【続報】魔改造B-CASカード詐欺、ドメインだけ替えて稼働継続——「card-yyy」から「card-zzz」へ、1週間で使い捨てた手口を解析

2026年6月24日

【続報】魔改造B-CASカード詐欺：使い捨てドメインの交代を追跡

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

2026年6月17日にご紹介した「2年越しの毒電波を克服」と謳う魔改造B-CASカードの違法販売勧誘メールが、文面・価格・販売ページのデザインをほぼそのままに、1週間後の今回も届きました。違うのは誘導先ドメインの末尾だけ。「card-yyy.xyz」から「card-zzz.xyz」へと、まるで在庫を入れ替えるように使い捨てられています。同じ攻撃キットが今も稼働を続けている実態を解析します。

※重要：このメールのリンクは絶対にクリックしないでください。誘導先の販売ページで氏名・住所・電話番号・メールアドレスを入力すると、個人情報が業者に渡ってしまいます。

緊急性レベル	★★★☆☆ (3/5) 違法サービス勧誘＋個人情報詐取リスク
偽装工作精度	★★☆☆☆ (2/5) SPF Softfail・docomoの使い捨てアドレス

「毒電波」とは、BS/CS放送のスクランブル信号（暗号化された電波）を指す業界用語です。放送局が暗号を更新するたびに古い改造カードは使えなくなり、改造カード業者は新しい解読方法を開発する「いたちごっこ」を続けています。今回のメールは前回と同じく「2026年6月17日、2年ぶりに最新の暗号に対応した改造カードが完成した」という体の販売勧誘です。

※実際に届いたメールの画面です。件名・価格・特典内容は前回（6/17）と一致しています。

ご覧の通り、このメールは違法な改造カード販売への勧誘です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

価格で選ぶなら、まずこちらをご確認ください

魔改造B-CAS BS/CS無料視聴 6/17更新販売中
送料無料＋特典付き

現在、魔改造B-CAS BS/CS無料視聴 6/17更新をお探しの方に向けて、
価格・特典・保証内容を見直した販売ページをご用意しました。

今なら、購入者全員にairproを無料プレゼント。
さらに、安心してご利用いただける3年間保証付きです。

[チェック] 送料無料
[チェック] airpro無料プレゼント
[チェック] 3年間保証付き
[チェック] 詳細は販売ページで確認可能

［販売ページを確認する］

（以下、本文と無関係な「男性機能のお悩み」「見た目の印象が気になる男性へ」という広告リンクが続く）

■ メールヘッダー解析（送信者情報）

件名：6月17日2年越しの毒電波が

表示上の送信者：zfkjafsjjvw@docomo.ne.jp

Reply-To：kwihgnzaf@docomo.ne.jp（どちらも使い捨て目的の取得アドレスと考えられます）

受信日時：2026年6月24日

※メールヘッダー詳細は個人情報保護のため非掲載

前回記事では送信元が「GmailアドレスでiCloudを偽装」し、GoDaddy（米国）のサーバーから送信されていました。今回はdocomoの使い捨てフリーアドレスに変わっており、送信ルートも変化しています。同じ違法商材を売る業者が、フィルター回避のために送信手段をローテーションしていると考えられます。

■ 送信ルート及び偽装判定

送信元IP：193.176.244.151

ホスト名：hosted-by.royalehosting.net（RoyaleHosting BV）

SPF：Softfail（送信元が正規サーバーと認定されなかった）

【偽装判定】：正規のdocomoメールはdocomoの公式サーバーから送信されます。本メールはオランダのホスティング業者RoyaleHostingのサーバーから送信されており、docomoとは一切関係がありません。

発信元ロケーション：オランダ・オーファーアイセル州 Dedemsvaart（郵便番号7701）
IP情報：ip-sc.netで確認する
Googleマップ：【位置情報を確認する】

普段の生活で「オランダのホスティング業者」という名前を聞く機会はほとんどないと思いますが、今回のメールはまさにそこを経由して、地球の裏側からあなたの家のメールボックスへ届いています。聞いたこともないサーバーを一つ経由するだけで、迷惑メールは平然と国境を越えてくるのだと実感させられます。

■ フィッシングサイト詳細解析——中継ルートとドメイン交代

中継経路：メール内リンクは前回と同じくロシアのYandex URL短縮サービス（clck.ru）を経由し、sba.yandex.netを経て中間ドメインaaxxcc.xyzへリダイレクトされます。

最終誘導先URL（伏せ字）：hxxps://card-zzz［.］xyz/

前回（6/17）の誘導先：hxxps://card-yyy［.］xyz/

サイトサーバーIP：104.26.0.99（Cloudflare CDN経由）

ロケーション：カナダ・オンタリオ州トロント（Cloudflareの代表IPのため、実際の運営場所を示すものではありません）
IP情報：ip-sc.netで確認する
Googleマップ：【Googleマップで表示】

【販売内容】：魔改造B-CASカード7,980円（税込）、「2026年6月17日新KW変更済み」、送料無料、airpro無料プレゼント、3年間保証。氏名・住所・電話番号・メールアドレスの入力フォームあり。

※ドメイン名の末尾だけを「yyy」→「zzz」と変えて再利用する手口は、フィルターやブラックリストに登録された旧ドメインを切り捨て、新しいドメインで活動を継続するための常套手段です。中身が一字一句同じ販売ページを、ドメインだけ替えて何度も使い回す典型例と言えます。

※今回（card-zzz.xyz）の販売ページです。前回の画面とほぼ同一のデザインが使われています。

ちなみに中継先のRoyaleHosting社のドメイン自体は2019年から登録されている正規のホスティングサービスです。正規のホスティング業者のサーバーを、攻撃者が無断で借りて送信に利用しているに過ぎず、RoyaleHosting社自体が詐欺に関与しているわけではありません。

■ 注意点と対処法

リンクを絶対にクリックしない：Yandex経由の中継を通って違法な改造カード販売サイトに誘導されます。
個人情報・クレジットカード情報を入力しない：氏名・住所・電話番号などを入力すると、業者に情報を渡すことになります。
購入しない：魔改造B-CASカードの製造・販売・使用は不正競争防止法・著作権法に違反する可能性があり、購入者側も法的リスクを負う場合があります。
そのまま削除する：SPF認証に失敗しており、迷惑メールとして処理して問題ありません。
同じ文言のメールに注意：「毒電波」「新KW対応」「2年越し」といった言葉が入ったメールは、ドメインが変わっても同種の違法勧誘です。

本レポートの結論

前回ご紹介した魔改造B-CASカードの違法販売勧誘メールが、1週間後の今回も文面・価格・デザインをそのままに、誘導先ドメインだけを「card-yyy.xyz」から「card-zzz.xyz」へ交代して再び届きました。送信元もGmail/iCloud偽装からdocomoの使い捨てアドレスへ、送信サーバーもアメリカのGoDaddyからオランダのRoyaleHostingへと変化しており、攻撃者が摘発・フィルターを逃れながら同じ商売を継続している様子がうかがえます。テレビの視聴料を節約したい気持ちはわかりますが、改造カードの購入・使用は違法行為であり、個人情報を盗まれるリスクも伴います。メールはそのまま削除し、このページを家族のLINEグループで共有してあげてください。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。
根拠データ参照元：ip-sc.net