ゆうちょ銀行を騙る「ご利用代金のご確認」メールの送信元IPとドメインを徹底調査
【調査報告】最新の詐欺メール解析レポート
メールの解析結果:ゆうちょ銀行を装った巧妙なフィッシング手法 | ■ 最近のスパム動向
今回ご紹介するのは「ゆうちょ銀行」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年現在、金融機関を装うスパムは、従来の「アカウント停止」といった脅し文句から、「カード利用代金のご確認」といった日常的な通知を装うスタイルへシフトしています。実在のサービスに酷似したデザインを使用し、ユーザーを油断させて偽のログイン待機画面へ誘導するのが最新のトレンドです。
| ■ メールの基本属性
| 件名 | [spam] JP BANK カード ご利用代金のご確認 | | 件名の見出し | 件名に「[spam]」とあるのは、サーバー側でこのメールがスパム配信システムから送られたことを検知したためです。本物の銀行メールにこの表記が出ることはありません。 | | 送信者 | “株式会社ゆうちょ銀行” <xgn119@japanpost.jp> | | 受信日時 | 2026-03-13 19:10 | | 送信者の実態 | 送信者アドレスは偽装されています。実際に配信を行っているのは、ゆうちょ銀行のシステムではなく、米国の外部サーバーです。 | | ■ メール本文の忠実再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 | お客様各位
JP BANK カードをご利用いただきありがとうございます。
お支払日とお支払金額のご確認をお願い申し上げます。
お支払金額の表示について
お支払日が10日の方は、当月5日以降に「あとからリボ」・「あとから分割」等の利用後変更サービスをお申し込みいただいた場合、表示されているお支払金額がサービス申し込み前の金額の場合があります。その場合は、改めて「お支払金額のお知らせ」をお送りいたします。 おすすめのサービス
あとからリボ
お買い物のあとからリボ払いに変更できる便利なサービスです。 あとから分割
5万円以上の1回払いのご利用を分割払いに変更できます。 住所変更手続きのお願い
お引越し等で住所が変わられた際には、弊社あてにお早めに住所変更の届け出をお願いします。
株式会社ゆうちょ銀行
東京都千代田区大手町二丁目3番1号
TEL: 0120-933-000
受付時間: 9:00~17:00
※このメールアドレスは送信専用です。ご返信いただいても回答できません。
| | ■ 犯人の目的と専門的解説
【犯人の目的】
本メールの目的は、ゆうちょ銀行の「JP BANK カード」利用者を偽のログイン画面へ誘導し、WebログインID、パスワード、およびクレジットカード番号、セキュリティコードを盗み取ることです。
【専門的解説】
このメールは本物のゆうちょ銀行のHTMLメールをそのままコピーしており、視覚的に見破るのは非常に困難です。しかし、署名にある電話番号「0120-933-000」は本物を使用することで、検索したユーザーに「本物かもしれない」と錯覚させる非常に悪質な「信頼性のハイジャック」を行っています。最大のおかしな点は、これほど公的な連絡でありながら、本文中にお客様個人の氏名(宛名)が一切ないことです。
| ■ 送信元(Received)情報解析
メールヘッダーから抽出した、実際の送信元に関する物理的なデータです。 | 送信元ドメイン | infoo3.rolfephotography.com | | 送信元IPアドレス | 204.194.55.108 | | ホスティング/回線 | Rolfe Photography(米国) | | 偽装の判定 | 100% 偽装。ゆうちょ銀行が米国の写真スタジオのドメインからメールを送ることはあり得ません。 | | IP解析詳細:204.194.55.108(ip-sc.net) | | ■ 誘導先(詐欺サイト)詳細解析
リンク箇所:「WEB明細書をご確認はこちら」ボタン
偽装URL:https://sjn.accountrescuenow.cfd/v●e/h●ml/p●ge/sjnl●gin?cid=…
※安全のため伏せ字を含み、リンクを無効化しています。
| 解析ドメイン | accountrescuenow.cfd | | IPアドレス | 104.21.51.109 | | ホスト名/国 | Cloudflare, Inc. (米国) | | ドメイン登録日 | 直近数日以内(極めて最近取得されています) |
【専門家のコメント】 ドメイン登録日が最近である理由は、警察やセキュリティ機関によるブラックリスト登録を逃れるため、使い捨てのドメインを大量に取得して運用しているためです。
| 詐欺サイトIP:104.21.51.109 解析結果 | | ■ 詐欺サイトの現在の状態
現在、このサイトにアクセスすると「確認中… 少々お待ちください。」というメッセージと共に、インジケーターが永遠に回り続ける状態になっています。
【詐欺サイトのスクリーンショット】
 | これはユーザーが情報を入力した後に、裏側で犯人がデータを処理しているように見せかける、あるいはスクリプトの不具合やブロックを回避するための時間稼ぎとして機能しています。 | ■ まとめと注意喚起
今回の事例は、実在する本物の電話番号を署名に載せ、デザインを完璧に模倣する非常に巧妙なケースです。過去の事例と比較しても、ドメインの隠蔽工作(Cloudflareの使用)や、ボタン配置の正確さが際立っています。
【対処方法】
1. 届いたメールの宛名が「お客様各位」などの一般名称であれば、その時点で詐欺を疑ってください。
2. 公式サイト以外のリンクからは絶対にログインしないでください。
3. ゆうちょ銀行の公式サイトでも、本件と同様のフィッシング詐欺に関する注意喚起が出ています。 ゆうちょ銀行公式サイト:不審なメールやサイトにご注意ください
| |