Heartland-Lab
フィッシング詐欺メール・セキュリティ解析レポート |
| みなさん、こんにちは!頼れるITのお兄さん、Heartlandです。 今日も僕たちの元に、思わずドキッとしてしまうような怪しいメールの情報が飛び込んできました。
「おトクなポイントが消えちゃうかも!?」なんて言われたら、誰だって焦って確認したくなりますよね。
でも、ちょっと待ってください。その焦りこそが、悪い人たちの狙い(罠)なんです。 今回も手抜きなしで、裏側で何が起きているのかを専門家目線で徹底的に解剖していきます!
専門的な難しい部分も、カッコの中で分かりやすく解説していくので安心して最後までついてきてくださいね。 |
| 【緊急レポート】最近のスパムメール動向と危険性 当サイトのデータベースアーカイブ(これまでに集まった詐欺メールの記録保管庫)のデータによると、ここ1か月間で流通している迷惑メール全体の約35%が、今回ご紹介するような大手ECサイトや経済圏ブランドを騙る(偽る)手口になっています。 メールを開いただけでは、すぐにクレジットカードからお金を抜かれるような直接的被害(実害)が出るわけではありません。
ただし、今回のように画像が埋め込まれたHTMLメール(ウェブページのように装飾されたメール)を開いたり、リンクを踏んだりすると、「このメールアドレスは現在使われている!」という生体通知(生存確認のアラーム)が犯人側に届いてしまう仕組みになっています。 これによって、あなたのメールアドレスが「アクティブなカモのリスト」に登録され、今後さらに大量の詐欺メールが送りつけられる原因になってしまうのです。怪しいと思ったら、まずは焦らず中身を疑う癖をつけましょうね。 | |
| 【閲覧注意】48時間以内に失効!?楽天経済圏を騙る恐怖の「ポイント受取期限」偽メールを実録大公開!開いただけでカモリスト入りの罠とは? |
| 緊急性 | ★★★★☆(4:非常に高い) | | 危険度 | ★★★★☆(4:巧妙な偽装) | | メール件名 | [spam] 【楽天PointClub】楽天経済圏で使えるポイント受取期限のお知らせ
※件名の頭にある「[spam](スパム)」という文字は、受信サーバーやセキュリティシステムが「これは迷惑メールだよ!」と自動的に判断して付与してくれた警告マークです。 | | 送信者名(From) | “楽天ポイントクラブ” <QEMBNT@wahluykg.smtp.yonkez.com> | | 受信日時 | 2026年5月25日 12:04:17 (+0900) | |
| ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 |
| ■ メール本文のスクリーンショット掲載エリア |
| 【受信したメール本文のスクリーンショット】  
|
■ 受信メール本文の忠実な再現テキスト
※受信した実際のメール内容のデザインや文面を、そのままここに忠実に再現しています。 |
ABCDE 様 いつも楽天グループをご利用いただき、誠にありがとうございます。 楽天経済圏で使えるポイント、
眠らせていませんか? 現在、お客様の楽天IDには未受取の楽天ポイントがございます。このままお手続きいただけないと、せっかくのポイントが失効してしまいます。受け取ったポイントは楽天経済圏のさまざまなサービスで活用できます。下記の活用例をぜひご参考に、今すぐお受け取りください。 楽天市場
日本最大級のショッピングモール | 楽天ペイ
全国のコンビニ・飲食店で決済 | 楽天トラベル
旅行・宿泊予約でお得に | 楽天モバイル
月額料金の支払いに充当 | 1ポイント=1円。受け取ったその日から、すべての楽天サービスでご利用可能です。 受取期限:本メール受信から48時間以内
・上記の受取URLはお客様専用のワンタイムリンクです。第三者への転送はお控えください。
・有効期限経過後はポイントの再付与を承れませんのでご了承ください。
・本メールは送信専用システムより自動配信されております。
楽天グループ株式会社
楽天PointClub お客様サポート
© Rakuten Group, Inc. All Rights Reserved. |
| ■ スクショを見た感じの素直な印象とデザインの特徴 |
一見すると、本物の「楽天ポイントクラブ」から届いたポイント明細メールにそっくりですよね。
赤色を基調とした公式ロゴ(のようなフォント)や、「楽天市場」「楽天ペイ」といったおなじみの関連サービスが綺麗にタイル状に並べられており、デザイン的な違和感はほとんどありません。 しかし、よく観察すると怪しいポイントが見えてきます。
宛名が「ABCDE 様」となっていますが、これは受信したメールアドレスの `@` より前の文字列(アカウント部分)を自動でコピペして当てはめただけです。本物の楽天からのメールであれば、会員登録時にあなたが登録した「本名(フルネーム)」が正しく記載されるはずですよ。 つまり、「綺麗で本物っぽいデザインだけど、宛名がメールアドレスの使い回しで雑な作りになっている」ということです。 |
■ 技術的なヘッダー情報の解析(身元割り出し)
※注意:ヘッダー情報のスクリーンショット画像は、受信者側の固有サーバー情報やセキュリティ環境が丸ごと映り込んでしまうため、セキュリティ保護の観点からブログ上への掲載は見合わせています。その代わり、テキストで伏字処理(マスク処理)を行って安全に中身を解説しますね。 |
メールの通り道や「本当の送信者」が記録されている「メールヘッダー」という部分から、時系列で一番古い `Received`(一番最初にメールが発射されたサーバーの記録)と、送信元ドメインの認証結果を表す `Received-SPF` を抽出しました。 | Received-SPF: None (no SPF record) identity=mailfrom; client-ip=35.219.181.71; helo=smtp.yonkez.com; envelope-from=qembnt@wahluykg.smtp.yonkez.com; receiver=ABCDE@※※※※※※.jp Received: from smtp.yonkez.com (yonkez.com [35.219.181.71])
by dmail04.※※※※※※.net (Postfix) with ESMTP id 80E24424E349
for <ABCDE@※※※※※※.jp>; Mon, 25 May 2026 12:04:19 +0900 (JST) | 【送信者のドメインとIPアドレスの照合】
送信元のメールアドレスに記載されているドメイン(`smtp.yonkez.com`)のIPアドレス(インターネット上の住所)を解析したところ、ヘッダーに刻印されている発信元のIPアドレス【35.219.181.71】と完全に一致しました。 これにより、送信元アドレスの偽装(他のサーバーを乗っ取って名前だけすり替える手法)ではなく、この「35.219.181.71」というサーバーそのものからダイレクトに悪意あるメールが送られてきたことが判明しました。 つまり、「楽天とは1ミリも関係のない海外のクラウドサーバーから直接放たれた攻撃メールである」ということです。 |
| ▼ 発信元IPアドレスの経由ルートおよびロケーション(位置情報) |
| 項目 | IPアドレス | ロケーション / 判定詳細 | | 最古のReceived IP | 35.219.181.71 | アメリカ合衆国(Google Cloud Platform)
緯度・経度:37.751, -97.822
Googleマップで位置を確認 | | 偽装判定結果 | 【偽装確定】 SPFレコードが「None(未設定)」であり、楽天の正規サーバー(@mail.rakuten-card.co.jp等)ではなく、Googleの一般レンタルクラウドから送信されています。 | |
| ■ 誘導先リンクの解析と「アクセス拒否」の正体 |
メール本文の中にある「ポイントを受け取って楽天経済圏で使う」というボタンに仕込まれていた、実際のリンク先URLを調査しました。
(※安全のため、URLの一部に伏字を入れ、リンクを無効化しています) 偽の誘導先URL: h**ps://login.ws90.cn/?DeKmOKd8Moid&type=rakuten 末尾に「`type=rakuten`(楽天タイプ)」というパラメータ(命令の印)が付いており、楽天のユーザーを狙い撃ちにしていることが一目で分かりますね。 |
| ▼ セキュリティ警告・ブロック画面のスクリーンショット掲載エリア |
【ブラウザやセキュリティ製品がアクセスをブロックした画面のスクリーンショット】
 |
3枚目のスクショを見ると、「アクセス拒否 リクエストがブロックされました」と表示されています。
一見、セキュリティフィルターが守ってくれたように見えますが、実はこれ、詐欺師たちによるクローキング(偽装工作)の可能性が非常に高いんです! クローキング(覆面偽装)とは、アクセスしてきた相手が「一般のユーザー」か「セキュリティ会社の調査員(ロボット)」かを判別し、調査員だと分かると「何もありませんよ、ただのエラーです」と安全なページ(ファイアウォール画面など)を見せて正体を隠す、極めて悪質な騙しのテクニックのことです。 つまり、「私たちが調査しようとするとエラー画面に化けて、一般の無防備な人を騙すときだけ本物の偽ログイン画面を出現させる二面性を持っているということです」。 |
| ▼ リンク先ドメインの最新稼働状況と登録詳細 |
| 項目 | 解析データ(手抜きなし詳細情報) | | リンクドメイン | login.ws90.cn | | ドメインIPアドレス | 104.21.32.186 (および 172.67.184.21)
※Cloudflareのプロキシ(身元隠蔽ネットワーク)のIPが使用されています。 | | ロケーション | アメリカ合衆国(Cloudflare 経由)
緯度・経度:37.7749, -122.4194
Googleマップで位置を確認 | | 危険と判断できる点 | 1. 日本の主要サービスである「楽天」なのに、中国の国別トップレベルドメインである「.cn」が使用されている点。
2. 運営者の身元を隠すために、防弾ホスティング(追跡の難しいサーバー)やCDNを悪用している点。 | | サイト稼働状況 | 【クローキング稼働中 / 要警戒】
特定のアクセスに対して「アクセス拒否」を返していますが、攻撃のトリガー(条件)が変わると、いつ最凶のフィッシング画面(クレジットカード泥棒のフォーム)が飛び出すか分からない潜伏状態です。 | |
| ■ メールに遭遇したときの注意点と正しい対処法 |
| もし、これと似たような「受取期限が迫っています!」というメールを見つけても、絶対にメールの中のボタンやURLはクリック(タップ)しないでくださいね! 万が一、怪しいリンクを押してしまい、パスワードやクレジットカード番号を入れてしまった場合は、すぐに以下の公式窓口を参考にして、カードの利用停止やパスワード変更の手続きを急いで行いましょう。 【常に最新の公式注意喚起情報はこちら】
➔ 【楽天市場公式】ヘルプ・お問い合わせ:楽天を偽装したサイト・メール等
➔ 【楽天カード公式】フィッシング詐欺の被害にあわないために 何かを確認したいときは、メールのリンクからではなく、スマホの「公式アプリ」を開くか、あらかじめブラウザに登録しておいた「お気に入り(ブックマーク)」から公式サイトへアクセスするのが一番安全で確実な防衛策ですよ! |
| ■ お兄さんのまとめ今回の「楽天経済圏ポイント受取」のメールは、焦りを誘って偽サイトに誘い込み、さらに調査の目を盗むための「クローキング」まで仕込まれた非常にずる賢いスパムメールでした。 ネットの悪い人たちは、私たちの「ちょっと得したいな」「損したくないな」という優しい心の隙間をいつでも狙っています。
一人でも多くの人がこの知識を持って、騙されない世界を作っていきたいと心から願っています。 |
| 身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。 |
【ブランド別・過去の類似事例をもっと調べる】
当サイトのサイト内検索より、過去に発生した類似のフィッシング事例(楽天ブランドやその他の偽警告メールなど)のリアルタイム解析レポートを多数公開しています。日頃のセキュリティ対策の知識として、ぜひ合わせてチェックしてみてくださいね。 |
| © Heartland-Lab All Rights Reserved. / Supervision by Heartland |
