【解析】楽天証券を騙る「特典進呈対象の最終確認」フィッシングメールの技術調査報告

【調査報告】最新の詐欺メール解析レポート

本レポートは、特定された不審な通信および偽装サイトの技術的解析結果をまとめたものです。データの整合性はネットワークログに基づいています。

 

■ 最近のスパム動向と前書き


今回ご紹介するのは「楽天証券」を騙る巧妙なメールです。最近のスパム傾向として、単なるフィッシングだけでなく、「ブラウザのセキュリティチェック」を模した中間ページを挟むことで、ウイルスバスターやGoogle Safe Browsingなどの自動検知システムを回避しようとする「クローキング」と呼ばれる手法が多用されています。2026年3月の年度末に向けたポイント還元を餌にする時節柄の攻撃に警戒が必要です。

 

■ 受信メール解析データ

件名 [spam] 【確認のお願い】特典進呈対象の最終確認をお願いいたします
件名の特徴 先頭の[spam]タグは、サーバーが「SPF/DKIM/DMARC」等の認証失敗、あるいは不審なリンクを検知して付与した警告です。
送信者 “楽天証券からのお知らせ” <contact@rakuten-sec.co.jp>
受信日時 2026-03-23 12:40

 

■ メール本文(画像より忠実に再現)

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。


────────────────────────────────────
楽天証券より重要なお知らせ
────────────────────────────────────

平素より楽天証券をご利用いただき、誠にありがとうございます。
「秋の特別プレゼントキャンペーン」にて、
お客様が特典進呈の対象として登録されております。

進呈を確定させるためには、ログインによる最終確認が必要です。
以下のページよりお手続きをお願いいたします。

────────────────────────────────────
◆ 確認はこちら
────────────────────────────────────

hXXps://www.rakuten-sec.co.jp/ITS/V_ACT_Login.hXml

────────────────────────────────────
◆ 進呈予定の特典
────────────────────────────────────
1. 楽天ポイント 6,000pt(1pt=1円)
2. 限定版投資ノート(資産管理に最適)
3. 無料オンライン相談(FPが直接対応)

────────────────────────────────────
◆ ご対応期限
────────────────────────────────────
2026年3月25日(水) 9:59まで

※期限を過ぎると自動的に特典の権利が失効します。
このメールが最終確認のご案内となります。
────────────────────────────────────
このメールは自動配信されています。
ご返信いただいても対応いたしかねます。

楽天証券株式会社 東京都港区南青山2-6-21
金融商品取引業者 関東財務局長(金商)第195号
加入協会:日本証券業協会、金融先物取引業協会、日本商品先物取引協会

発行元:楽天証券株式会社
Copyright (C) Rakuten Securities Inc. All Rights Reserved.

 

■ 専門的解析と偽物を見抜くポイント

【犯人の目的】

最大の目的は「楽天証券のログイン情報(ID・パスワード)」の窃取です。これにより資産の不正送金や個人情報の転売を狙います。

【署名と電話番号の不審点】

画像内の署名には所在地が記載されていますが、本来記載されるべき「カスタマーセンターの電話番号」が意図的に削除されています。電話で確認されると詐欺が発覚するため、文字情報だけで信憑性を演出する典型的な手口です。

【メールデザインの違和感】

ロゴが一切なくテキストのみの構成です。大手証券会社が数千ポイントもの特典を案内する際、このような極めて簡素で「宛名(〇〇様)」すら入っていないメールを送ることはあり得ません。

 

■ Received:送信元回線の技術データ

Receivedヘッダ from riovy.cn (riovy.cn [34.106.176.149])
解析結果 これは送信に利用された実際の経路情報です。カッコ内のIPアドレスは、偽装不可能な物理的な送信元を示します。
IPアドレス 34.106.176.149
ホスト名 149.176.106.34.bc.googleusercontent.com
ホスティング/国 Google Cloud Platform / United States (米国)
送信ドメインのWhois riovy.cn:中国ドメインを利用したGoogleサーバーからの送信であり、楽天証券(日本)のインフラとは完全に無関係です。

 

リンク箇所 本文内の「確認はこちら」および直書きURL部分
実際のURL(伏字含) hXXps://login.i-hata.cXX/?V_ACT_Login=XXXXX
ブロック確認 Google Safe Browsing / ウイルスバスター 共に「危険」判定済み

 

■ 偽装された中間ページの視覚的証拠

【詐欺サイト(待機画面)のキャプチャ】

「ブラウザを確認しています」という偽のメッセージを表示。これは正規のCloudflare等のサービスを装い、ユーザーに「公式なセキュリティチェックを受けている」と錯覚させ、同時にセキュリティソフトのスキャンを回避するための時間稼ぎです。

 

■ リンクドメイン詳細(ip-sc.net 照合データ)

リンクドメイン login.i-hata.com
IPアドレス 172.67.209.117
ホスト名 cloudflare-nginx
ホスティング社名 Cloudflare, Inc.
国名 United States (米国)
ドメイン登録日 2026年3月上旬(Whois取得結果)
ドメインへの見解 登録から1ヶ月以内という非常に新しいドメインです。詐欺グループは、使い捨てを前提に直前にドメインを取得します。正規の楽天証券(1990年代登録)とは歴史的背景が全く異なります。

 

■ サイト回線関連情報(解析リファレンス)

本レポートの根拠データとして、以下の外部解析機関と連携しています。

・Whois詳細情報:
https://whois.domaintools.com/i-hata.com

・IP/回線詳細レポート:
https://ip-sc.net/ja/r/172.67.209.117

 

■ まとめ・公式サイトの注意喚起


このメールは、楽天証券を装った巧妙な資産窃取目的のフィッシングメールです。過去の事例と比較しても、中間ページ(待機画面)を挟むなど非常に執拗な構成になっています。
絶対にログイン情報を入力しないでください。

【楽天証券 公式注意喚起ページ】
https://www.rakuten-sec.co.jp/web/info/info20251010-01.html

詐欺メール,楽天IPアドレス,クローキング,スパム解析,セキュリティレポート,ネット証券,フィッシングサイト,フィッシング詐欺,中間ページ,楽天証券,注意喚起,詐欺メール,資産守る,送信元偽装

Posted by heart