【公開】三井住友カードを騙る「10000Vポイント進呈」の調査結果
【実録】三井住友カードを騙る「Vポイント10000ポイントプレゼント」詐欺メールの手口を徹底分析して公開
みなさん、こんにちは。頼れる街のIT専門家です。
いつもブログをご覧いただき、本当にありがとうございます。
今回は、非常に巧妙で、思わず騙されてしまいそうになる最新のフィッシング詐欺(偽のサイトへ誘導して情報を盗み出す手口)のメールについて詳しく解説いたします。
今回ご紹介するのは「三井住友カード」を騙るメールですが関連記事もページ末尾に記載のデーターベースアーカイブからご覧頂けます。
⚠️ 重要なスパム動向と注意点
このような不審なメールは、開いただけでは直接的な金銭被害(クレジットカードの不正利用など)に繋がる実質的被害はありません。
しかし、画像付きのHTMLメール(ホームページのような装飾がされたメール)や、サーバーへの開通通知機能が含まれている場合、メールを開いた瞬間に「このメールアドレスは現在使われている」というアドレス生体通知(生存確認)が行われてしまう恐れがあります。
その結果、今後は別の詐欺メール送信リスト(ターゲット名簿)に登録され、迷惑メールが急増する可能性がありますので十分に注意が必要です。
| 緊急性評価: | ★★★★☆ (4/5) 「5月31日まで」という非常に短い有効期限を設定し、受信者に冷静な判断をさせないよう強く焦らせる手口です。 |
| 危険度評価: | ★★★★☆ (4/5) 本物のログイン画面(Vpass)を忠実にコピーした偽サイトへ誘導されるため、パスワードやカード情報が盗まれるリスクが非常に高いです。 |
受信メールの基本情報
| 件名(Subject) | [spam] 【緊急】10000Vポイント進呈|5月31日まで |
| 件名の解説 | 見出しに「[spam]」という文字が自動付与されています。 これは、受信者の利用しているメールサーバーが、配信元の挙動や過去のデータから「これは迷惑メール(詐欺メール)の可能性が極めて高い」と自動的に判定して警告をつけてくれた証拠です。 |
| 送信者名 | “三井住友カード” |
| 送信元アドレス | <sqly@sq39.yyuuz.com> |
| 受信日時 | 2026年5月28日 09:53:09 (木曜日) |
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
【受信メール本文のスクリーンショット】
【受信メールの見た目の特徴】
実際のメール画面を確認すると、本文の背景が白で後半末尾数行が水色の詐欺メール配色で装飾されています。
一見すると公式からの案内状のように作り込まれていますが、宛名部分が「 様」と空白になっており、個人の名前を特定していない典型的な大量送信スパムの形をしています。
受信メール本文の再現
※以下は、被害防止と検証のために受信メールの文章をできる限り忠実に再現したものです。
送信者 “三井住友カード” <sqly@sq39.yyuuz.com>SMBC
三井住友カード
Vpassポイント進呈に関するご案内
本メールは特典ポイント受取に関する大切なお知らせです。
様
平素より三井住友カードをご利用いただき誠にありがとうございます。
この度、お客様が対象となる特典ポイントの受け取りが可能となりましたのでご案内申し上げます。
■ 特典ポイント内容
キャンペーン特典ポイント
Vポイント 10000ポイント プレゼント
● ポイント進呈日 : 2026年5月27日
● ポイント受取期限 : 2026年5月31日まで
● ポイント種別 : Vポイント(期間限定)
■ ポイント受取方法について
本特典ポイントは自動付与ではなく、お客様による受け取り操作が必要です。
下記の専用ページより、進呈日より3日以内にお手続きいただきますようお願いいたします。
※3日以内に受け取りが行われなかった場合、本特典ポイントは自動的に失効いたします。
三井住友カード 特典ポイントを受け取る
※受取手続き後、ポイントは数日以内に反映されます。
※必ず公式サイトへアクセスしていることをご確認ください。
■ ご注意事項
● ポイント受取期限は進呈日より3日間です。期限を過ぎた場合、自動的に無効となります。
● ポイントは期間限定ポイントとして進呈されます。
● 受取後の有効期限や利用方法はVpass内でご確認ください。
※本メールはご案内専用のため、返信いただいても個別のご質問にはお答えできません。あらかじめご了承ください。
三井住友カード
ポイントプログラム事務局
__________________________________________________________________
ご不明な点がございましたらVpass内のお問い合わせページをご利用ください。
発行者
三井住友カード株式会社
大阪市中央区今橋4丁目5-15
__________________________________________________________________
本メールの内容は無断転載を禁じます。
Copyright (C) 2026 Sumitomo Mitsui Card Co., Ltd.
oMKeVU1h
技術的な送信元解析と偽装判定
送信者のメールアドレスは sqly@sq39.yyuuz.com となっています。
三井住友カードの公式ドメイン(インターネット上の住所のようなもの)は通常「smbc-card.com」などですが、このメールは全く関係のない「yyuuz.com」という不審なドメインから送られています。
この送信元ドメイン「sq39.yyuuz.com」のIPアドレス(ネットワーク上の個別の識別番号)を調査したところ、以下のネットワーク情報が確認されました。
・送信元ドメインIPアドレス:34.104.206.202
【メールヘッダー情報の抽出結果】
メールの配送ルートを記録した「ヘッダー情報」から、セキュリティ認証結果(Received-SPF)と、時系列で最も古い(一番最初に送信された)中継サーバー情報(Received)を抽出します。
※なお、詳細なメールヘッダーの全体スクリーンショット画像は、受取人様の個人情報や契約しているサーバーの具体的な内部構造情報を含んでいるため、安全上の観点から本記事への掲載は控えさせていただきます。
Received: from sq39.yyuuz.com (sq39.yyuuz.com [34.104.206.202])
by *****.■■■■.net (Postfix) with ESMTPS id 9C72F4245DD0
for <*****@■■■■■■■■.jp>; Thu, 28 May 2026 09:53:10 +0900 (JST)
上記の通り、中継経路の記録に残っている最古のIPアドレスも 34.104.206.202 であり、送信元アドレスのドメインが指し示すIPアドレスと完全に一致しています。
つまり、これはサーバーを騙し討ちした「名前のなりすまし」ではなく、「yyuuz.com」という詐欺専用に取得された不審なドメインのサーバーから直接ストレートに送信されてきたということが分かります。
【中継サーバーのIPアドレス・ロケーション情報】
| 項目 | 解析データ内容 |
|---|---|
| 最古の経由IP | 34.104.206.202 |
| 位置情報(緯度・経度) | 緯度: 37.751, 経度: -97.822 |
| 地図リンク | Googleマップで位置を確認する |
| 詳細検索リンク | ip-sc.netで詳細履歴を確認 |
※注意:IPアドレスから割り出される地理的なロケーション情報は、プロバイダの割り当て変更などにより刻々と変化するため、あくまで解析時点の参考値となります。
【メールの目的】
このメールの目的は、受信者に「何もせず放置すると10,000円分のポイントが消えてしまう」という強い焦りと損得勘定を抱かせ、本文中の青文字リンク「三井住友カード 特典ポイントを受け取る」を急いでクリックさせることです。
つまり、焦燥感を煽って冷静な思考を奪い、偽のログイン画面へと誘導することが唯一の狙いです。
リンク先URLと巧妙なクローキング手口の検証
メール本文にあるリンクボタンの実際の転送先URLは以下の通りです。
・実際のリンク先URL:https://vvcizqqy.top/jp (※安全のため頭文字の一部を書き換えています)
【「サイトへの接続が安全かどうか確認しています」というセキュリティ認証(人間判定)のスクリーンショット】
このURLをクリックすると、最初に「サイトへの接続が安全かどうか確認しています」「セキュリティ対策のため、表示された盾アイコンをすべてタップしてください」といった、まるでCloudflare(クラウドフレア:大手のセキュリティ・ネットワーク保護サービス)を模したような画面が表示されます。
これは一見、サイトが安全対策を行っているように見えますが、実は「クローキング」と呼ばれる非常に悪質な詐欺の技術です。
クローキング(Cloaking)とは、アクセスしてきた相手が「Googleなどの安全巡回ロボット(調査員)」なのか「一般の騙されそうな人間」なのかを判別し、表示する画面をガラリと変える騙しの手法です。
ロボットによる自動検知や、セキュリティ会社の巡回をブロックして「エラーページ(アクセス拒否:リクエストがブロックされました)」などを意図的に見せることで、フィッシングサイトが即座に閉鎖されるのを防ぎ、寿命を長引かせる目的で使われます。
つまり、一般のユーザーがアクセスした時だけ、人間判定のボタンを押させて奥にある本物のフィッシング詐欺画面に進ませるという仕組みです。
【三井住友カードVpassの偽ログイン画面スクリーンショット】
その人間判定をクリアして進んだ先にあるのが、本物の「Vpassログイン画面」をそっくりそのまま盗用して作った偽のログインサイト(フィッシング詐欺サイト)です。
ここで「VpassID」や「パスワード」、さらにその後に要求される「クレジットカード番号」「暗証番号」「セキュリティコード」などを入力してしまうと、その瞬間にすべての情報が犯人側のサーバーへ転送され、即座に不正利用の被害に遭ってしまいます。
【誘導先フィッシングサイトのサーバー・稼働情報】
| 項目 | 解析データ内容 |
|---|---|
| リンク先ドメイン | vvcizqqy.top |
| ドメインIPアドレス | 172.67.170.187 |
| サーバー位置情報 | 緯度: 37.751, 経度: -97.822 (アメリカ) |
| 地図リンク | Googleマップで位置を確認する |
| 詳細検索リンク | ip-sc.netで詳細履歴を確認 |
| URLの危険判定ポイント | 公式ドメイン(smbc-card.com)とは1文字もかすっていない全く無関係な「.top」ドメインを使用している点、およびアクセス時にセキュリティロボットを排除する「クローキング仕組み」を導入している点。 |
| 現在の稼働状況 | 現在も絶賛「稼働中」であり非常に危険です |
※注意:IPアドレスから割り出される地理的なロケーション情報は、プロバイダの割り当て変更などにより刻々と変化するため、あくまで解析時点の参考値となります。
身を守るための注意点と対処方法
- メールのリンクからは絶対にログインしない:
今回のような「ポイント進呈」「アカウント停止」「不正利用の確認」といった案内メールが届いても、本文中のリンクやボタンは絶対にクリックしないでください。 - 公式アプリやブックマークの徹底:
利用状況を確認する場合は、事前にスマートフォンにインストールしてある「三井住友カードの公式Vpassアプリ」、またはあらかじめブラウザに登録してある「正しいお気に入り(ブックマーク)」から公式サイトへアクセスしてログインしてください。 - 万が一入力してしまった場合の対応:
もし偽サイトにクレジットカード番号やパスワードを入力してしまった場合は、一刻も早く三井住友カードの「紛失・盗難・不正利用に伴うカード停止窓口」へ連絡し、カードの利用停止と再発行の手続きを行ってください。
最新のフィッシング事例や公式の見分け方については、必ず下記の公式サイトでご確認ください。
https://www.smbc-card.com/mem/service/sec/phishing01.jsp
まとめ
今回の「10000ポイントプレゼント」という甘い誘惑は、私たちの焦りと油断を突いた大変危険なフィッシング詐欺メールでした。
ネット犯罪の手口は日々進化しており、画面の見た目だけで本物か偽物かを見分けるのは非常に困難になっています。だからこそ、「メールのリンクは踏まない」という鉄則を日常から徹底していきましょう。
身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
