【解析】「期間限定ポイント有効期限切れ」は詐欺?偽楽天メールの手口を調査検証 2026年5月27日
【実録】[spam]付き「楽天PointClub」期間限定ポイント失効メールの罠を徹底分析!アクセス拒否に隠された危険な手口を検証公開
今回ご紹介するのは、私たちの生活に身近な「楽天」を騙(かた)る非常に巧妙なフィッシングメール(本物のサイトにそっくりな偽サイトを作ってIDやパスワードを盗み出す詐欺の手口)です。関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。
こうした詐欺メールは、受信して開いた(閲覧した)段階だけであれば、すぐに金銭的な被害が発生するわけではありません。しかし、画像入りのHTMLメール(画像やリンクを配置してWebページのように見せるメール)や、開封通知(メールが開かれたことを発信者に知らせる仕組み)が仕込まれている場合、「このメールアドレスは現在使われている」というアドレス生体通知(持ち主が今もメールをチェックしているという証拠)が相手に渡ってしまいます。
その結果、今後はさらに多くの詐欺メール送信リスト(ターゲットの名簿)へ登録され、迷惑メールが急増する危険性があります。不審なメールは不用意に開かない、もし開いてもリンクをすぐに触らない姿勢が何よりも大切です。大切な家族がトラブルに巻き込まれないよう、ぜひこの記事の内容を家族のLINEグループ等でも共有してあげてくださいね。
■ このメールの危険度評価
【解析対象メール基本データ】 件名(Subject) [spam] 【楽天PointClub】期間限定ポイント有効期限切れのご案内(※件名に「[spam]」という印が付いている場合、お使いのメールサーバーが自動的に「これは迷惑メールの可能性が非常に高い」と判定した証拠ですので、絶対に信用してはいけません) 送信者表示名 “楽天会員” 発信元メールアドレス ZM***Q@ouesra.gift.kuangshakeji.com(※受信者保護のため一部を伏字にしています。楽天の公式ドメインとは一切関係のない海外拠点の不審な配列です) 発信元ドメインのIPアドレス 35.215.114.249 受信日時 2026年5月27日 13時58分13秒(+0900)
■ 受信メール本文の確認(視覚的特徴と忠実再現) 【受信メールの全体スクリーンショット】
【メール本文の忠実再現テキスト】 Rakuten PointClub 至急・期間限定 ■■■■ 様
いつも楽天グループをご利用いただき、誠にありがとうございます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━期間限定ポイントが失効いたします
————————————————————セキュリティ保護のため、失効予定のポイント数は
せっかくのポイントが無効となる前に、
失効前にポイントを受け取る クリックしてポイント数を確認・即時反映
受取期限:本メール受信から24時間以内
————————————————————※1ポイント=1円!楽天市場や楽天ペイですぐに使えます
・上記URLはお客様専用のリンクです。第三者への共有は絶対にお控えください。
楽天グループ株式会社
【スクショを見た印象とデザインの特徴】 【メールの目的および感想】
■ 配信ルートの技術的フォレンジック解析 項目 ヘッダーから抽出したテキストデータ(一部秘匿) Received-SPF Pass (sender SPF authorized) identity=mailfrom; client-ip=35.215.114.249; helo=gift.kuangshakeji.com; envelope-from=zmdnaq@ouesra.gift.kuangshakeji.com; receiver=***@***.jp 最古のReceivedヘッダー from gift.kuangshakeji.com (kuangshakeji.com [35.215.114.249]) by dmail03.***.net (Postfix) with ESMTP id 29ED82C2F4 for <***@***.jp>; Wed, 27 May 2026 13:58:15 +0900 (JST)
【送信元IPアドレスと最古中継IPの比較・偽装判定】 つまり、このメールはどこか別のサーバーを踏み台にして(乗っ取って)送信されたのではなく、最初から `kuangshakeji.com` という中国系とみられるドメインのサーバーから直接、計画的に配信されたということです。当然、楽天の公式サーバーとは一切関係がありません。
【発信元サーバーの物理位置データ】 調査対象IPアドレス 位置情報(緯度・経度) 詳細マップリンク 35.215.114.249 アメリカ合衆国 オレゴン州 The Dalles ip-sc.net情報マップ Googleマップで位置を確認
■ 誘導先フィッシングサイトの危険性と罠 失効前にポイントを受け取る 」というリンクに仕込まれていた実際のURLは以下の通りです。
検知された不正URL: h**ps://login.ercxmv.com/?xTy8wmCZhnYi&type=rakuten
【セキュリティ警告スクショエリア】 【「アクセス拒否」した画面のスクショ】
【「アクセス拒否」の画面が意味する驚きの裏側:クローキング現象とは】 一見すると「サイトがすでに閉鎖されたのか」「サーバーのセキュリティが働いているのか」と思わされますが、これこそが詐欺グループの極めてずる賢い手口である**クローキング(閲覧者の環境によって表示内容を意図的に切り替える不正な隠蔽技術)**の疑いが濃厚です。
クローキングとは、セキュリティ専門家の解析用パソコンや、Googleなどの検索エンジンの巡回ロボット(自動でサイトを検査するプログラム)がアクセスしてきたときには、こうした「システムエラー画面」や「アクセス拒否画面」をダミーとして表示し、健全なサイトを装って検知を逃れようとする防御策です。その一方で、メール内のリンクをスマホで直接タップした「本物のカモ(被害者候補)」がアクセスしてきたときにだけ、本物そっくりの楽天ログイン画面を表示させて騙し取る仕組みです。
つまり、エラー画面が出たからといって「安全なサイトだったんだ」と安心するのは間違いであり、裏ではしっかりと牙を剥いた詐欺サイトが稼働しているということです。
■ 被害に遭わないための具体的な防衛策 1. メールのリンクは絶対に踏まない、開かない
2. 公式アプリや公式ブックマークを活用する
3. 最新の公式情報を常にチェックする
【公式注意喚起情報】 【ご注意】楽天を装った不正事例(公式ヘルプページ)
■ まとめ:ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
こちら 📌 同じ手口の関連記事:【実録】Amazonを騙る詐欺メールも確認されています→こちら
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る ② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る 
