【必読】「会員向け特典内容のお知らせ」を徹底分析!dポイント詐欺の巧妙手口
最近のスパム動向
今回ご紹介するのは「dポイントクラブ」を騙るメールですが、関連記事もページ末尾に記載のデータベースアーカイブからご覧頂けます。
【実録】dポイント全角偽装の巧妙手口!「会員向け特典内容のお知らせ」フィッシング詐欺メールを徹底分析
みなさん、こんにちは。街の身近なIT専門家、Heartland-Lab(ハートランドラボ)です。
今回は、非常に多くの方々が貯めている身近なポイントサービスを狙った、見過ごせない不審なメールを検知しましたので、その危険性と裏側の仕掛けを丁寧に解説させていただきます。
| 危険度評価 | ★★★★☆ (星4つ:極めて巧妙) |
| 件名(タイトル) | 【dポイントクラブ】会員向け特典内容のお知らせ |
| 送信者名 | NTTDOCOMO |
| 送信元メールアドレス | JVYEEU@wmmdpuiy.login.ppmoiltesting.com |
| メール受信日時 | 2026年6月2日 08時50分 |
⚠️ 大切なお知らせ
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
【メール本文の再現とビジュアル分析】
実際のメール画面の雰囲気をそのままお伝えするため、不審な記述も含めて本文を忠実に再現いたします。
【受信メールの全体スクリーンショット】
会員向け特典のご案内
***** 様
いつもdポイントクラブをご愛顧いただき、心より感謝申し上げます。
dポイントクラブ会員の皆様には、通常のポイントサービスに加えて、会員限定のさまざまな特典や優待サービスをご用意しております。専用の案内ページでは、お客様が現在ご利用いただける特典内容や対象サービスをまとめてご確認いただけます。
特典の内容はお客様のご利用状況や会員ステータスによって異なります。定期的にご確認いただくことで、その時々に最適な特典をお見逃しなくご活用いただけます。
会員向け特典のご案内(一例)
1. ポイント還元率アップ優待
対象店舗・サービスでのご利用時に、通常より高い還元率が適用されます
2. 会員限定ポイント交換レート優待
特定の交換先で、お得なレートでのポイント交換が可能になる場合があります
3. ドコモサービス連携優待
ドコモの対象サービスをご利用の会員様に、追加の特典が提供される場合があります
会員向け特典の内容やご利用条件の詳細は、以下の案内ページにてご確認いただけます。お客様の現在のご利用状況に合わせた情報が表示されますので、ぜひ一度ご覧ください。
会員向け案内を確認する
よりお得に活用いただくために
・特典内容は定期的に見著直されております。こまめなご確認をおすすめします
・一部特典には利用上限や適用条件がございます。詳細は案内ページをご覧ください
・会員ステータスによってご利用いただける特典が異なる場合がございます
株式会社NTTドコモ
dポイントクラブサポートセンター
※本メールは自動送信されています。ご返信いただいても対応いたしかねます。
※本メールにお心当たりのないお客様は、お手数ですが破棄いただけますようお願い申し上げます。
© NTT DOCOMO, INC. All Rights Reserved.
スクショの外見から受ける印象ですが、赤を基調とした公式のロゴ配置やレイアウトデザインを極めて精巧に真似ており、パッと見ただけでは騙されてしまう完成度です。
このメールの目的は、お得な特典の案内という甘い言葉でボタンをクリックさせ、偽のログイン画面に誘導してIDやパスワード、個人情報を盗み取ること(フィッシング行為)にあります。
【徹底追究:なぜ詐欺メールに「全角文字」が使われるのか?】
今回のメールをよく観察すると、件名にある「【dポイントクラブ】」や、送信者名の「NTTDOCOMO」など、本来なら半角で書かれるはずの英数字がわざわざ**「全角文字」**で記載されています。
以前から「どうして不自然な全角文字や特殊なスペースを混ぜるのだろう?」と疑問に思われていた方も多いのではないでしょうか。実は私もその一人でした。
今回はこの件について少し深堀してみます。
これには、攻撃者側の極めて計算された「3つの意図」が隠されています。
① セキュリティフィルター(迷惑メール自動判定システム)の目を欺くため
多くのメールサーバーやセキュリティソフトは、本文内のキーワードを自動検知してスパム判定を行っています。例えば、正規ではない場所から「dポイント」や「NTT DOCOMO」といった言葉が大量に送られていると、システムが「詐欺メールだ」と判断して自動ブロックします。
しかし、コンピューターの内部(文字コードと呼ばれるデータの規格)では、半角の「d」と全角の「d」は全く異なるデータとして処理されます。攻撃者は文字をわざわざ全角に変えることで、**セキュリティシステムの「キーワード検知(特定の怪しい言葉を遮断する機能)」をすり抜けようとしている**のです。
② 人間の目視を「それっぽく」誤魔化すため
私たち人間がスマートフォンの画面などで文字を流し読みするとき、半角の「d」と全角の「d」は、フォント(文字のデザイン)によってはほとんど違和感がありません。脳内で自動的に「いつものdポイントのことだな」と都合よく変換してしまいます。つまり、**「機械には別の文字に見せかけ、人間には同じ文字に見せる」という錯覚を狙った手口**なのです。
③ メールの一意性(1通ごとの違い)を高めて一斉遮断を防ぐため
セキュリティシステムは、全く同じ文面のメールが同時に大量に届くと、それを引き金にして一斉ブロックを開始します。攻撃者はそれを防ぐために、自動生成ツールを使い、メール1通ごとに「全角にする文字」や「スペースを入れる位置」をランダムに変化させて送信します。こうすることで、システム側に「すべて内容が異なる別々のメールである」と誤認させようとします。
つまり、**文字の全角偽装は、防衛システムの網をすり抜けて私たちの手元にメールを届かせるための「目隠し工作」である**ということです。
【詳細ヘッダー解析と送信元検証】
メールの裏側に記録されているヘッダー情報を抽出しました。なお、ヘッダーの生データ(テキスト)のスクリーンショットは、受信者様側のサーバー環境や暗号化情報などの重要な秘密情報が含まれてしまうため、安全性を考慮してここへの掲載は控えさせていただきます。
その代わりに、重要な解析データをしっかりと抜き出して検証しました。
| 抽出項目 | 解析結果 |
|---|---|
| Received-SPF | Pass (identity=mailfrom; client-ip=35.219.189.206) |
| 最古のReceivedヘッダー | from login.ppmoiltesting.com (ppmoiltesting.com [35.219.189.206]) by *mail03.***.net |
送信元メールアドレスに使われているドメインのIPアドレス(ネット上の住所)を調べたところ、`35.219.189.206` であることが判明しました。
そして、時系列で一番古い(送信側が最初に通過した)サーバーの記録を調べると、やはり全く同じIPアドレス `35.219.189.206` がくっきりと刻まれていました。
つまり、**送信元アドレスのドメイン偽装はなく、この攻撃用に取得された不審なサーバーから直接送られてきている**ということです。
| 送信元IPアドレス | 推定ロケーション(位置情報) |
|---|---|
| 35.219.189.206 | アメリカ合衆国(オレゴン州) Googleマップで確認 (緯度: 45.8426 / 経度: -119.789) 詳細判定:ip-sc.netで追跡 |
※ご注意:IPアドレスから割り出される位置情報は、サーバーの経由地や契約状況によって刻々と変化するため、あくまで参考情報となります。
【悪質なリンク先URLと「クローキング」の罠】
メール内に配置されていた「会員向け案内を確認する」というボタンの、実際のリンク先は以下の通りでした。
誘導先URL: hxxps://www.faishang[.]com/?EofY5Ni8eq1Y&type=dpoint (一部を伏字にし、安全のためリンクを無効化しています)
【「アクセス拒否」のセキュリティ警告画面のスクリーンショット】このURLを調査したところ、「アクセス拒否 リクエストがブロックされました。後ほどお試しください。ファイアウォール(通信を監視して遮断するシステム)で保護されています」と書かれた奇妙なページにたどり着きました。
一見すると、サイトが閉じられているかのように見えますが、これこそが**「クローキング(覆い隠す手口)」**と呼ばれる悪質な手法である可能性が極めて高いです。
クローキング(隠蔽偽装)とは、アクセスしてきた相手が「セキュリティ会社の調査ロボット」だと判断した場合には、このように安全な「アクセス拒否画面」を見せて審査をすり抜け、普通の「一般ユーザー」がスマートフォンなどでアクセスした時だけ、牙を剥いて偽のログイン画面(詐欺サイト)を表示させる裏工作のことです。
つまり、**調査の目を欺くために、二つの顔を使い分けて稼働し続けているということです。**
| 項目 | 詳細データ |
|---|---|
| リンクドメイン | www.faishang.com |
| ドメインIPアドレス | 111.73.47.164 |
| サーバーロケーション | 中国(江西省) Googleマップで確認 (緯度: 28.6833 / 経度: 115.8833) 詳細判定:ip-sc.netで追跡 |
| 危険と判断できるポイント | ①公式(docomo.ne.jp)と全く無関係のドメインであること ②URL末尾の「type=dpoint」で特定の詐欺画面を呼び出す仕組みになっていること ③セキュリティ判定を阻害するクローキング画面が実装されていること |
| リンク先稼働状況 | 稼働中(クローキングにより偽装潜伏中) |
【メールの注意点と今後の対処方法】
今回解説させていただいた「全角文字の悪用」や「クローキングによる隠蔽工作」のように、攻撃者は防衛システムをすり抜けるために日々新しい技術を導入してきます。
万が一、このようなメールが届いても、本文内のボタンやリンクは絶対にクリックしないでください。もし騙されて大切な情報を入力してしまった場合は、急いで正規のサポート窓口へ連絡し、アカウントの停止措置やパスワードの変更手続きを進めてください。
| 公式注意喚起情報 | 【NTTドコモ公式】フィッシング詐欺への対策・注意喚起ページ |
まとめ
今回のdポイントを騙るフィッシングメールは、見た目のデザインが大変綺麗に作られており、騙されてしまう一歩手前の危険なものでした。
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。
📌 同じ手口の関連記事:【実録】電力会社を騙る詐欺メールも確認されています→こちら
