【実録】SBI新生銀行「安全確認手続きのお願い」は詐欺!ANA偽メールと同じ「zh-」犯グループがGCPとAlibabaで運営する偽パワーダイレクト画面の全手口を暴く
🔴 緊急度:高
▲ 届いた詐欺メール。「異常なアクセスが検知された」という不安を煽る定番フレーズで本人確認を促す
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
詐欺メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。
件名:【SBI新生銀行】安全確認手続きのお願い いつもSBI新生銀行をご利用いただき誠にありがとうございます。 当行セキュリティシステムにおいて、お客様の口座に通常とは異なるアクセス環境またはお取引が検知されました。 お客様の資産保護および第三者による不正利用防止のため、現在、一部サービスへのアクセス制限または追加認証が必要な状態となっております。 ■ 確認された異常アクセス情報 ・通常とは異なる端末からのログイン ・短時間内での複数回認証失敗 ・海外IPアドレス経由によるアクセス ・未確認環境からのログイン試行 ・本人確認未完了状態での取引操作 ■ お客様へのお願い セキュリティ保護の観点から、速やかに本人確認および口座利用状況の確認をお願いいたします。 下記専用ページへアクセスのうえ、画面案内に従って認証手続きを完了してください。 ▼本人確認・口座確認専用ページ https://bk.web.sbishinsei.suliaoesmoju.com/... ←(※フィッシングリンク・クリック禁止) ※一定期間ご確認いただけない場合、安全保護措置としてオンラインバンキング機能の一部停止、またはお取引制限を実施する場合がございます。 ※本人確認完了後、自動的に制限が解除される場合があります。 ※本メールと行き違いで確認済みの場合は、何卒ご了承ください。 ■ セキュリティに関するご案内 SBI新生銀行では、お客様の大切な資産を保護するため、不審アクセスの監視およびセキュリティ強化を継続的に実施しております。 ・パスワードの使い回しを避ける ・不審なSMSやメール内URLに注意する ・定期的なログイン履歴の確認を行う ・最新のセキュリティ環境でご利用いただく security SBI新生銀行 〒103-8303 東京都中央区日本橋室町2-4-3 日本橋室町野村ビル ◇当メールは送信専用メールアドレスから配信されています。 ◇無断複写、転載を禁じます。 Thank you for using SBI Shinsei Bank. SBI SHINSEI BANK, LIMITED 2-4-3, Nihonbashi-muromachi 2-chome, Chuo-ku, Tokyo 103-8303
⚠️ ここが怪しい!スタッフが気づいた偽物のサイン
- 送信元が
messages-newsletter@newsletter-admin.zh-china-jisusports.com——「zh-china-(中国)」が含まれる全く無関係のスポーツ系ドメイン - 「通常とは異なる端末」「海外IPアドレス経由」「複数回認証失敗」——5項目もの「異常」を並べて不安を最大化する心理的圧迫の手口
- 「一定期間ご確認いただけない場合、オンラインバンキング機能の一部停止」——制限を示唆して急かせる定番フレーズ
- 本文にSBI新生銀行の正確な住所(東京都中央区日本橋室町2-4-3)を記載——信頼性を高めるための情報収集と悪用
- 署名が「security SBI新生銀行」——部署名が「security」(英語小文字)という不自然な表記
送信ルート及び偽装判定・「zh-」同一犯グループとの繋がり
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from mail.newsletter-admin.zh-china-jisusports.com (60.121.101.34.bc.googleusercontent.com [34.101.121.60])
【偽装判定】:
SBI新生銀行の正規メールは @sbishinseibank.co.jp 等から送信されます。本メールの送信ドメイン zh-china-jisusports.com はSBI新生銀行とは全く無関係の第三者ドメインです。SPF・DKIMを両方Passするよう事前に細工されており、多くのメールフィルターをすり抜けます。送信にはGoogle Cloud Platform(GCP)のサーバーが使用されており、逆引きホスト名に bc.googleusercontent.com が含まれることで一見Googleの正規サービスのように見えます。
送信サーバーIPアドレス:34.101.121.60(Google Cloud Platform)
中継サーバーIPアドレス:34.128.102.74(Google Cloud Platform)
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
■ 「zh-」命名規則で繋がる同一犯グループの痕跡
今回確認されたSBI新生銀行偽メールの送信元ドメインと、同日当ブログが取り上げたANA偽メールの送信元ドメインを比較すると、共通の命名規則が浮かび上がります。
| 確認日 | 騙ったブランド | ドメイン | 共通パターン |
| 2026/06/14 | ANA(送信元) | baby.home-zh-178sports.com | zh- |
| 2026/06/14 | ANA(フィッシングサイト) | zh-m-9games-live.com | zh- |
| 2026/06/15 | SBI新生銀行(送信元) | newsletter-admin.zh-china-jisusports.com | zh-china- |
| 2026/06/15 | SBI新生銀行(中継) | mailing-promo.zhe-youzhibo.com | zhe- |
「zh」「zhe」はいずれも中国語(普通话/Zhōngwén)の略称・ピンイン(中国語の発音表記)として使われる文字列です。複数のブランドを狙う攻撃で同じ命名規則のドメインが繰り返し登場することから、中国を拠点とする同一の攻撃グループが組織的に複数ブランドへの攻撃を展開しているとHeartland-Labは判断します。
複数フィッシングサイト並行稼働の確認
■ メール本文記載URLと実際の誘導先が別ドメイン
今回のフィッシングメールには特異な点があります。メール本文に記載された偽ログインURLと、実際にリンクが誘導する先のURLが別々のドメインになっています。
| 種別 | ドメイン | 状態 |
| メール本文記載 | bk.web.sbishinsei.suliaoesmoju.com | DNS失効済み |
| 実際の誘導先 | bk.sbishinisiebank.terapiaseves.com | 稼働中(調査時点) |
これは攻撃者がフィッシングサイトを複数用意し、一方が閉鎖されても別のサイトへ誘導できるよう「保険」をかけている手口と考えられます。また実際の誘導先ドメイン bk.sbishinisiebank.terapiaseves.com のサブドメイン部分 「sbishinisiebank」 は正規ドメイン 「sbishinseibank」 の「n」と「i」を入れ替えたタイポスクワッティング(正規ドメインの文字を微妙に変えた偽ドメイン)になっており、URLをよく見ない限り気づきにくい偽装が施されています。
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://bk.sbishinisiebank.terapiaseves[.]com/web/#/(一部伏字)
リンクドメイン:terapiaseves.com(SBI新生銀行とは一切無関係のドメイン)
サブドメイン偽装:bk.sbishinisiebank——正規の sbishinseibank から「n」と「i」を入れ替えたタイポスクワッティング
サイトサーバーIP:8.216.61.200(Alibaba Cloud、シンガポールまたは香港拠点)
ドメイン登録日:whois.domaintools.com で確認
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【セキュリティソフトによるブロック状況】:
- 🛡️ Google セーフブラウジング(Chrome):「危険なサイト」として警告表示
▲ Google Chromeで「危険なサイト」として赤い警告画面が表示される
警告を突破すると、SBI新生銀行のインターネットバンキング「パワーダイレクト」のログイン画面を精巧に再現した偽画面が表示されます。「店番号・口座番号(半角数字10桁)」と「パワーダイレクトパスワード(半角数字10桁)」の入力を求めてきます。入力した瞬間、口座情報は攻撃者のサーバーへ送信されます。
▲ 偽パワーダイレクトログイン画面。SBI新生銀行の正規画面を精巧に再現しており、URLを確認しないと見分けがつかない
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
注意点と対処法
■ 注意点と対処法
- リンクをクリックしない:「本人確認・口座確認専用ページ」へのリンクは偽物です。絶対にクリックしないでください。
- 正規ログインURLを確認する:SBI新生銀行のインターネットバンキング(パワーダイレクト)の正規ログインURLは
https://bk.sbishinseibank.co.jp/です。「sbishinisiebank」(iとnが入れ替わっている)などは偽物です。 - 公式アプリ・ブックマークからアクセスする:ログインは必ずSBI新生銀行の公式アプリまたは以前登録したブックマークから行ってください。
- 「異常アクセス検知」メールは疑う:SBI新生銀行から異常アクセスの通知が届いた場合は、メール内のリンクをクリックせず、必ず公式アプリまたはブックマークからログインして確認してください。
- 入力してしまった場合:パワーコール(固定電話から:0120-456-007、携帯電話から:0570-016-007)に速やかにご連絡のうえ、パワーダイレクトの利用停止手続きを取ってください。
- 公式注意喚起の参照:SBI新生銀行を装ったフィッシングサイトが確認されています!ご注意ください(公式)
■ 関連記事
同じ「zh-」命名規則の攻撃グループによるANA偽メールの解析記事もあわせてご覧ください。
本レポートの結論
「異常なアクセスが検知された」と5項目もの脅し文句を並べてSBI新生銀行利用者を狙うフィッシングメールが確認されました。送信元ドメインの「zh-china-」という文字列は同日確認のANA偽メールと共通の命名規則であり、同一攻撃グループによる組織的な複数ブランド同時攻撃と断定します。さらにメール本文のURLと実際の誘導先が別ドメインというフィッシングサイト並行稼働の手口も確認されており、一方が閉鎖されても被害が続く設計になっています。インターネットバンキングの不正ログインは口座から直接お金を抜き取られる最も深刻な被害に直結します。SBI新生銀行を利用している方は、メール内のリンクは絶対にクリックせず、必ず公式アプリまたはブックマークからログインする習慣を今すぐ徹底してください。
調査日:2026年6月15日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
