【解析】松井証券を騙る「ログイン時の安全性向上」詐欺メールの正体
【調査報告】最新の詐欺メール解析レポート 松井証券を騙るフィッシングメールおよび偽サイトの技術解析結果 | ■ 最近のスパム動向
今回ご紹介するのは「松井証券」を騙るメールですが、その前に最近のスパムの動向について触れておきます。2026年に入り、新年度の資産管理やセキュリティ見直しを謳った「ログイン追加認証(ワンタイムパスワード)」の未完了を指摘する詐欺が急増しています。特に週末や深夜など、ユーザーが冷静に判断しにくい時間帯を狙って送信される傾向にあります。
| ■ メールの基本データ | 件名 | [spam] 【ログイン時の安全性向上】松井証券からのセキュリティ設定のご案内 | | 件名の見出し | 冒頭に[spam]とあります。これは、送信サーバーの評価が著しく低い、あるいは不審なURLを含んでいるため、受信サーバー側が強制的に警告を付与した証拠です。 | | 送信者 | “松井証券” <yqwtoq@mail33.neihuangzx.com> | | 受信日時 | 2026-04-03 08:33 | | ■ 送信者に関する情報
表示名は「松井証券」ですが、ドメインの「neihuangzx.com」は中国河南省安陽市(Neihuang)を想起させる名称であり、日本の金融機関とは一切関係がありません。明らかに正規の「matsui.co.jp」とは異なる偽装アドレスです。
| ■ メール本文の再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
平素より松井証券をご利用いただき、誠にありがとうございます。本メールは、お客様の口座に関する重要なセキュリティ通知です。 現在、当社が導入を進めている「ログイン追加認証(ワンタイムパスワード)」機能において、アカウントは、設定が未完了の状態にあることを確認しております。 本機能は、ログイン時の本人確認を強化し、外部からのなりすましアクセスや情報漏えいを防止する制度です。 ▼ 認証設定を行う(所要時間:2~3分) hXXps://www.matsui.co.jp/login/(※リンク先は偽装されています) 未設定のままご利用を続けた場合、セキュリティ観点からの制限措置が適用されることもございます。 引き続き安全にご利用いただくため、今すぐのご対応をお願い申し上げます。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■詳細情報:www.matsui.co.jp
■お問合せ先:0120-984-184(平日8:00~17:00)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※本メールは送信専用アドレスからお送りしております。 | | ■ メールの目的及び感想
【犯人の目的】
このメールの目的は、顧客の証券口座ログインID、パスワード、および二要素認証の突破に必要な情報を盗み取ることです。資産の不正送金、あるいは個人情報の売買を最終目的としています。
【デザイン・署名の罠】
デザインはモノトーンで非常に味気なく事務的です。しかし、署名にある電話番号「0120-984-184」は松井証券の正規の顧客サポート番号です。偽のメールの中に本物の電話番号を混ぜることで、警戒心の強いユーザーが検索した際に「正しい連絡先だ」と誤認させ、リンクをクリックさせる巧妙な罠が仕掛けられています。
| ■ Received (送信者情報) 解析 ※以下のIPアドレスは、ヘッダーに記録された「信頼できる送信元情報」です。 | ドメイン | mail33.neihuangzx.com | | 送信元IPアドレス | 34.118.13.229 | | ホスト名 | 229.13.118.34.bc.googleusercontent.com | | ホスティング / 国 | Google Cloud Platform / 米国 | | ドメイン登録日 | whois情報にて要確認 |
「bc.googleusercontent.com」が含まれていることから、攻撃者がGoogle Cloudを送信インフラとして悪用していることが分かります。
▶ ip-sc.netで送信元IP(34.118.13.229)の解析ページを開く | ■ リンク先サイト(詐欺サイト)の解析結果 | 誘導先URL | hXXps://www.paleoceanography.cfd/9JFpxY(※一部伏せ文字) | | ドメインのIP | 104.21.51.109 | | ホスト名 | cloudflare.com (CDNs) | | ホスティング / 国 | Cloudflare / 米国 | | ドメイン取得日 | 直近数日以内 |
ドメイン取得日が最近である理由は、警察やプロバイダによる凍結(テイクダウン)を逃れるため、攻撃の直前に安価な新興ドメイン(.cfdなど)を取得し、使い捨てているためです。
▶ ip-sc.netで取得したIPアドレス(104.21.51.109)を解析 | ■ 詐欺サイトの構成(画像資料) 
【偽物を見抜くポイント】
画像を見て分かる通り、本物の松井証券のログイン画面を完全にコピーしています。しかし、上部にある「フィッシング詐欺等にご注意ください」という警告文までコピーしている点が皮肉です。ブラウザのアドレスバーを確認し、「matsui.co.jp」以外のURLが表示されていれば、それは100%詐欺サイトです。
| ■ メールへの注意点と対処方法
過去の事例と比較しても、公式サイトにある本物の情報を一部引用する手法は共通しています。もし情報を入力してしまった場合は、即座に松井証券の正規サポートへ連絡し、口座の凍結を行ってください。
【公式の注意喚起リンク】
松井証券公式サイト:フィッシング詐欺へのご注意(正規URL:matsui.co.jp) | |