【閲覧注意・実録】ゆうちょ銀行「ご利用代金明細のお知らせ」を騙るフィッシングメール——映画館ドメイン悪用の新手口に要注意
🔴 緊急度:高
⚠️ このメールは真っ赤な偽物です ⚠️
「ゆうちょ銀行」と名乗っていますが、送信元は映画館チェーンのドメインを不正利用した詐欺師です。
▼ 実際に届いた詐欺メール(スクリーンショット)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
クレジットカードご利用代金明細のお知らせ いつもゆうちょ銀行クレジットカードをご利用いただきありがとうございます。下記のとおり今月のご利用金額が確定いたしました。 ご利用期間: 2026年04月16日〜05月15日 お支払い金額: ¥94,900 お支払い期日: 2026年06月18日(木) お支払い方法: ご登録口座から自動引き落とし 明細を確認する ※リンクを無効化しています 【ログイン方法】 1. 上記ボタンをクリック 2. 会員番号とWEBパスワードでログイン 3.「お支払い金額・明細照会」で内容確認 ※ 初回は登録またはパスワード設定が必要な場合があります。 ・ お支払い期日前に口座残高をご確認ください。 ・ 不明な取引がある場合は速やかにご連絡ください。 ・ 本メールは送信専用です。返信はできません。 ・ 当方がパスワード等をメールで求めることはありません。 株式会社ゆうちょ銀行 クレジットカードサービスセンター 電話:0120-108-420(平日9:00〜17:00) 公式サイト:https://www.jp-bank.japanpost.jp
このメールの巧妙な点は複数あります。
まず、¥94,900という絶妙な金額です。10万円を超えない範囲で「見覚えのない大きな請求」として焦りを引き起こします。
次に、「本メールは送信専用です」「パスワードをメールで求めることはありません」といった公式メールによく書かれる定型文をそのまま使用し、本物らしさを演出しています。
公式サイトURL(https://www.jp-bank.japanpost.jp)の記載もありますが、「明細を確認する」リンクは全く別の偽サイトに飛ぶ仕組みになっています。つまり本物のURLを「飾り」として貼ることで信頼感を高める手法です。
■ 送信ルート及び偽装判定
🔍 Receivedヘッダー解析(メールの通過証跡):
Receivedヘッダーとは、メールが通過したサーバーが自動的に記録する「配達証明書」のようなものです。一番古いヘッダーを見ることで、メールがどこから旅を始めたかがわかります。
Received: from r16767-sendai794.sendai.dream.jp (unknown [2.59.153.88])
→ 最終受信ホップ:受信者側サーバー(非公表)
【偽装判定】:
本物のゆうちょ銀行からのメールは、ゆうちょ銀行が保有する正規のサーバー・ドメインから送信されます。しかし今回のメールは unitedcinemas.jp(映画館チェーン「ユナイテッド・シネマ」のドメイン)から送信されていました。
つまり、詐欺師は実在する日本企業のドメインを不正に踏み台として使用しています。これは通常の海外ドメイン(.cnや.ruなど)と比べてスパムフィルターをすり抜けやすく、受信者の警戒心も下がりやすいという点で非常に悪質な手口です。
SPF認証(送信元の正当性を確認する仕組み)の結果は Softfail でした。つまり「unitedcinemas.jpのドメインオーナー自身が、このIPアドレスからの送信を推奨していない」と宣言している状態です。
📍 送信元IPアドレス:2.59.153.88
※IPジオロケーション(IPアドレスからの位置情報推定)は調査時点のものです。IPアドレスの割り当て状況は日々変化するため、現在の所在地と異なる場合があります。
▼ セキュリティソフトによる警告(ウイルスバスター クラウド)
▼ Chromeブラウザによる危険サイト警告
■ フィッシングサイト詳細解析
誘導先URL(無効化・伏せ字):
hxxps://jppost-bank.vcbvbn[.]com/DutmcJeZ
偽装ドメインの解説:
ドメイン名 jppost-bank.vcbvbn.com に注目してください。「jppost-bank」という文字列はゆうちょ銀行の公式ドメイン「jp-bank.japanpost.jp」を意識して作られています。しかし実際のドメインは vcbvbn.com というゆうちょ銀行とは全く無関係のドメインです。URLの先頭部分だけ見て「jp」や「bank」という文字があるから本物だと思い込んでしまう心理を突いた典型的な手口です。
フィッシングサイトIP:195.86.16.165
※IPジオロケーション(IPアドレスからの位置情報推定)は調査時点のものです。フィッシングサイトのサーバーは短期間で移転・廃棄されるため、現在の所在地と異なる場合があります。
詳細情報:ip-sc.net で 195.86.16.165 を調査する
【セキュリティ判定】:
- ウイルスバスター クラウドが「フィッシング」として検出・ブロック
- Google Chrome(セーフ ブラウジング機能)が「危険なサイト」として警告表示
- 偽サイトはゆうちょ銀行の「JP BANKカードWEB」ログイン画面を精巧に模倣
▼ 誘導先の偽サイト(JP BANKカードWEBを模倣したログイン画面)
上のスクリーンショットをご覧ください。ゆうちょ銀行の「JP BANKカードWEB」そっくりのデザインで、IDとパスワードの入力を求めています。ここに入力してしまうと、IDとパスワードが即座に詐欺師の手に渡ります。その後、ログイン試行・不正送金・個人情報の悪用へとつながる恐れがあります。
■ 注意点と対処法
- URLは絶対にクリックしない:メールやSMS内のリンクは偽サイトへの入口です。特に「明細確認」「ログイン」といったボタンは要注意です。
- 送信元アドレスを確認する:表示名が「ゆうちょ銀行」でも、実際のアドレスが
@jp-bank.japanpost.jp以外なら偽物です。 - 公式サイトへはブックマークかアプリから:ゆうちょ銀行へのアクセスは、必ずブラウザのブックマークまたは公式アプリを使ってください。
- 情報を入力してしまった場合は即行動:万が一IDやパスワードを入力してしまった場合は、すぐにゆうちょ銀行へ電話連絡し、パスワード変更・不正利用の確認を行ってください。
- ゆうちょ銀行の公式注意喚起を確認:
ゆうちょダイレクトを狙った犯罪にご注意ください(公式)
フィッシング詐欺にご注意ください(公式) - セキュリティソフトを常に最新の状態に:今回のようなフィッシングサイトはセキュリティソフトが検知します。定義ファイルを常に最新にしておきましょう。
📋 本レポートの結論
今回の詐欺メールは、映画館チェーンの実在ドメインを踏み台にしてゆうちょ銀行をかたり、¥94,900という高額請求で不安を煽って偽のログイン画面へ誘導するという、複数の手口を組み合わせた悪質なフィッシングです。
本物そっくりに作られた偽サイトでIDとパスワードを入力してしまうと、不正送金・個人情報の悪用につながります。メール内のリンクは絶対にクリックせず、公式アプリまたはブックマークからアクセスする習慣をつけましょう。
大切な家族・友人が騙されてからでは手遅れです。この記事のURLをコピーして、ぜひ家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年06月04日
免責事項:本記事に掲載しているIPアドレス・ロケーション情報は調査時点のものです。フィッシングサイトのサーバーは短期間で変更・廃棄されるため、現状と異なる場合があります。本情報は注意喚起を目的としており、特定の個人・団体を誹謗中傷するものではありません。
Data Provided by Heartland-Lab Security Research Unit
