| 最近のスパム動向:今回ご紹介するのは「dポイント」を騙るメールですが、関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。 【実録】dポイント受取期限の偽通知を徹底分析!巧妙な偽装フィルターと「アクセス拒否」に隠された手口を公開 みなさん、こんにちは。
街の頼れるIT専門家、Heartland-Labです。 いつも当研究所の解析レポートに目をとおしていただき、ありがとうございます。 今回は、身近なポイントサービスである「dポイント」を悪用した、きわめて悪質な詐欺メールを解析しました。 このメールは、開いただけであれば、すぐに金銭を失うような実質的被害はありません。
しかし、画像付きのメール(HTML形式のメール)を開封したり、開通通知の仕組みが組み込まれていたりする場合、「このメールアドレスは現在も使われている」という情報が相手に届いてしまいます(アドレス生体通知といいます)。
そうなると、今後はさらに多くの詐欺メール送信リストに入れられる可能性がありますので、油断は禁物です。
前書きと緊急性の検証 | 緊急性評価 | ★★★★☆(4点 / 5点満点) | | 件名 | [spam] 【d POINT】dポイント受取期限のお知らせ | | 送信者名 | “dポイントクラブ セキュリティセンター” | | メールアドレス | FGFDKN@qvisdmld.support.gddayy.com | | 受信日時 | 2026年6月1日 09時33分12秒 | 件名の先頭に「[spam]」という文字がついていますね。
これは、受信側のサーバーが「このメールは迷惑メール(スパム)の可能性が非常に高いです」と自動で判定し、見出しに警告を書き加えたものです。
つまり、サーバーの防衛システムがすでに危険を知らせてくれているということです。 ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
メール本文の検証と忠実な再現 以下に、受信したメール本文のスクリーンショットを掲載するエリアを作成しました。
その下には、送られてきた文章をできる限り忠実に再現しています。 | 
【メール本文のスクリーンショット】 | ※以下の内容は、実際の詐欺メールの文章を検証のために忠実に再現したものです。 | dポイント受取期限のご確認をお願いいたします ■■■■ 様 いつもdポイントをご利用いただき、厚く御礼申し上げます。 お客様のdポイントアカウントに付与されているポイントの中に、受取期限が間近に迫っているものがございます。本メールにて、受取期限を事前にお知らせいたしますので、ご確認のうえお早めのお手続きをお願いいたします。 | 受取期限 2026年6月30日(火) 上記期限を過ぎますと、ポイントは自動的に失効いたします | 受取手続きは数分で完了します。dアカウントにログインのうえ、対象ポイントの「受け取る」ボタンを押していただくだけで、すぐにご利用いただけるようになります。 受取手続きの流れ
1. 下記ボタンより専用ページにアクセス
2. dアカウントでログイン
3. 対象ポイントの「受け取る」をタップ
4. 即時に残高へ反映・ご利用可能 | 受取期限を確認する ご注意事項
・受取期限はポイントごとに異なります。会員ページで個別にご確認ください。
・期限切れポイントの再付与は、いかなる場合もお受けできません。
・すでに受取済みの場合は、行き違いをご容赦ください。 | 株式会社NTTドコモ
dポイントクラブ事務局 ※ 本メールは自動送信されています。ご返信いただいても対応いたしかねます。
※ 本メールにお心当たりのない場合は、お手数ですが破棄いただけますようお願い申し上げます。 © NTT DOCOMO, INC. All Rights Reserved. | スクショを見た素直な感想とデザインの解説 画面の最上部には、公式ロゴに似せた赤い「d POINT」のバナー(飾り画像)が配置されており、非常に本物らしく作られています。
さらに、文字の色や枠線の使い方も、本物のドコモからの通知メールと見分けがつかないほど綺麗に整えられています。
しかし、送信者のメールアドレスを見ると「gddayy.com」という、ドコモとは全く関係のない不審な文字列になっています。
つまり、見た目だけを公式にそっくりに真似て、中身は完全に偽物のシステムへ誘導しようとしているということです。
技術的解析(ヘッダーと偽装判定) ここからは、メールの裏側に記録されているヘッダー情報(配送の通信記録)を詳しく解析していきます。
なお、ヘッダー情報のスクリーンショットには、受信者の個人的なサーバー情報や個人のセキュリティ設定が詳しく含まれてしまうため、安全性を考慮して画像としての掲載は控えさせていただきます。 送信ドメインのIPアドレス調査 送信元メールアドレスに使われているドメイン「support.gddayy.com」を割り出しているIPアドレス(インターネット上の住所)は「35.217.66.158」でした。 最古のReceivedヘッダーと偽装判定 メールの通信履歴のなかで、時系列から見て一番古い(最初に送信元から出発した)通信記録を抽出しました。
以下は、その中身を整理した表です。 | 項目 | 解析データ内容 | | 出発IPアドレス | 35.217.66.158 | | 送信元ドメイン | support.gddayy.com | | Received-SPF | Pass (送信権限が認証されています) | | 推定ロケーション | アメリカ合衆国(Google Cloud インフラ内)
緯度・経度:37.751, -97.822
Googleマップで位置を確認する
ip-sc.netの解析ページを開く | ※ご注意:IPアドレスから特定されるロケーション(設置場所)のデータは、ネットワークの割り当て状況によって刻々と変化するため、あくまで参考の情報となります。 メアドのドメインから割り出したIPと、通信履歴に刻まれた出発IPアドレスを比較したところ、「35.217.66.158」で完全に一致しています。
そして、送信ドメインの偽装を防ぐ仕組み(SPF認証)の結果は「Pass」となっていました。
これは、犯人が自ら用意した使い捨てのドメイン(support.gddayy.com)から、正しい手順にのっとって直接メールを配信していることを示しています。
つまり、ドコモのふりをしてはいますが、自前の罠サーバーから認証をすり抜けるように正しく送りつけてきているということです。
リンク先URLの調査とクローキング現象の解明 メール本文に配置されていた、偽のログイン手続きへ誘うリンク先のURLを独自に調査いたしました。 リンク先URL(安全のために一部を伏字にし、リンクを無効化しています):
ttps://www.shh***ev.com/?UBLQ8A5Tmtmk&type=dpoint  【アクセス拒否画面のスクリーンショット】 | このURLを検証用端末で開いてみると、「アクセス拒否 リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」という警告ページが表示されました。
これは、セキュリティ製品が遮断した画面ではなく、実は詐欺サイトの側が用意した「クローキング(覆い隠し)」という極めてずる賢い仕組みによる結果です。 クローキング(アクセスしてきた相手によって表示画面をガラリと変える騙しの技術)を行うことで、私どものようなセキュリティ専門家がパソコンから調査しにいったときや、Googleの巡回ロボットが検査しにきたときには、わざと「ブロックされた安全なエラー画面」を見せて追跡をはぐらかそうとします。
その一方で、一般のユーザーがスマートフォンなどから騙されてアクセスしたときだけ、本物そっくりの偽ログイン画面を表示して情報を盗み取ろうとするのです。 | リンク先ドメイン | www.shhukev.com | | ドメインのIPアドレス | 172.67.170.92 | | 設置ロケーション | アメリカ合衆国(Cloudflare ネットワーク内)
緯度・経度:37.751, -97.822
Googleマップで位置を確認する
ip-sc.netの解析ページを開く | | サイトの稼働状況 | 稼働中(特定の条件でのみ詐欺画面を表示する罠サイト) | ※ご注意:IPアドレスから特定されるロケーション(設置場所)のデータは、ネットワークの割り当て状況によって刻々と変化するため、あくまで参考の情報となります。 URLが非常に危険であると判断できる最大のポイントは、ドコモの公式ドメイン(docomo.ne.jpなど)とはまったく違う「shhukev.com」という見知らぬ場所へ連れて行こうとしている点です。
つまり、エラー画面が出ているからといってサイトが消滅して安全なわけではなく、人を騙す目的で今も裏で手ぐすねを引いて動いているということです。
このメールの注意点と適切な対処方法 万が一、このようなメールが手元に届いた場合の対策をまとめました。 | 危険度星評価 | ★★★★☆(4点 / 5点満点) | | 推奨する対処法 | メールを完全に削除し、中のリンクには絶対に触れない。 | もしポイントの有効期限が本当に気になったときは、メールのリンクを絶対に押してはいけません。
スマートフォンの公式アプリ(dポイントクラブアプリなど)を直接起動するか、あらかじめ登録してあるブラウザの「お気に入り(ブックマーク)」から公式サイトへアクセスして確認する習慣をつけてください。 公式の事業者からも、こうした偽のポイント失効通知に関する最新の注意喚起が出されています。
詳細な情報は、以下の公式ページをご確認ください。 ドコモ公式の注意喚起ページ:
https://dcard.docomo.ne.jp/st/anti_phishing/index.html
まとめと身近な人への共有 今回のdポイントを騙る詐欺メールは、メール自体の見た目が綺麗なだけでなく、裏側の認証を綺麗に通し、調査を妨害するクローキング(画面隠し)まで盛り込んだ非常にずる賢い設計になっていました。 画面がエラーになっているからと安心せず、「怪しいリンクには触らない」という基本を忘れないようにしましょう。 身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。 📌 同じ手口の関連記事:【実録】au PAYを騙る詐欺メールも確認されています→こちら | 
