| みなさん、こんにちは。頼れる街のIT専門家、Heartland-Lab(ハートランド・ラボ)です。 私たちの暮らしに深く根付いている便利なポイントサービスですが、それを悪用して言葉巧みに個人情報を盗み出そうとする、非常に悪質なメールが届きました。 今回ご紹介するのは「dポイント(NTTドコモが提供するポイントプログラム)」を騙るフィッシング詐欺(実在する企業を装って偽のウェブサイトへ誘導し、IDやパスワード、クレジットカード情報を盗み取る犯罪手口)メールですが、これまでに解析した類似の関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。 大切な家族や友人が同じ罠に引っかかって悲しい思いをしないよう、ぜひ最後までお読みいただき、この危険な手口を共有してあげてください。
【実録】dポイント失効を騙る詐欺メールを徹底分析!アクセス拒否画面に隠されたクローキングの手口を公開
📌 最近のスパム(迷惑メール)動向と危険性 現在、dポイントの有効期限や失効を口実にして、偽のログインページへ誘導するフィッシングメールが急増しています。 このような不審なメールは、たとえ本文を開いた(閲覧した)だけであっても、画像付きメールの自動読み込みや、メール内に仕込まれた開通通知(メールが開封されたことを送信元に知らせる仕組み)によって、「このメールアドレスは現在使われている」という情報(アドレス生体通知)が相手に伝わってしまう恐れがあります。 その結果、今後はさらに大量の詐欺メール送信リスト(カモリスト)に入れられてしまう可能性が高くなりますので、不審なメールは極力開かず、すぐに削除することが鉄則です。 | | 緊急性評価 | ★★★★☆(4 / 5)※ポイント失効という言葉で極めて強く行動を急かしてきます | | 危険度評価 | ★★★★★(5 / 5)※クレジットカード情報やdアカウントの認証情報が丸ごと盗まれます | | メール件名 | [spam] 【d POINT】まもなく失効:dポイント受取手続きのお願い | | 件名の見出し補足 | 件名の冒頭にある「[spam]」という表記は、受信サーバーが「このメールは迷惑メール(スパム)の可能性が非常に高い」と自動的に判定し、注意喚起のために付与した目印です。 | | 送信者名 | “dポイントクラブ システム管理部” <hello@izqjlxsi.gifts.gbakuh.com> | | 受信日時 | 2026年5月27日 14:36 | ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 ■ メール本文の検証(スクリーンショットと忠実な再現) 以下は、実際に受信された詐欺メールの表示画面です。 | [メール本文のスクリーンショット画像] 
| 【スクショを見た印象とデザインの特徴】
メールのヘッダー部分(上部)には「d POINT」の公式ロゴに酷似した赤色の背景デザインが施されており、一見すると非常に綺麗で本物らしく作られています。
下部には「株式会社NTTドコモ」という著作権表記(コピーライト)まで偽装して配置されており、視覚的に信じ込ませようとする強い悪意を感じます。 【メール本文の忠実な再現】
※以下は読者の皆様が検索等で確認できるよう、受信されたメールの文字装飾や改行を、ここに可能な限り正確に再現したものです。
■ 件名 [spam] 【d POINT】まもなく失効:dポイント受取手続きのお願い
■ 送信者 “dポイントクラブ システム管理部” <hello@izqjlxsi.gifts.gbakuh.com>
d POINT まもなく失効するdポイントがございます ■■■ 様 平素よりdPOINTをご利用いただき、誠にありがとうございます。 お客様のdPOINTアカウントにおいて、有効期限が間近に迫っているポイントが確認されました。このままお手続きいただけない場合、該当ポイントは自動的に失効し、以後ご利用いただくことができなくなります。 一度失効したポイントの再付与は、いかなる理由があってもお受けできません。dPOINTはドコモの携帯料金のお支払いや、全国の提携店舗でのお買い物にご利用いただける大切なポイントです。失効前の今すぐお手続きください。 dポイントの主な使い道
・ドコモの携帯料金のお支払い(1ポイント=1円)
・全国のdPOINT提携店舗でお買い物
・d払いでのスマートフォン決済 下記ボタンより専用ページにアクセスし、今すぐポイントをお受け取りください。 今すぐdポイントを受け取る ご注意事項
・有効期限を過ぎたポイントは自動的に失効し、復元はできません。
・本リンクはお客様専用のURLです。第三者への共有はご遠慮ください。
・受取手続き完了後、ポイントはすぐにご利用いただけます。 株式会社NTTドコモ
dPOINTサポートセンター ※本メールは自動送信されています。ご返信いただいても対応いたしかねます。
※本メールにお心当たりのない場合は、お手数ですが破棄いただけますようお願い申し上げます。 © NTT DOCOMO, INC. All Rights Reserved. | 【メールの目的と感想】
このメールの目的は、利用者に「ポイントが消えてしまう、もったいない」という焦りの心理(機会損失への恐怖)を植え付け、冷静な判断力を奪って偽のログインボタンを押させることです。
有効期限がいつなのかという具体的な日付が一切書かれていない点が、不特定多数に送りつける典型的な詐欺メールの特徴と言えます。
■ 送信元名とメールアドレス・ヘッダー情報の解析 メールの送信元表示は「dポイントクラブ システム管理部」となっていますが、実際のメールアドレスは hello@izqjlxsi.gifts.gbakuh.com という、ドコモとは全く関係のない無意味な英数字のドメイン(インターネット上の住所)です。 ※メールヘッダーのスクリーンショット画像については、解析を行う上で受信者側の重要なサーバー情報や固有の管理環境が含まれているため、セキュリティ保護の観点からブログ上への画像掲載は控えさせていただきます。何卒ご了承ください。
【ヘッダーから抽出したセキュリティ認証結果】 | Received-SPF | Pass (sender SPF authorized) identity=mailfrom; client-ip=35.215.105.112; | 解析の結果、`Received-SPF` は `Pass`(認証成功)となっています。
これは、「送信元のIPアドレス(`35.215.105.112`)は、確かに `gifts.gbakuh.com` というドメインの正規の管理者から送信されたものである」と証明されていることを意味します。
つまり、犯人はわざわざ自分で取得した使い捨ての詐欺用ドメインに対して、送信ドメイン認証(メールの送信元が偽装されていないかを確かめる技術)を正しく設定し、迷惑メールフィルターをすり抜けようと工夫しているということです。 【時系列で最も古い最下部のReceivedヘッダー】
Received: from gifts.gbakuh.com (gbakuh.com [35.215.105.112])
by ■■■■■■■■■ (Postfix) with ESMTP id A91E3ADC6B
for <■■■■@■■■■■■■■>; Wed, 27 May 2026 14:36:42 +0900 (JST)
| ※セキュリティ保持のため、受信側のサーバー名および受信者メールアドレスは「■■■■」に伏字加工を施しております。 【送信元IPアドレスの偽装判定とロケーション詳細】 メール本文にある送信元ドメインのIPアドレスと、上記の最古の `Received` ヘッダーに記録された経由IPアドレスを照合したところ、完全に一致(`35.215.105.112`)しました。メール送信経路におけるIPアドレスの偽装(乗っ取りや踏み台の経由)はありません。 つまり、日本国内のNTTドコモからの連絡であるはずなのに、実際にはアメリカのクラウドサーバーから配信されているということであり、この時点でおかしな組織からのメールであることは間違いありません。
■ リンク先URLと詐欺サイトの検証(クローキングの罠) メール本文内の「今すぐdポイントを受け取る」という青文字リンクに設定されていた、実際のアクセス先URLは以下の通りです。 【偽装された誘導先URL】
h**ps://login.zzxf-eba.com/?DWmoa7bThgo4&type=dpoint
※安全のため、先頭の「https」を「h**ps」に書き換え、一部を伏字にしてリンクの無効化を行っております。 【リンク先ドメインの稼働状況・詳細解析】 【アクセス検証画面(スクショエリア2)】 [アクセスブロック(クローキング)画面のスクリーンショット] | 【URLが危険と判断できるポイントとクローキングの解説】
このURLへセキュリティ調査環境からアクセスを試みたところ、上のスクリーンショットの通り、中央に大きなバツ印とともに「アクセス拒否 リクエストがブロックされました。後ほどお試しください。 ファイアウォールで保護されています」という真っ白な警告画面が表示されました。 これは、サイトが本当に壊れていたり閉鎖されていたりする訳ではありません。
これこそが犯人の使う「クローキング(特定のアクセス者に対して、全く異なるページを見せる隠蔽工作)」という非常にずる賢い罠なのです。 サイトの裏側にあるプログラムが、アクセスしてきた相手を瞬時にチェックしています。
「Googleなどの検索エンジンが巡回してきた時」や「セキュリティ会社の調査ロボットが確認しにきた時」には、このように無害な『システムエラー画面』や『アクセス拒否画面』をわざと見せて、安全なサイトであるかのように誤魔化します。 一方で、「メールを読んだ本物の人間が、スマートフォンなどから直接アクセスしてきた時」にだけ、綺麗に作られた本物そっくりの「dアカウントログイン画面(フィッシング詐欺サイト)」を露出させ、情報を盗み取ろうとするのです。 つまり、一見すると「アクセス拒否されたから安全だ、サイトが消えている」と見えても、裏ではしっかりと罠が稼働しており、一般の方がスマホで不用意にクリックすると非常に危険な詐欺ページが開いてしまう仕組みであるということです。
■ メールの注意点と具体的な対処方法 万が一、このようなメールを受け取ってしまった場合は、以下の点を徹底してください。 - 本文中のボタンやリンクは絶対にクリックしない: ポイントの確認や手続きは、メールのリンクからではなく、事前にブックマーク(お気に入り登録)した公式の「My docomo」や、スマートフォンの公式「dポイントクラブアプリ」から直接ログインして確認する癖をつけてください。
- 個人情報は絶対に入力しない: 万が一リンクを開いてしまった場合でも、dアカウントのID・パスワード、クレジットカード番号、セキュリティコード、暗証番号などを絶対に入力してはいけません。
- もし入力してしまった場合の対処法: 万が一、詐欺サイトに情報を入力してしまった場合は、ただちに「dアカウントのパスワード変更」「クレジットカード会社への即時連絡(カードの利用停止手続き)」を行ってください。
【ドコモ公式の最新注意喚起情報】
NTTドコモの公式ウェブサイトでも、こうした「dポイントの失効や一時停止」を騙るフィッシングメールに対する注意喚起が随時更新されています。不安に思った際は、必ず以下の公式アナウンスをご確認ください。 ➔ 【NTTドコモ公式】フィッシング詐欺への対策・最新の被害事例
■ まとめ ポイントの有効期限という日常的なテーマを狙ったフィッシング詐欺は、誰もが日常の中で不意に騙されてしまいがちな非常に身近な恐怖です。 身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。➔ こちら 📌 同じ手口の関連記事:【実録】au PAY(※携帯キャリアインフラ系を騙る別ブランド)を騙る詐欺メールも確認されています→こちら | 
