【緊急】不正アクセス検知に伴うパスワード変更およびパスキー確認のお願いは詐欺!
【調査報告】最新の詐欺メール解析レポート
今回ご紹介するのは「マネックス証券」を騙るメールですが、その前に最近のスパムの動向を解説します。最近は、従来のパスワード窃取に加え「パスキー」の登録確認を促す手口が急増しています。これは二要素認証の突破を狙う極めて危険な攻撃です。 | | ■ 基本情報 | | 件名 | [spam] 【緊急】不正アクセス検知に伴うパスワード変更およびパスキー確認のお願い No.45462110 | | 件名の見出し | 冒頭の「[spam]」タグは、サーバーがこのメールを「迷惑メール」と判断した証拠です。これが付いている時点で開封には細心の注意が必要です。 | | 送信者 | “MONEX” <mail@suntory.co.jp> | | 送信ドメイン | suntory.co.jp | | 偽装の指摘 | 【警告】送信元ドメインが「サントリー」になっています。証券会社が飲料メーカーのドメインを使用することは100%あり得ません。完全に偽装されたアドレスです。 | | 受信日時 | 2026-04-09 11:46 | | マネックス証券より送信された安全なメールです 【重要】口座の安全性に関する緊急のご案内 平素よりマネックス証券をご利用いただき、誠にありがとうございます。 当社システムによるモニタリングの結果、お客様の口座において第三者による不正アクセスの可能性を検知いたしました。資産保護のため、以下の対応を直ちに実施してください。 | 第三者による不正アクセスの可能性がある場合は、すみやかにログインパスワードと取引パスワードを変更してください。 また、第三者によってパスキーが登録されていないかどうか確認し、登録されている場合は削除してください。 | ※お手続き完了後、セキュリティ状況が更新されます。 | 株式会社マネックス証券 金融商品取引業者 関東財務局長(金商)第165号
加入協会:日本証券業協会、一般社団法人金融先物取引業協会
Copyright (C) MONEX, Inc. All Rights Reserved. P9MY5V | ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 | ■ 専門的解析と犯人の目的 | 犯人の目的 最大の目的は、証券口座のログイン情報(ID・パスワード)および、高度な認証手段である「パスキー」を犯人自身の端末に紐付けることです。これにより、資産の不正送金や売却を自由に行える「完全な乗っ取り」を狙っています。 メールデザインの巧妙さ 冒頭に「安全なメールです」というバナーを配置し、正規のセキュリティ通知を装う「逆説的心理」を突いています。また、著作権表記や登録番号を記載することで、専門家でない一般利用者を信じ込ませる作りになっています。 署名と情報の真偽 メール末尾の登録番号などは本物を模倣していますが、連絡先電話番号が記載されていない点、あるいは公式サイトの番号と照合して異なる場合は、偽物である決定的な証拠となります。 | | ■ Received(送信元情報:信頼できる送信者データ) | | Receivedヘッダー | from dwqaw.cn (dwqaw.cn [34.186.202.162]) | | 送信IPアドレス | 34.186.202.162 | | 送信ドメイン | dwqaw.cn (偽装されている可能性大) | | ホスト名 | 162.202.186.34.bc.googleusercontent.com (Google Cloud) | | 送信国名 | United States (アメリカ合衆国) | | ドメイン情報 | dwqaw.cnは中国ドメインですが、実際の送信元は米国のGoogle Cloudサーバーです。送信元とドメインの不一致が顕著です。 | | 回線解析エビデンス | https://ip-sc.net/ja/r/34.186.202.162 | | ■ リンク先ドメイン情報 | | 誘導先URL | h**ps://www.leayoph.com/?login=xNbB4ze0FU*** (伏字含む) | | リンクドメイン | www.leayoph.com | | IPアドレス | 104.21.36.195 | | ホスト名 | 104.21.36.195 (Cloudflare) | | 国名 | United States (アメリカ合衆国) | | ドメイン登録日 | 2026年3月28日 (取得から12日しか経過していません) | | 登録日の重要性 | マネックス証券のような大手企業が、わずか数日前に取得したドメインで重要通知を送ることはありません。これは典型的な使い捨て詐欺ドメインです。 | | 解析エビデンス | https://ip-sc.net/ja/r/104.21.36.195 | | ■ リンク先サイトの状態 | | 【アクセス拒否:リクエストがブロックされました】 
現在、この詐欺サイトはセキュリティファイアウォールによって保護・遮断されています。Googleやウイルス対策ソフトによって「危険」と判断されたため、被害の拡大が防がれている状態です。 | | ■ 対策とまとめ | | 今回のケースでは、送信者のドメインが「suntory.co.jp」である点、ドメイン取得日が直近である点から、明らかな偽物と断定できます。過去の類似事例と比較しても、誘導先URLの文字列が全く無関係であるのが特徴です。 【注意点】
・メールアドレスの表示名だけを信じない。必ずドメインを確認してください。
・公式サイトでは「メールからログインを促すことはあっても、ドメインが異なることはない」と注意喚起しています。
マネックス証券 公式注意喚起ページ:
https://info.monex.co.jp/security/measure/phishing.html | |