【調査報告】dPOINT「ポイント健康診断」は詐欺!電話番号認証を狙う手口とNHK詐欺と同一の連番IP帯インフラを解析
| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【d POINT】お客様専用ポイント健康診断 — 未受取・失効リスクの一斉確認
送信者表示名:“dポイントクラブシステム管理部”
送信元アドレス:PUIAJP@aridmbn.deliver.nixiled.com
送信元IP解析:35.209.74.234(アメリカ合衆国/Google Cloud Platform)
SPF判定:Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、dPOINTの正規メールであることの証明にはなりません)
受信日時:2026年06月25日(木)11時25分頃
ご覧の通り、このメールはdPOINTを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。「診断結果」「総合判定」という医療検診風の言葉で信憑性を演出しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
d POINT NTTドコモ ○○○○ 様 平素よりdポイントをご利用いただき、誠にありがとうございます。 dポイントサポートセンターでは、お客様のポイントアカウントを対象とした「ポイント健康診断」を定期的に実施しております。今回の診断結果をお届けしますので、以下の確認事項にご留意いただき、必要なアクションをお取りください。 ポイント健康診断 診断結果 診断実施日 2026年6月25日 保有ポイント 正常(ご利用可能) 未受取ポイント 要確認(未受取あり) 有効期限リスク 注意(近日失効の可能性) 総合判定 一部アクション推奨 診断の結果、お客様のアカウントには未受取のまま蓄積されているポイントが存在し、また一部のポイントについては有効期限が近づいている可能性が示唆されました。いずれも早急に確認・対応いただくことで、大切なポイントを無駄なくお使いいただけます。 下記ボタンより、お客様専用の健康診断詳細ページへアクセスし、未受取ポイントの確認と受け取りをお済ませください。所要時間は1分程度です。 【 ポイント健康診断の詳細を見る 未受取ポイントの確認と受取手続きへ 】 ※ 本診断はお客様のdポイントアカウントの健全性を定期的に確認するものです。 ※ 失効リスクのあるポイントは、期限までに受取手続きを完了してください。 ※ 既に対応済みの項目については、本メールのご案内は不要となります。 ※ 本メールは自動配信システムより送信されています。 株式会社NTTドコモ dポイントサポートセンター © NTT DOCOMO, INC. All Rights Reserved.
「診断実施日」「総合判定」「一部アクション推奨」など、健康診断結果報告書を模した独特の体裁で信憑性を演出している点が今回の特徴です。「健康診断」という医療系の比喩であっても、最終的には電話番号の入力を求める典型的なフィッシングの手口に変わりはありません。正規のdポイントサービスが、このような「健康診断」という名目で個別に確認を求めることはありません。
■ 送信ルート及び偽装判定
送信元の正体:送信元として記載されているメールアドレスのドメイン(@より後ろ)は「aridmbn.deliver.nixiled.com」。NTTドコモ・dポイントが利用する正規ドメインは「docomo.ne.jp」であり、このドメインは一切関係がありません。
送信元サーバーの解析:メールヘッダーを解析した結果、実際の送信元IPアドレスは35.209.74.234。このIPアドレスはアメリカ合衆国に割り当てられたGoogle Cloud Platform(グーグルのクラウドサービス)のサーバーでした。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
■ フィッシングサイト詳細解析
誘導先(PC):hxxps://www.dvbipx[.]com/?CeXpRwQChqskyzWNCqOzB8yJ
誘導先(スマートフォン):hxxps://www.xyr99[.]com/home(直リンク防止のため一部表記を変更しています)
※スマートフォンでアクセスすると、dポイントクラブを模した携帯電話番号の入力画面が表示されます。
NHK詐欺との一致:PC用ドメイン「dvbipx.com」を調査したところ、レジストラ(July Name Limited)、登録日(2025年7月19日)、ネームサーバー(Cloudflare)が、当サイトが本日別途報告したNHKを騙るフィッシングメールの誘導先ドメイン群と完全に同じパターンであることが分かりました。サーバーのIPアドレスは219.153.32.21で、中国 重慶市のChongqing Telecomが管理するデータセンターに割り当てられています。このIPアドレスは、NHK詐欺の誘導先(219.153.32.22)とわずか1番違いの隣接アドレスでした。ブランドも文面も全く異なる2つの攻撃が、同じ攻撃者によって同じサーバー群で運用されていることがうかがえます。
PC用誘導先サーバーIPアドレスの詳細情報(ip-sc.net)
スマホ用誘導先の調査:スマホ用ドメイン「xyr99.com」は、Cloudflareのプロキシ機能によって実際のサーバーの場所が隠されており、登録者情報もプライバシー保護で確認できませんでした。ただし登録者の国情報は「CN(中国)」と記載されており、PC用ドメインとの関連性が疑われます。
※解析データに基づき、本メールは複数のブランドを使い分けながら同一の誘導先インフラを運用する攻撃キャンペーンの一部であることが確認されています。ロケーション情報は調査時点(2026年6月)のものであり、日々変化する可能性があります。
■ 注意点と対処法
- 携帯電話番号を入力しない:「ポイント健康診断」のような独特の名目であっても、不審なリンク先で電話番号を入力してはいけません。
- URLをよく確認する:NTTドコモ・dポイントが利用する正規ドメインは「docomo.ne.jp」です。それ以外のドメインから届いたメールはすべて偽物と判断してください。
- 公式アプリを使う:ポイントの確認は必ずdポイントクラブの公式アプリ、または公式サイトのブックマークからアクセスしてください。
- 件名のバリエーションに注意:「未受取ポイント」「失効リスク」「健康診断」など、表現を変えながら同種の詐欺が繰り返されています。新しい言い回しでも油断しないでください。
- 公式注意喚起の参照:NTTドコモ公式「フィッシング詐欺への対策」
本レポートの結論
「ポイント健康診断」という名目で届く今回のメールは、dPOINTを名乗る偽メールです。携帯電話番号を狙う手口に加え、PC用誘導先サーバーは、当サイトが本日報告したNHK詐欺とわずか1番違いの隣接IPアドレスで運用されていることが判明しました。複数の大手ブランドを使い分けながら、裏で同じインフラを運用する組織的な攻撃の実態が、調査を重ねるごとに明らかになってきています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【注意喚起】経済産業省・資源エネルギー庁「電気・ガス補助金失効通知」は詐欺!SPF認証失敗の不正メールがVポイント詐欺と同じ誘導先を使用 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開!