【実録】dポイント失効の恐怖を煽る偽メールを手口まで徹底分析!ファイアウォール画面の裏に隠された罠とは? みなさん、こんにちは。街の身近なIT専門家として、みなさんの安全なデジタルライフをサポートするHeartlandです。 今回ご紹介するのは「dポイント(NTTドコモ)」を騙る悪質な詐欺メールです。 「本日中に手続きをしないとポイントが完全に失効する」という文面で焦らせ、偽のウェブサイトへ誘導しようとする典型的なフィッシング詐欺(実在の企業を装って暗証番号やカード情報を盗み出す手口)のメールが確認されました。 このようなメールは、開いただけでは実質的な被害(実害)が発生することはほとんどありません。 しかし、メールの中に画像が含まれていたり、メールを開いたことが送信元に自動で伝わる仕組み(開通通知機能)が仕込まれていたりする場合、あなたのメールアドレスが「現在も使われている生きたアドレスである」という事実が犯人グループに伝わってしまいます。 その結果、今後さらに大量の詐欺メール送信リスト(ターゲット名簿)に入れられてしまう危険性がありますので、見覚えのない不審なメールは、極力開かずに削除することが一番の安全策になります。 なお、過去に関連するブランドの詐欺メールが届いている場合もございますので、関連記事はページ末尾に記載のデータベースアーカイブからご覧いただけます。
今回の詐欺メール基本情報 | 緊急性評価 | ★★★★☆(4 / 5) | | 件名(Subject) | [spam] 【d POINT】最終ご案内:本日中のdポイント受取のお願い | | 送信者名およびアドレス | “dポイントクラブ ご利用確認デスク” <YCPELH@wxfmbrgc.notifications.maoyigongfang.com> | | メール受信日時 | 2026年5月26日 08:40:20 (日本時間) | ※重要※ 件名の見出しに「[spam]」(スパム)という文字が付けられている場合、これはお使いのメールサーバーやセキュリティソフトが「このメールは迷惑メール(詐欺メール)の可能性が非常に高いです」と自動で判定してくれた証拠です。この目印がついたメールの中にあるリンクは、絶対にクリックしてはいけません。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
送信者名とメールアドレスの徹底分析 差出人の表記は「dポイントクラブ ご利用確認デスク」となっていますが、実際のメールアドレス(送信元ドメイン)を調査すると、NTTドコモとは一切関係のない謎のドメインになっていることが分かります。 この送信元メールアドレスに使われているドメイン「`wxfmbrgc.notifications.maoyigongfang.com`」について、インターネット上の住所にあたる「IPアドレス」(ネットワーク上の機器を識別する番号)を抽出した結果は以下の通りです。 | 送信元ドメイン | wxfmbrgc.notifications.maoyigongfang.com | | ドメインのIPアドレス | 35.212.249.51 | つまり、大手通信会社であるNTTドコモが、このような一般企業とは無関係の海外ドメインや外部サーバーを使って、お客様の大切なポイントに関する公式通知を送ることは絶対にあり得ないということです。
受信したメール本文の再現と特徴 【受信メールのスクリーンショット】 
実際のメール画面の見た目は、NTTドコモの公式ロゴカラーである「赤(えんじ色)」のヘッダーをあしらい、一見すると本物のように綺麗にデザインされています。 しかし、冒頭の宛名(〇〇様と書かれるべき部分)には、お客様の本名ではなく、**盗用されたメールアカウント名(メールアドレスの@より前の部分)**がそのまま機械的に埋め込まれていました。 以下に、届いたメールの本文をできる限り忠実に再現いたします。 (受信者のアカウント名) 様 平素よりdPOINTをご利用いただき、誠にありがとうございます。本メールは、dポイント有効期限に関する最終のご案内です。 お客様のdPOINTアカウントに付与されたポイントの有効期限が本日をもって到来いたします。本日中にお手続きを完了いただけない場合、該当ポイントは自動的に失効し、以後一切ご利用いただけなくなります。 失効後のポイント復元は、システム上いかなる場合もお受けできかねます。これが最後のご案内となります。dポイントをドコモの携帯料金や日々のお買い物にご活用いただくためにも、今すぐお手続きください。 本日中にdポイントを受け取る 本日が最終受取期限です
期限経過後はポイントが完全に失効し、
復元のご要望には一切お応えできません。 | 株式会社NTTドコモ dPOINTサポートセンター ※ 本メールは自動送信されています。ご返信いただいても対応いたしかねます。
※ 本メールにお心当たりのない場合は、お手数ですが破棄いただけますようお願い申し上げます。 © NTT DOCOMO, INC. All Rights Reserved. | ◎ メールを読んだ専門家の感想と目的 このメールの目的は、利用者をパニックに陥れて冷静な判断力を奪い、本文中の青い文字のリンク(本日中にdポイントを受け取る)をクリックさせることです。 「本日中に失効」「いかなる場合も復元できない」と極端に期限を強調する文面は、フィッシング詐欺グループの常套手段(いつも使う決まったやり方)です。 また、最下部に公式の著作権表記「© NTT DOCOMO, INC.」などを記載して本物っぽく見せていますが、文章のフォント(文字の形)や記号の使い方が一部不自然であり、海外の業者がテンプレート(雛形)を流用して作成したものであることが透けて見えます。
メールヘッダーの解析(通信ルートの裏付け) メールがどのような経路をたどって送られてきたかを記録した「ヘッダー情報」を専門的に解析しました。 なお、ヘッダー情報には受信者の個人用サーバーに関する極めて具体的な情報が含まれており、セキュリティ保護の観点からスクリーンショット画像そのものは掲載できませんので、解析に必要な重要データのみを以下に安全に抽出いたします。 | Received-SPF | Pass (sender SPF authorized) identity=mailfrom; client-ip=35.212.249.51; | 最古のReceived
(配送元の最初の記録) | from notifications.maoyigongfang.com (maoyigongfang.com [35.212.249.51])
by *****02.***.net (Postfix) with ESMTP id 1F1024240E38
for <*****@***.jp>; Tue, 26 May 2026 08:40:20 +0900 (JST) | ◎ 送信元IPとヘッダーIPの比較・偽装判定 差出人メールアドレスのドメインのIPアドレスと、ヘッダーに記録された実際の送信元IPアドレス(`35.212.249.51`)は一致しています。 また、「Received-SPF」(送信元が偽装されていないかを検証する技術)も「Pass」(認証成功)となっています。 これは「ドコモのふりをして正しく送られた」という意味ではなく、**「犯人が用意した詐欺用ドメイン(maoyigongfang.com)から、計画通りにそのまま発信された偽メールである」**という動かぬ証拠になります。 この発信元IPアドレス(35.212.249.51)の位置情報(ロケーション)を詳しく調査した結果は以下の通りです。 | 調査対象IPアドレス | 35.212.249.51 | | 詳細マップ情報 | ip-sc.netでルートを確認する
位置座標:緯度 4.5964 / 経度 -74.0721(コロンビア共和国 ボゴタ付近) | つまり、日本国内のドコモからではなく、地球の裏側にあるコロンビアのネットワークサーバーを経由して送り付けられてきたということです。
誘導先リンクとクローキング(目隠し罠)の解説 メール本文にある「本日中にdポイントを受け取る」という部分に仕込まれていた、実際のジャンプ先URL(リンク先)は以下のものでした。 h**ps://www.sh-dxdl.com/?BALiqpGdV8hI&type=dpoint
(※安全のため一部を伏字にし、リンクを無効化しています)
このリンク先ドメイン「`sh-dxdl.com`」について、さらにディープに解析を行ったデータ一報がこちらです。 | リンク先ドメイン | www.sh-dxdl.com | | ドメインのIPアドレス | 156.236.78.146 | | サーバー位置情報 | ip-sc.netでマップを見る
位置座標:緯度 34.0522 / 経度 -118.2437(アメリカ合衆国 ロサンゼルス付近) | | 現在の稼働状況 | 稼働中(クローキング遮断状態) | 【アクセス拒否画面のスクリーンショット】 ◎ なぜ「アクセス拒否」の画面が出るのか? このURLにアクセスすると、「アクセス拒否 リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」という白いエラー画面が表示されます。 一見すると「サイトが閉鎖されていて安全だったのかな?」と思ってしまうかもしれませんが、これこそが詐欺グループの高度な罠である**「クローキング」**(アクセス者の正体によって表示する画面をガラリと変える隠蔽工作)の疑いが濃厚です。 クローキングとは、セキュリティ会社の調査ロボットやAIがアクセスしてきたときには、今回のような「システムエラー風の無害な画面」を見せて追及をかわし、一般のスマートフォンや特定の条件を満たした被害者のブラウザ(ネット閲覧ソフト)がアクセスしたときだけ、本物そっくりの「dアカウントログイン画面」を表示してクレジットカード情報などを盗み取る狡猾な技術です。 画面がブロックされているように見えても、裏では詐欺サイトのシステムがしっかりと「稼働中」であり、非常に危険な状態が維持されています。 つまり、エラー画面が出たからといって「安全なサイトだったんだ」と油断して何度もアクセスを試みるのは非常に危険だということです。
被害に遭わないための対策と、万が一の対処方法 このような偽メールに騙されないためのポイント、および情報を入力してしまった場合の対処法をまとめました。 【予防のための注意点】 - リンクを絶対に押さない:ポイント失効やアカウント停止を急かすメールが届いても、メール内のボタンは押さず、スマートフォンの公式アプリ(dポイントクラブアプリなど)や、あらかじめ登録しておいた本物の「ブックマーク」(お気に入り登録)から公式ページにアクセスして確認する習慣をつけてください。
- URLのドメインを確認する:ドコモの公式な案内URLには、必ず「`docomo.ne.jp`」や「`smt.docomo.ne.jp`」といった正規の文字が含まれます。今回のような無関係の英文字ドメイン(`sh-dxdl.com`)は100%偽物です。
【万が一、情報を入力してしまった場合の対処法】 - パスワードを即座に変更する:もしdアカウントのパスワードを入力してしまった場合は、犯人に不正ログインされる前に、大至急ドコモの公式サイトから「パスワードの変更」および「パスキー認証の再設定」を行ってください。
- クレジットカード会社へ連絡する:クレジットカード番号や暗証番号を入力してしまった場合は、すぐにカード会社(dカードをお持ちならdカード受託センターなど)の紛失・盗難窓口へ電話し、カードの利用を一時停止させてください。
専門家からのまとめ 今回のdポイントを狙ったフィッシング詐欺メールは、デザインが非常に巧妙であり、一瞬「あれ?」と信じてしまいそうになる完成度です。 しかし、一歩立ち止まって「メールアドレスの不自然さ」や「海外サーバーからの送信記録」を見抜くことで、被害は確実に防ぐことができます。 身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。 関連する過去の解析事例はこちらから検索できます。 | 
