リンク先サイト(詐欺サイト)の解析
リンク箇所: 本文中央「今すぐ登録する」ボタン
リンク先URL: https://debit.vpass.xb***.com/mem/co.jp/
※悪用防止のため一部に伏せ字を含みます。
【セキュリティブロック状況】

ウイルスバスターおよびGoogle Safe Browsingにより「危険なサイト」として既にブラックリスト登録されています。
■ サイト回線関連情報
リンクドメイン debit.vpass.xbfdf.com
IPアドレス 172.67.153.220
ホスティング事業者 Cloudflare, Inc.
国名 United States (米国)
ドメイン登録日 2026-02-20

【専門家のコメント】
ドメインの登録日が「2026-02-20」と、メール送信日のわずか1週間前です。これは攻撃のために急遽取得された使い捨てドメインであることを示す決定的な証拠です。正規の金融機関がこのような最近取得されたドメインを重要サービスのURLに使用することはありません。
[本レポートの根拠データ:172.67.153.220 の詳細解析を確認する]

 

リンク先サイトの現在の状態


現在、このリンク先は稼働していますが、サーバー側の制限によりエラーページが表示されています。


We apologize, but your request has timed out. Please try again or check your internet connection. For further assistance, contact our support.

(画像:詐欺サイトのエラー表示画面)

 

■ 推奨される対応と注意点


1. 送信元の確認: 銀行を名乗っていても、アドレスが kita9.ed.jp のような無関係なものである場合は即座に削除してください。
2. 宛名の有無: 本メールには「お客様名」の記載がありません。不特定多数に送るスパムの典型です。正規の銀行通知では通常、顧客の氏名が明記されます。
3. リンクをクリックしない: 3Dセキュアの登録は、必ず公式サイトのブックマークや公式アプリから行ってください。


公式サイトでも同様のフィッシング詐欺に対する注意喚起が出ています:
【西日本シティ銀行】不審なメール・SMS等へのご注意

 

まとめ:過去事例との比較

今回の事例は、過去に流行した「三井住友銀行」や「三菱UFJ銀行」を騙るフィッシングの手法をそのまま地方銀行に横展開したものです。技術的な稚拙さ(誤字やドメイン矛盾)が目立ちますが、ロゴの盗用により視覚的に騙されやすい構造になっています。不審な点があれば、まずは公式サイトの正規アナウンスを確認する習慣をつけましょう。

詐欺メール,証券・銀行関連、ネットワーク調査データ3Dセキュア,クレジットカード不正利用,スパムメール解析,セキュリティレポート,なりすまし,フィッシングサイト,フィッシング詐欺,ワンタイムパスワード,不審メール,九州カード,本人認証サービス,注意喚起,西日本シティ銀行,送信元偽装

Posted by heart