【警告】楽天カード「3Dセキュア認証再確認」は偽物！Azure発・米国RackNerd誘導の二段階クローキング詐欺を解析

HL-META: date=2026-06-24 | brand=楽天カード | sender_geo=東京都渋谷区 | site_geo=アメリカ合衆国ニューヨーク州バッファロー | spf=pass | dkim=不明 | cloaking=yes

■ メールヘッダー解析（送信者情報）

件名：[spam]【楽天カード】セキュリティシステム更新に伴う再認証の手続き

送信者表示名：“楽天カード”

送信元アドレス：noreply@seevxl.ayszyy.com

送信元IP解析：20.191.188.248（東京都渋谷区／Microsoft Azure）

SPF判定：Pass（送信元のドメインが許可した経路からの送信であることは確認できますが、これは「攻撃者が自分で用意したドメインとサーバーの組が一致している」だけのことであり、楽天カードの正規メールであることの証明にはなりません）

受信日時：2026年06月24日（水）16時41分頃

添付ファイル：不審な拡張子のファイルが添付されています。感染のリスクがあるため、当サイトでは開封・解析を行っておりません。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

---

楽天カード　Rakuten Card

【重要】3Dセキュア認証 再確認のお願い

平素より楽天カード（Rakuten Card)をご利用いただき、誠にありがとうございます。

お客様のカードにご登録いただいております「3Dセキュア認証（本人認証サービス）」の有効期限が切れているか、または再登録が必要な状態となっております。
セキュリティ強化のため、再認証手続きを弊社システムにてご依頼しております。

※再認証が完了しない場合、一部のインターネット決済（オンラインショッピング等）がご利用いただけなくなる可能性がございます。

要対応期限：2026-06-24（当日中）
対応内容：3Dセキュア認証（本人認証サービス）の再登録・認証手続き

認証手続きは下記の専用ボタンより認証画面へお進みください。
（※セキュリティ保護のため、必ずご自身でブラウザを開き直接アクセスするか、楽天公式アプリからお手続きください）

【 3Dセキュア認証ページ 】

⚠ 本メールに心当たりがない場合や、不審な点がある場合は直ちに楽天カードコールセンターまでご連絡ください。
※本メールは送信専用アドレスより配信されています。返信いただいてもご回答できませんのでご了承ください。

🔒 セキュリティ対策の観点から、不審なメールのリンクを直接クリックせず、楽天公式サイトのブックマークまたは楽天公式アプリからアクセスすることを推奨いたします。

楽天カード株式会社
〒102-0083 東京都千代田区麹町4-1-1
カスタマーサポート：0570-84-1783（有料）
* 紛失・盗難のご連絡は、24時間年中無休で承っております。

2026 楽天カード株式会社 / Rakuten Card

文面そのものは比較的整っており、不自然な日本語の誤りは見当たりません。しかし「要対応期限：2026-06-24（当日中）」という表記は、受信したその日のうちに対応させようとする典型的な煽り文句です。「当日中」「今すぐ」と急かす内容は詐欺の典型パターンです。本物の楽天カードからの通知で、こうした即日対応を求める例はまずありません。

■ 送信ルート及び偽装判定

送信元の正体：送信元として記載されているメールアドレスのドメイン（@より後ろ）は「seevxl.ayszyy.com」。楽天カードが利用する正規ドメインは「mail.rakuten-card.co.jp」「mkrm.rakuten.co.jp」「bounce.rakuten-card.co.jp」のいずれかであり、このドメインは一切関係がありません。

送信元サーバーの解析：メールヘッダーを解析した結果、実際の送信元IPアドレスは20.191.188.248。このIPアドレスはMicrosoft Azure（マイクロソフトのクラウドサービス）の東京リージョンに割り当てられたものでした。地理的なロケーションは東京都渋谷区と判定されています。

クラウド踏み台の意味：攻撃者は自前のサーバーを使わず、Microsoft Azureのような信頼性の高いクラウドサービス上に使い捨てのアカウントを作り、そこから送信しています。送信元ドメインとSPF認証の対象が一致していたため、メールサーバー側のSPFチェックは「Pass」と判定されましたが、これは「自分で用意したインフラの整合性が取れている」というだけで、楽天カードの正規メールであることの証拠にはなりません。

※メールヘッダーの詳細（Receivedヘッダー等の生ログ）は受信者の個人情報を含むため、本文中には掲載しておりません。

送信元IPアドレスの詳細情報（ip-sc.net）

■ フィッシングサイト詳細解析

誘導先URL：hxxps://bouatcoy[.]com/dad/zaa/cc/（直リンク防止のため一部表記を変更しています）

ドメインの素性：このドメインを調査したところ、もともとは中国の企業が運営する、本件とは無関係な正規サイトとして登録されていたものであることが分かりました。攻撃者は既存のサイトを乗っ取るか、管理が行き届いていない状態のサイトを不正利用して、フィッシングのインフラとして流用しているとみられます。

誘導先サーバーIP：192.227.190.144（アメリカ合衆国ニューヨーク州バッファロー／RackNerd LLC）。データセンター系のプロキシが検出されており、利用者が直接借りられる安価なレンタルサーバーであることが分かっています。

誘導先サーバーIPアドレスの詳細情報（ip-sc.net）

巧妙な二段階表示の仕掛け：このリンクにアクセスすると、まず「安全な接続を確認しています」という、いかにも本物らしい確認中の画面が一瞬表示されます。これは閲覧者の環境を見分けるための仕掛けで、一般的に「クローキング」と呼ばれる手口です。この画面の裏側で、パソコンからのアクセスかスマートフォンの実機からのアクセスかが自動的に判別されています。

※リンク先に進むと、まずこの画面が一瞬表示されます。本物のセキュリティチェックのように見えますが、実際は訪問者の環境を見分けるための仕掛けです。

パソコンや、当サイトのようなセキュリティ調査側の環境でアクセスを試みた場合は「リクエストがタイムアウトしました」という、英語の素っ気ないエラーページが表示されるだけで終わります。これは解析や検知を逃れるための偽装と考えられます。

※パソコンからアクセスすると、このような味気ない英語のエラー画面だけが表示され、偽サイトの本体には進めません。

【サイトの状態】：ウイルスバスターなど大手セキュリティソフトでは、このサイトはすでにフィッシングサイトとして検知・ブロックされています。アクセスを試みた際に警告画面が表示される場合があります。

※セキュリティソフトを導入していれば、この警告画面が表示されてアクセスが自動的にブロックされます。

一方、スマートフォンの実機からアクセスした場合に限り、楽天の公式ログイン画面を模した偽サイトへと進む仕組みになっていました。

※スマートフォンの実機からアクセスした場合だけ、この本物そっくりの偽ログイン画面が表示されます。ここにIDやパスワードを入力すると、情報がそのまま攻撃者に渡ってしまいます。

■ 注意点と対処法

1. URLをクリックしない：リンク先は情報を盗むための精巧な偽サイトです。スマートフォンから開くと一段と本物らしく見えるため、特に注意が必要です。
2. 添付ファイルを開かない：拡張子が不審な添付ファイルが付いている場合、開くだけでウイルス感染のリスクがあります。心当たりのない添付ファイルは絶対に開かないでください。
3. 公式サイトを確認：必ず楽天カード公式アプリ、または事前にブックマークしてある公式サイトからアクセスしてください。メール内のリンクは使わないようにしましょう。
4. 送信元ドメインを確認：楽天カードからのメールの送信元ドメインは「@mail.rakuten-card.co.jp」など正規のものに限られます。それ以外のドメインから届いたメールはすべて偽物と判断してください。
5. 公式注意喚起の参照：楽天カード公式「不審メールにご注意ください」

本レポートの結論

「セキュリティシステム更新に伴う再認証の手続き」という件名で届く今回のメールは、楽天カードを名乗る巧妙な偽メールです。送信元はMicrosoft Azureの東京サーバー、誘導先は米国のレンタルサーバーで、パソコンとスマートフォンで表示を切り替える「クローキング」という手口まで使われていました。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。