【解析】大和証券「重要・口座情報の更新手続き」偽メールの正体
【調査報告】最新の詐欺メール解析レポート メールの解析結果:大和証券を装ったフィッシング攻撃の技術的分析 | ■ 最近のスパム動向
今回ご紹介するのは「大和証券」を騙るメールですが、その前に最近のスパムの動向を整理します。2026年3月から4月にかけて、年度末の事務手続きに便乗した「口座登録情報の更新」を促す詐欺が多発しています。特に本事例のように、実在する「日本証券業協会」の規定を持ち出し、3年に1度の更新という具体的な偽のルールを提示して信憑性を高める手法が目立ちます。
| ■ メールの基本情報 | 件名 | [spam] 【重要】口座登録情報の更新手続きのお願い | | 件名の見出し | 【重要】口座登録情報の更新のお願い | | 送信者 | “大和カスタマーサービス” <help@zgmhwke.cn> | | 受信日時 | 2026年3月30日 3:58 | ※件名に[spam]とあるのは、送信元が正規のドメイン認証(SPF/DKIM等)に失敗している、あるいは送信IPが迷惑メール送信元としてリストされているためです。 | ■ 送信者に関する解析情報
送信者の表示名は「大和カスタマーサービス」となっていますが、実際のアドレスは「help@zgmhwke.cn」です。公式サイトのドメイン(daiwa.jp)とは無関係な中国ドメイン(.cn)が使用されており、100%詐欺であると断定できます。
| ■ メールの本文(忠実再現) ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 【重要】口座登録情報の更新のお願い
拝啓 平素より大和証券をご利用いただき、誠にありがとうございます。 日本証券業協会より通知されました最新の規定に基づき、全てのお客様の口座登録情報は、3年に1度の更新が必要となっております。お客様の口座に関して、現在登録情報の更新が未完了となっております。 つきましては、2026年4月4日 23:59までに登録情報の更新を完了していただきますようお願いいたします。期限までに更新が完了されない場合、口座の一部機能に制限がかかる可能性がございます。 口座情報を更新する(リンク先:https://dqokuk.co*/**FwR) ご不明な点がございましたら、カスタマーサポートまでお問い合わせください。今後とも大和証券をよろしくお願い申し上げます。
|
大和証券株式会社 カスタマーサポートセンター
フリーダイヤル:0120-010-101(平日 8:00~18:00)
携帯電話・IP電話から:03-5555-1111
※本メールは送信専用です。お問い合わせは上記窓口をご利用ください。 © 2026 大和証券株式会社 All Rights Reserved.
| | ■ 犯人の目的と専門的解説
【犯人の目的】
犯人の目的は、証券口座のログイン情報(店番号、口座番号、パスワード)および個人情報の詐取です。盗み取った情報を用いて資産を不正に送金したり、他の犯罪に利用するためのリストを作成することが目的です。
【専門的解説:デザインの罠】
このメールの末尾数行が水色の背景になっている点は、フィッシングメールで多用される典型的なテンプレートです。また、署名にある電話番号「0120-010-101」は実在する大和証券のものですが、リンク先が偽物であるため、この番号が正しいことは信頼の根拠にはなりません。むしろ、正しい番号を記載することで「怪しいと思ったら電話して確認してください」という心理的な安心感を逆手に取っています。
| ■ 送信元(Received)ネットワーク解析 これは送信に利用した情報であり、以下のIPアドレスは信頼できる送信者情報です。 | 送信元ドメイン | mail.zgmhwke.cn | | 送信元IPアドレス | 34.158.20.252 | | ホスト名 | 252.20.158.34.bc.googleusercontent.com | | ホスティング社名 | Google Cloud Platform (GCP) | | 設置国名 | United States (米国) | | ドメイン登録日 | 2026年3月(直近に取得) |
※ホスト名に「bc.googleusercontent.com」が含まれていることから、犯人がGCPのインスタンスをメール配信サーバーとして悪用していることが分かります。ドメイン登録日が受信日の直前であることは、攻撃専用に用意された使い捨てドメインである動かぬ証拠です。
本レポートの根拠データ:送信元解析(ip-sc.net) | ■ 誘導先フィッシングサイトの動的解析 | リンク箇所 | 「口座情報を更新する」ボタン | | リンク先URL | https://dqokuk.co*/KuFwR(伏せ字あり) | | 解析ドメイン | dqokuk.com | | IPアドレス | 104.21.78.214 / 172.67.147.168 | | ホスト名 | cloudflare.com (CDN保護下) | | 設置国名 | United States (米国) | | ドメイン登録日 | 2026年3月28日(攻撃開始の2日前) |
【URLの危険ポイント】
Googleおよびウイルスバスターにより既に「危険」としてブラックリスト登録されています。ドメイン登録からわずか数日で稼働しており、典型的な短期決戦型のフィッシングサイトです。
サイト回線関連情報:解析ページ(ip-sc.net) | ■ リンク先サイトの現在の状態
現在、このフィッシングサイトは当局やセキュリティ機関による対策が進み、アクセス不能(稼働停止)となっています。
| ■ まとめと推奨される対策
過去の事例と比較しても、本メールは「日本証券業協会」という公的機関の名前を出し、法規制を装う点で非常に悪質です。公式サイトでも、このような偽メールに対する注意喚起が強く行われています。
【注意点と対処方法】
1. 送信元アドレスの徹底確認: 「.cn」などの不自然なドメインは即削除してください。
2. リンクを安易に踏まない: 口座情報の更新は、必ず公式サイトのブックマークやアプリから行ってください。
3. 二要素認証の有効化: 万が一パスワードが漏洩しても、物理的な認証がなければ送金できない設定を強く推奨します。 | |