【実録】「新認証システム(パスキー)導入に伴うお手続きのお願い」マネックス証券を騙る詐欺メールの手口を徹底分析 みなさん、こんにちは。頼れる街のIT専門家です。
このところ少し影を潜めていた「マネックス証券」を騙るフィッシング(情報を盗み出す)詐欺メールですが、また新たなネタを抱えて戻ってきました。 今回の手口まずは、直近で多くの金融機関が本格導入を進めている「パスキー(暗証番号やパスワードの代わりに従業員の生体情報などを活用する次世代の認証仕組み)」への移行手続きです。
セキュリティ強化の案内に見せかけて、大切な資産が眠る口座の鍵を奪おうとする非常に狡猾な手口となっています。 「出金制限」といった言葉に焦ってクリックしてしまう前に、この記事の解析結果を読んで冷静に対処してください。大切な家族をネット犯罪から守るためにも、ぜひこの情報を共有して役立ててくださいね。
最近のスパム動向 今回ご紹介するのは「マネックス証券」を騙るメールですが、関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。 このようなフィッシングメールは、受信して開いた(閲覧した)だけであれば、すぐに金銭的な実害が発生することはありません。
しかし、画像付きのHTMLメール(リッチな装飾ができる形式のメール)を表示させたり、メール内に仕込まれた「開通通知(メールが読まれたかを犯人側に知らせる仕組み)」が作動したりすると、アドレスの生体通知(そのメールアドレスが現在も使われているという証明)が行われてしまいます。 その結果、生存している有効なアドレスとして「詐欺メール送信リスト」に登録され、今後さらに多くのスパムメールや詐欺の標的にされる可能性が高まりますので注意が必要です。 | 緊急性評価 | ★★★★☆(4/5)
「数日以内の期限までにアップグレードしないと出金や入金を制限する」と書き、受信者をパニックに陥れて手続きを急がせます。 | | 危険度評価 | ★★★★★(5/5)
証券口座のログインIDやパスワードが盗まれた場合、投資信託や資産が勝手に売却され、不正に出金される致命的な被害に繋がります。 |
不審なメールの基本情報 確認された不審なメールの概要は以下の通りです。 | 件名(Subject) | [spam] 新認証システム(パスキー)導入に伴うお手続きのお願いNo.82554 | | 送信者名 | “マネックス証券” <info@monex.co.jp> | | 受信日時 | 2026年5月26日 11:41 | ※件名の先頭に「[spam](スパム判定)」という目印が自動で付与されています。これは、インターネットプロバイダなどの受信サーバーが「このメールは詐欺や迷惑メールの可能性が非常に高い」と自動検知した証拠です。この目印がある場合は、内容を絶対に信用してはいけません。
【実録】メール本文のスクショと忠実な再現 実際に届いたメールの画面構成になります。 【受信したメール本文のスクリーンショット】 
画面を見てみますと、公式ロゴなどの添付こそありませんが、文字の太さや色使い、本物のフッター情報(金融商品取引業者の登録番号など)を流用しており、文章の形は一見すると本物のように見えます。
以下に、メールの本文をできる限り忠実に再現いたしました。 件名: [spam] 新認証システム(パスキー)導入に伴うお手続きのお願いNo.82554
送信者: “マネックス証券” <info@monex.co.jp>
マネックス証券株式会社 – サービス仕様変更のお知らせ お客様各位 平素は格別のご高配を賜り、厚く御礼申し上げます。 このたび、当社オンラインサービスの利便性と安全性の向上を目的とした「次世代認証システム(パスキー)」への移行に伴い、お客様のログイン環境のアップグレードが必要となりました。 対象口座 総合取引口座
更新項目 新認証プロトコル(MFA/Passkey)の有効化
更新期限 2026年5月30日 23:59
参照コード MNX-AUT-2026-RRAIJ9 期限までにアップグレードが完了されない場合、セキュリティ保護のため、一時的にオンラインでの「出金指示」および「即時入金」ONG>機能を制限させていただく場合がございます。 ■ お手続き方法 以下の専用ポータルよりログインいただき、画面の案内に従って新認証の登録を完了させてください。 ▼ マネックス証券・オンライン認証ポータルへ ————————————————– 【ご注意】
・お手続きはスマートフォン(生体認証対応)での操作を推奨しております。
・本メールに心当たりのない場合は、速やかにカスタマーセンターまでご連絡ください。 マネックス証券株式会社
金融商品取引業者(金商)第165号
加入協会:日本証券業協会、一般社団法人 金融先物取引業協会 | 配信停止設定:https://www.monex.co.jp/
管理番号:K7ZN7CI Q | お兄さんの視点・メールの目的と感想:
文章の途中に「即時入金」ONG>」といった不自然な英語のプログラムのゴミ屑のようなものが混入しています。これは、海外の詐欺グループがメール送信テンプレートを編集した際に発生したミスと考えられます。
近年、実際にネット証券各社が「パスキー」の必須化を進めているタイムリーな話題を悪用し、「今やらないと出金できなくなる」という心理的な脅迫を狙った非常に質の悪いスパムです。
【技術解析】メールヘッダーから判明した偽装判定 差出人の表示は一見「info@monex.co.jp」という公式のアドレスに見えますが、メールの送信元情報はいくらでも偽装が可能です。
メールの裏に記録されている「メールヘッダー」を確認し、実際の送信経路を解析しました。
※ヘッダー情報の生データには、受信者側のサーバー固有の情報などが含まれるためスクリーンショットの掲載は控え、解析した重要ポイントのみを抜粋して説明します。 解析によって抽出された、時系列上で最も古い(送信元に一番近い)Receivedヘッダーと、送信元ドメインの認証記録(Received-SPF)は以下の通りです。 | Received (最古) | from norep01.lwygwl.com (norep01.lwygwl.com [34.180.105.200])
by *****03.***.net … | | Received-SPF | Pass (sender SPF authorized) identity=mailfrom; client-ip=34.180.105.200; helo=norep01.lwygwl.com; envelope-from=norep01-*****=***.jp@norep01.lwygwl.com; | ※セキュリティの関係上、受信者のドメインやアドレスの含まれる部分は「***」に伏せ字処理を施しています。 表示されている差出人はマネックス証券(monex.co.jp)ですが、実際にメールを放流したサーバーのIPアドレスは34.180.105.200、そのサーバーが名乗っている本物のドメインはlwygwl.comです。
つまり、公式のアドレスを完全に騙り、全く関係のない海外の使い捨てサーバーから送信された偽物メールであるということです。 この送信元のIPアドレス「34.180.105.200」がどこからアクセスしてきているか、物理的なロケーション(位置情報)を調べました。
【アクセス検証】仕組まれた「クローキング」と偽画面への誘導 メール本文内にある「▼ マネックス証券・オンライン認証ポータルへ」というリンク。これに隠された実際の誘導先URLは以下のものでした。 実際のリンク先URL: h**ps://qjhmdztbzpposf.top/jp(安全のため先頭の一部を伏せ字にしています) マネックス証券のドメインではなく、「qjhmdztbzpposf.top」という、ランダムな英字を並べただけの極めて不審なトップレベルドメイン(.top)が使われています。マネックス証券公式がこのような無秩序なドメインを使用することは絶対にありません。 ① セキュリティシステムによるアクセス遮断(警告画面) このURLにアクセスを試みると、Googleなどのセーフブラウジング(危険サイト検知機能)が働き、画面が真っ赤に染まる警告ページが表示されます。 【ブラウザの危険サイトブロック警告(赤い画面)のスクリーンショット】 
これは、このドメインがすでに多くのセキュリティベンダー(安全性を調査する組織)にフィッシングサイトとして認知され、ブロック対象のブラックリストに入れられていることを示しています。 ② 人間のアクセスのみを選別する「クローキング」の壁 さらに、警告を回避して進むと、「接続の安全性を確認しています」というCloudflare(クラウドフレア)等のセキュリティチェックに似せた人間確認用のパズルやチェックボックス画面が表示されます。 【接続確認・人間認証風の画面スクリーンショット】 
これは、いわゆるクローキング(隠蔽工作)と呼ばれる悪質な技術が使われている疑いがあります。
自動でサイトを巡回して検知するセキュリティ会社のロボット(調査プログラム)がアクセスしてきたときには「アクセス拒否」の偽ページを返し、一般の人間がアクセスしてきた時だけ本物のフィッシング画面を見せる仕組みです。警察の目を盗んで営業する闇カジノの入り口のような罠です。 ③ 最終目的地:本物そっくりに複製された「偽ログイン画面」 人間確認をパスすると、最終的に以下のような「偽のログインサイト」へ着地します。 【本物を丸ごとコピーした偽ログイン画面のスクリーンショット】 
黄色のカラー、ロゴマーク、ログインフォームのレイアウト、さらには現在実施されている「春のキャンペーンバナー」に至るまで、本物の公式サイトのデザインをそのまま丸パクリして作られています。
ここでログインIDや固定パスワード、暗証番号を入力して進めてしまうと、入力したすべての情報がリアルタイムで犯人の元へ送信され、即座に口座が乗っ取り被害に遭う仕組みです。 この詐欺サイトの現在の運営ステータスおよびサーバー詳細は以下の通りです。 | リンクドメイン | qjhmdztbzpposf.top | | ドメインIPアドレス | 172.67.172.164
104.21.57.177
(※Cloudflareのプロキシネットワークを通すことで、本当のサーバーの場所が隠蔽されています) | | ロケーション | アメリカ合衆国 カリフォルニア州 サンフランシスコ付近
緯度:37.7749 / 経度:-122.4194
Googleマップで位置を確認する | | サイトの稼働状況 | 現在も稼働中(厳重な警戒が必要です) |
注意点と対処方法 このような「手続きを求める不審なメール」を受け取った際、または間違えてアクセスしてしまった際の適切な対応手順を解説します。 - メール内のURLリンクからは絶対にログインしない
証券会社や銀行などの金融機関が、メールのリンクから直接ログインを求めることは原則ありません。手続きの通知が本物かどうか確かめたい場合は、あらかじめ自分で登録しているブラウザの「ブックマーク(お気に入り)」や、公式の「スマートフォンアプリ」を起動してログインし、お知らせ欄を確認する癖をつけてください。 - 万が一、情報を入力してしまった場合の緊急措置
もし偽の画面にログイン情報を打ち込んでしまったことに気づいたら、一刻も早く「本物の公式サイト」にログインし、ログインパスワードおよび取引パスワードの変更処理を完了させてください。
もしすでにログインできなくなっている場合は、大至急マネックス証券のカスタマーセンター(緊急停止窓口)へ電話連絡し、口座の「利用停止・取引凍結」を依頼してください。 - 公式が提供する正しい多要素認証を設定しておく
今回の詐欺メールの文面にもあった「パスキー」や「多要素認証(スマホアプリでの承認など)」ですが、これらは本物の公式サイトやアプリから設定しておくことで、万が一パスワードが流出してしまった場合でも、第三者による不正アクセス(口座の乗っ取り)を防ぐための強力な盾になります。詐欺に騙されず、正しい方法でセキュリティを強化しておきましょう。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 「出金制限」や「全機能停止」という文字を見せられると、誰しも慌ててクリックしてしまいがちですが、それこそが犯人の思うツボです。一度立ち止まり、URLがおかしくないか、不自然な記号や文字化けがないかを確認するようにしてください。 身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。 | 
