| 最近のスパム動向:今回ご紹介するのは「SBI証券」を騙る(かたる)非常に巧妙なメールですが、関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。 【実録】SBI証券を騙る「パスキー認証」導入の偽案内!危険なURL転送の手口を徹底分析
みなさん、こんにちは。街の頼れるIT専門家、Heartland-Lab(ハートランド・ラボ)です。 今回は、投資をされている多くの方が利用している「SBI証券」を名乗った、極めて危険なフィッシング詐欺(偽の画面で情報を盗み取る手口)の最新事例を解説します。 このメールは、開いただけで金銭的な実害がすぐに出るわけではありません。
しかし、メール内の画像が表示されたり、リンクを押してしまったりすると、「このメールアドレスは現在も使われている」という生存通知(アドレスの有効性確認)が相手に届いてしまう恐れがあります。
その結果、今後さらに大量の詐欺メール送信リストに入れられる危険性がありますので、絶対に油断は禁物です。 今回のメールは、SBI証券で実際に導入が始まった「パスキー認証」(パスワードの代わりに指紋や顔認証を使う安全な仕組み)の話題を悪用しています。
「セキュリティ強化のため」という親切な案内を装っているため、普段から防犯意識が高い方ほど「早く対応しなきゃ!」と急かされて騙されてしまいがちです。 手口の危険性を5段階で評価すると、今回の危険度は以下のように判定されます。 【Heartland-Lab 危険度判定】
★★★☆☆ (星3つ:中〜高危険度)
※実際のセキュリティアップデートに時期を重ねており、本物のロゴや文章をそのまま丸ごとコピーしているため、一見しただけでは見破りにくい巧妙な作りです。
不審なメールの概要(受信データ) まずは、実際に届いたメールの基本情報を見ていきましょう。
メールの件名に「[spam]」という文字が付いていますが、これはお使いのメールサーバーが「このメールは迷惑メール(スパム)の可能性が非常に高いですよ」と自動的に判定して防御してくれた証拠です。 * 件名: [spam] SBI証券:Androidアプリ最新版リリース&500ポイントプレゼントNo.366832
* 送信者名: “SBI証券”
* 送信元アドレス: <info@sbisec.co.jp> (※表示は本物に見せかけていますが、これは偽装です)
* 受信日: 2026年5月29日
* 受信時刻: 14時27分頃(日本時間) ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防供ため、この解析結果を家族のLINEグループに転送して注意喚起してください。
メール本文のスクショと忠実な再現 【受信メール本文のスクリーンショット】 
以下は、受信したメールのテキスト内容をできる限り忠実に再現したものです。
(※誤ってクリックするのを防ぐため、リンク部分の文字の装飾は無効化し、一部を伏字にしています) 件名 [spam] SBI証券:Androidアプリ最新版リリース&500ポイントプレゼントNo.366832
送信者 “SBI証券” <info@sbisec.co.jp> SBI証券:Androidアプリ最新版リリースキャンペーン実施中
お客様各位 平素はSBI証券をご利用いただき、誠にありがとうございます。 アプリ更新キャンペーン実施中
500ポイント プレゼント 期間中に最新バージョン(Ver.7.2.0)にアップデートし、アプリにログインいただいたお客様全員に
SBIポイント 500ポイントをプレゼントいたします。 キャンペーン期間:2026年5月25日 2026年6月30日 このたび、SBI証券Androidアプリの最新バージョン(Ver.7.2.0)をリリースいたしました。
新バージョンでは、より快適で便利にご利用いただける機能が追加されております。 現在のバージョン Ver.7.1.x 以前をご利用の方Android
最新バージョン Ver.7.2.0(推奨)Android
リリース日 2026年5月25日
対象OS Android 9.0以上 旧バージョンをご利用の場合、今後サポート対象外となる可能性がございます。お早めにアップデートをお願いいたします。 Androidアプリをダウンロード/更新する (←※偽サイトへのリンク)
Google Playに遷移します。アップデート後、アプリにログインするだけでキャンペーンに自動エントリーされます。 ———————————————————————-
Ver.7.2.0の主な新機能および改善点
● NISA口座の残高・運用状況を一目で確認できる新ダッシュボード
● 指紋認証・顔認証のレスポンスを向上(対応端末)
● アプリ内お問い合わせ機能の追加(チャット形式)
● 株価チャートの表示速度を最適化
● ダークモード対応(システム設定に連動)
———————————————————————- キャンペーン注意事項
ポイントの付与はキャンペーン終了後、2026年6月中旬を予定しております。
付与対象となるのは、キャンペーン期間中にアプリをアップデートし、ログインされたお客様です。
本キャンペーンは予告なく変更または終了する場合がございます。 株式会社SBI証券 金融商品取引業者 関東財務局長(金商)第44号
加入協会:日本証券業協会、一般社団法人 金融先物取引業協会、一般社団法人 第二種金融商品取引業協会、一般社団法人 日本STO協会 ※本メールは、SBI証券Androidアプリをご利用のお客様にお送りしております。心当たりのない方は破棄してください。管理コード:IEF1TTGYB9SK
hash:CBCKP0Y7HXWE35G9FB6RCXOB
【スクショを見た専門家の感想とデザインの解説】
このメール画面を見ると、本物のSBI証券が使っているフッター(会社概要や加入協会の正式名称)が完璧にコピーされています。
さらに最下部には「管理コード」や「hash(ハッシュ値:データの同一性を証明する暗号の文字列)」のような、いかにもシステムが自動生成したような文言を並べて、ユーザーに「本物の公式システムからのメールだ」と錯覚させる非常に不気味なデザインになっています。 つまり、「見た目は本物の案内文を丸ごと盗用し、内容も最新の機能アップデートに合わせて作られた、極めてだまされやすい偽メールである」 ということです。
メールヘッダーの解析(送信元の偽装判定) ※なお、メールヘッダーの全体スクリーンショット画像には、お客様が契約されているプロバイダのサーバー内部情報や個人の特定につながる受信者情報が含まれているため、防犯上の理由から掲載を控えております。
代わりに、そこから抽出した決定的な証拠データのみを安全な形で可視化しました。 メールの送信者が「info@sbisec.co.jp」と名乗っていても、インターネット上の戸籍謄本にあたる「メールヘッダー」を紐解くと、嘘が完全に暴かれます。
時系列で一番古い「Received(経由したサーバーの記録)」と、メールの送信元認証である「Received-SPF」を確認しました。 | 項目 | 解析データの内容 | | Received-SPF | pass (sender SPF authorized) identity=mailfrom; client-ip=34.84.221.122 | | 最古のReceived | from sq38.goldobgyn.com ( [34.84.221.122] ) by 〇〇■■■■■■(受信サーバー) | | 送信元のIPアドレス | 34.84.221.122 | | IPの物理位置 | アメリカ合衆国(米国のホスティングサービスを経由)
緯度・経度:37.751, -97.822
[ip-sc.netで詳細を確認] |
[Googleマップで位置を見る] | ※ご注意:IPアドレスから割り出される物理的なロケーション(地図情報)は、犯人がプロキシ(中継サーバー)を切り替えるなどして刻々と変化するため、あくまで参考情報となります。 つまり、统计すると「日本のSBI証券から送られたメールではなく、実際にはアメリカのサーバーを経由し、全く関係のない海外ドメインを勝手に名乗って送られてきた、完全ななりすましメールである」 ということです。
リンク先URLと「危険なサイト」警告の理由 メール本文に配置されていた「Androidアプリをダウンロード/更新する」というボタンの実際のリンク先URL(転送先)は、以下の通りです。
(※二次被害防止のため、一部に伏字「■」を入れてリンクを無効化しています) 偽の誘導先URL: https://bmqobgextpnfj.■■■/ 【Googleセーフブラウジングの赤画面警告のスクリーンショット】 
【人間確認(Cloudflare風)画面のスクリーンショット】 
このURLをクリックしようとすると、ブラウザが真っ赤な「危険なサイト」という警告画面を出してアクセスを遮断します。
これは、世界中のセキュリティ網がこのURLを「情報を盗み取るためのフィッシングサイト」としてブラックリストに登録したため、事前にあなたの端末を守ってくれた状態です。 しかし、もしこの警告を無理やり無視して先に進むと、4枚目のスクショにあるような「サイトへの接続が安全かどうか確認しています(チェックボックスをタップしてください)」という画面が表示されます。
これは近年大流行している手口で、セキュリティチェックを行っている本物のシステム(Cloudflareなど)のフリをしてユーザーを安心させ、「私は今、安全なサイトに入ろうとしているんだ」と錯覚させるための極めて悪質な心理トラップ(罠)です。 つまり、「セキュリティの警告画面を突破させるために、わざわざ偽の安全確認画面まで自作してユーザーを騙そうとする、執念深い詐欺サイトである」 ということです。
リンク先の稼働状況と詳細データ このフィッシングサイトの裏側(ドメインとIPアドレスの情報)をさらに解析した結果がこちらです。 | 解析項目 | データ内容 | | リンク先ドメイン | bmqobgextpnfj.top | | ドメインのIPアドレス | 104.21.72.181(Cloudflareのネットワークに隠蔽されています) | | IPの物理位置 | アメリカ合衆国(カリフォルニア州サンフランシスコ近郊)
緯度・経度:37.7749, -122.4194
[ip-sc.netで詳細を確認] |
[Googleマップで位置を見る] | | サイトの稼働状況 | 稼働休止(クローキング実施中)
※セキュリティ担当者やAIが自動巡回で調査に来たときは「アクセス拒否」の画面を返し、カモとなる一般ユーザーがスマホでアクセスしたときだけ本物そっくりの偽ログイン画面を見せる「クローキング(覆面・擬態技術)」が行われています。 | ※ご注意:リンク先サイトのサーバー位置情報についても、世界的なコンテンツ配信ネットワーク(CDN)を経由させて本当のサーバーの場所(国)を隠しているため、データは参考値となります。 つまり、「格安で購入できる危険な『.top』ドメインを使い、セキュリティの目を盗むための偽装技術(クローキング)を仕込んだ、完全にプロの犯罪グループによる使い捨てサイトである」 ということです。
最終目的地:偽の「パスキー認証」画面 【偽のパスキー認証・ログイン案内画面のスクリーンショット】 
すべての罠を潜り抜けた最後に表示されるのが、この5枚目の「お知らせ:『パスキー認証』提供開始およびログイン導線変更のお知らせ」という画面です。
本物のSBI証券のロゴマーク、著作権表記(© SBI Securities Co., Ltd.)、そして実際のサービス概要を表にしたものを丸ごとコピーして貼り付けてあります。 ここに配置されている「ダウンロード」や「スマートフォンで開いてダウンロード」という青いボタンを押すと、あなたのスマートフォンに不正なアプリ(個人情報を抜き取るウイルス)をダウンロードさせられたり、精巧に作られた偽のログイン画面に誘導されて、ユーザーネーム、ログインパスワード、取引暗証番号をすべて入力させられ、丸ごと盗まれてしまいます。 つまり、「パスキーという本来は安全なはずの新機能を逆手に取り、ユーザーを言葉巧みに騙して最も重要な口座情報を掠め取ろう(かすめとろう)とする、最凶の詐欺画面である」 ということです。
大切な資産を守るための正しい対処法 このような非常に巧妙なメールを受け取った場合、私たちはどのように身を守れば良いのでしょうか。
以下の対策を徹底してください。 1. メールのリンクは100%無視する:
どんなに「ポイントがもらえる」「口座が止まる」と書かれていても、メール内のリンクやボタンは絶対に押してはいけません。 2. アプリの更新は公式ストアのみで行う:
証券会社や銀行のアプリをアップデートする際は、メールからではなく、必ずスマートフォンの初期設定に入っている公式ストア(Google Playストア / App Store)を自分自身で開き、「SBI証券」と検索して更新があるか確認してください。 3. 公式の注意喚起情報をブックマークしておく:
SBI証券の公式サイトでは、現在確認されているなりすましメールや投資詐欺の手口をリアルタイムで公開し、注意を呼びかけています。不審に思ったときは、まずは以下の公式ページを直接検索して確認する癖をつけましょう。 👉 SBI証券 公式注意喚起ページ:
【公式】SBI証券を装ったフィッシングメール等にご注意ください
まとめとお知らせ いかがでしたでしょうか。
今回は新機能の「パスキー」を悪用した、SBI証券を騙る非常に手の込んだフィッシングメールの裏側を丸裸にしました。
犯人グループは、私たちが「良かれと思って」セキュリティを高めようとする心理を突いてきます。
「メールのリンクは信じない、用事があるときは公式アプリや公式サイトを直接開く」という原則を、ぜひ徹底してくださいね。 身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
💡 サイトデータベース検索
関連する過去の解析事例はこちらから検索できます。 📌 同じ手口の関連記事:
【実録】楽天証券を騙る詐欺メールも確認されています→こちら | 
