【実録】日専連「ポイント失効間近のお知らせ」は詐欺！PCは本物サイトへ・スマホは偽ログインへ誘導するデバイス判定クローキングの手口を暴く

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

• 1. 詐欺メール本文の再現
• 2. タイポスクワッティング：送信元とフィッシングサイトの両方に「nissenren」の並べ替えを使用
• 3. 送信ルート及び偽装判定
• 4. デバイス判定クローキングの実態
• 5. フィッシングサイト詳細解析
• 6. 注意点と対処法

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

件名：ポイント失効間近のお知らせ

NISSENREN

ポイントに関するお知らせ
日専連カード 会員様

平素より日専連カードをご利用いただき、誠にありがとうございます。
お客様が現在お持ちの「日専連ポイント」の うち、一部のポイントがまもなく有効期限を迎えます。

ポイント交換のご案内

有効期限内にアカウントへログインのうえ、ご利用または本人確認のお手続きをお願いい たします。
認証完了後、失効予定のポイントは6-8か月延長されます。

ポイント情報
失効予定ポイント数：7,128 ポイント
ポイント失効予定日：2026年6月18日

ポイントを確認する ←（※フィッシングリンク・クリック禁止）

※有効期限を過ぎたポイントの再発行はいたしかねます。
※本人確認後、3営業日以内のポイント確認後に延長完了。

日専連ファイナンス株式会社
c 2026 Nissenren Card Co., Ltd.

⚠️ ここが怪しい！スタッフが気づいた偽物のサイン

• 送信元が llookpip@mail3.niesiensr.xyz——「nissenren」の文字を並べ替えた偽ドメイン。正規ドメインは nissenren.co.jp
• 「失効予定ポイント数：7,128ポイント」——具体的な数字で本物らしさを演出しているが、実際の残高とは無関係に全受信者に同じ数字が送られている
• 「ポイント失効予定日：2026年6月18日（3日後）」——差し迫った期限で冷静な判断を奪う
• 「認証完了後、失効予定のポイントは6-8か月延長されます」——ログインを促すための甘い言葉
• フッターが「c 2026 Nissenren Card Co., Ltd.」——著作権表記の「©」が「c」になっている
• メールのデザインが過去の詐欺メールと共通のテンプレート——使い回しの証拠

■ 二重タイポスクワッティングの実態

今回の攻撃者は、送信元ドメインとフィッシングサイトのドメインの両方に、日専連の正規ドメイン「nissenren」の文字を並べ替えたタイポスクワッティングを使っています。さらに、それぞれ別の並べ替え方をしている点も注目です。

「niesiensr」と「nieerensren」——両方とも「nissenren」の文字を並べ替えたものですが、それぞれ異なる配置になっています。両ドメインに .xyz という低コストで取得できるTLD（ドメインの末尾部分）が使われていることも、使い捨て目的を示しています。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from mail3.niesiensr.xyz (mail3.niesiensr.xyz [34.85.79.71])

【偽装判定】：
日専連ファイナンスの正規メールは @nissenren.co.jp 等から送信されます。本メールの送信ドメイン niesiensr.xyz は nissenren の文字を並べ替えた全く別の第三者ドメインです。SPF・DKIMを両方Passするよう事前に細工されており、多くのメールフィルターをすり抜けます。

送信サーバーIPアドレス：34.85.79.71（Google Cloud Platform）

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

X-Mailerヘッダーの偽装：
メールに記録されていたX-Mailer（メール送信ソフトの情報）は QOQPSMKJIBHZ VIVAHBACL ICSBI FMNMK 900.40985 という意味不明な文字列でした。これはスパムフィルターによるX-Mailerの評判チェックを回避するために、毎回ランダムな文字列を生成して送信している痕跡です。

文字コードの指定：
メールの文字コードに charset=SHIFT_JIS（古い日本語文字コード）が指定されており、現代の標準である UTF-8 ではありません。これは古いテンプレートをそのまま使い回していることを示しています。

■ PC→本物サイト転送、スマホ→偽ログイン誘導という巧妙な分岐

今回のフィッシングサイト（nieerensren.xyz/nisseisen）には、アクセスしてきた端末の種類（PCかスマートフォンか）を判別して表示内容を変える「デバイス判定クローキング」が実装されています。

この手口が特に悪質な理由は、セキュリティ研究者や自動検査プログラムがPCからURLを調査するとアクセス先が本物の公式サイトになるため、「このURLは安全」と誤判定されてしまう可能性がある点です。一般的なフィッシング対策の盲点を突いた高度な手口です。

▲ スマートフォンでアクセスした際に表示されるセキュリティチェック画面（「私はロボットではありません」）。bot排除と人間の確認を兼ねた関門

さらにスマートフォンでのアクセス時は、偽のセキュリティチェック（「私はロボットではありません」チェックボックス）も表示されます。これをクリックすると偽ログイン画面が現れます。

▲ スマートフォンからアクセスした場合の偽ログイン画面。日専連のデザインを忠実に再現しており、ユーザーIDとパスワードの入力を求める

▲ PCからアクセスした場合はこのように本物の日専連公式サイトへ転送される。「日専連を騙る不審なメールにご注意ください」という注意喚起も掲載中

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://nieerensren[.]xyz/nisseisen（一部伏字）

リンクドメイン：nieerensren.xyz（「nissenren」の文字を並べ替えたタイポスクワッティング）

パスの偽装：/nisseisen——「nissenren」をさらに縮めた偽装パスで日専連らしさを演出

サイトサーバーIP：104.21.3.159（Cloudflare CDN経由——実際のサーバー所在地は隠蔽）

ドメイン登録日：whois.domaintools.com で確認

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

■ 注意点と対処法

1. リンクをクリックしない：「ポイントを確認する」リンクは偽物です。絶対にクリックしないでください。
2. 正規ドメインを確認する：日専連ファイナンスの正規サイトは https://www.nissenren.co.jp/ です。.xyz ドメインや「nissenren」の文字を並べ替えたドメインは全て偽物です。
3. ポイント残高は公式から直接確認する：メール内のリンクはクリックせず、公式アプリまたはブックマークから日専連WEBサービスにアクセスしてご確認ください。
4. PCで見ると本物サイトが表示されても油断しない：今回のようなデバイス判定クローキングではPCからのアクセスは本物サイトへ転送されます。スマートフォンでのアクセス時のみ偽ログイン画面が表示されます。PCで確認して「本物っぽい」と思っても、スマートフォンでは別の画面が表示される可能性があります。
5. 入力してしまった場合：日専連コールセンター（096-324-6611、平日9:00〜17:00）に速やかにご連絡ください。
6. 公式注意喚起の参照：【重要】日専連を騙る不審なメール等にご注意ください（日専連ファイナンス公式）

■ 関連記事

当ブログでは過去にも日専連・クレジットカード系のフィッシングメールを取り上げています。あわせてご覧ください。

日専連 関連記事一覧

本レポートの結論

「7,128ポイントが3日後に失効する」という具体的な数字と差し迫った期限で焦らせる日専連騙りフィッシングメールが確認されました。送信元・フィッシングサイトの両方に「nissenren」の文字を並べ替えたドメインを使いつつ、PCからのアクセスは本物の公式サイトへ転送してセキュリティ検査をかわし、スマートフォンのみ偽ログイン画面に誘導するデバイス判定クローキングという高度な手口が実装されています。「PCで確認したら本物サイトが表示されたから安全」という判断が危険なのはこのためです。日専連カードをお持ちの方はもちろん、ポイント失効を煽るメール全般に対して、メール内リンクを絶対にクリックせず必ず公式サイトから直接確認する習慣をつけてください。