【調査報告】U-NEXT「与信情報再確認」は偽物！4日前に取得された新鮮ドメインの正体

2026年6月27日

【調査報告】U-NEXT「与信情報再確認」は偽物：4日前に取得された新鮮ドメインの正体

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

U-NEXTを装い「与信情報の再確認」を口実に、カード情報を入力させる詐欺メールが確認されました。「与信」という一般にはあまり聞き馴染みのない業界用語を使うことで、もっともらしさを演出する手口です。誘導先ドメインは調査時点でわずか4日前に取得されたばかりという、非常に鮮度の高いインフラが使われていました。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)
偽装工作精度	★★★★☆ (4/5)

■ メールヘッダー解析（送信者情報）

件名：【サポート】与信情報再確認のお願い

送信者名：U-NEXT

送信元アドレス：admin@a-piaticket4.info

送信元IPアドレス：45.66.216.114（Virmach／東京都渋谷区）

受信日時：2026年6月27日 04:07

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、このメールはU-NEXTを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです（メール内のリンクURLは伏字処理しています）。

本人確認手続きが必要となっております。

いつもU-NEXTをご利用いただき、誠にありがとうございます。

各カード会社におけるセキュリティ対策の強化に伴い、有効期限や与信情報の確認が厳格化されています。安定したご利用を続けていただくため、以下をご確認ください。

以下に記載のURLにアクセスし、本人確認を行ってください。

本人確認には「カード情報」が必要です。

【本人確認/情報設定・確認用▼】
マイページへアクセス（リンク：hxxps://login.tv-1unextoffice-qr[.]net/?ts=◯◯◯◯◯◯◯◯◯&sig=◯◯◯◯（伏字処理）)

このメール受信から48時間以内にご対応がない場合、URLは無効となり、アカウントのアプリ連携は解除され、ポイントは無効となります。

※URLが開けない場合は、リンクをクリックしてください。
再手続きはこちら：こちら

【手続きに心当たりがない場合】
アカウント保護のため、至急こちらから対処してください。

【お問い合わせはこちら】
U-NEXTヘルプセンター

※実際に届いたメールの画面です。

ここで注目したいのが「与信情報」という言葉です。「与信」とはクレジットカード会社が利用者の利用限度額（与信枠）を判断する際に使う業界用語で、決して嘘の言葉ではありません。しかし、カード会社や決済代行業者が社内・業務上で使う言葉であり、サービス提供企業が利用者個人に向けて「与信情報を確認してください」のような言い方をすることは通常ありません。一般消費者にはあまり馴染みのない専門用語をあえて使うことで、「なんだか専門的で本物っぽい」という印象を与えようとする、詐欺メールによく見られる手口の一つです。

■ 送信ルート及び偽装判定

送信元IPアドレス（Received-SPFのclient-ip）：45.66.216.114

SPF判定：Pass（攻撃者が自前で取得したドメインに正しくSPFを設定しているため、正規メールであることの証明にはなりません）

DKIM署名：あり（同じく攻撃者自前ドメイン上の署名であり、U-NEXTとは無関係です）

【偽装判定】：正規のU-NEXTからのメールは「unext.jp」または「unext-info.jp」ドメインから送信されます。本メールの送信元ドメイン「a-piaticket4.info」はU-NEXTとは一切関係のない、攻撃者が独自に用意したドメインです。

送信元ロケーション解析：
日本・東京都渋谷区（Virmach社のホスティングサーバー）
IP情報：ip-sc.netで確認する
Googleマップ：【Googleマップで表示】

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://login.tv-1unextoffice-qr[.]net/?ts=◯◯◯◯◯◯◯◯◯&sig=◯◯◯◯ (一部伏字)

リンクドメイン：tv-1unextoffice-qr.net

ドメイン登録日：2026年6月23日（調査時点でわずか4日前に取得されたばかりの新鮮なドメインです）

サイトサーバーIP：104.21.43.58（Cloudflare経由のCDN、実サーバーの所在地は隠蔽）

ロケーション：カナダ・オンタリオ州トロント（ホスト名上の表示であり、実際の管理者の所在地ではありません）
IP情報：ip-sc.netで確認する
Googleマップ：【Googleマップで表示】

【サイトの状態】：調査時点（2026年6月27日）で稼働中。U-NEXTの公式ログイン画面を精巧に模倣しています。

※ログイン画面の先に進むとクレジットカード情報の入力フォームが表示されます。

このカード情報入力画面、よく見ると入力項目のラベルが「ジットカード名義」「キュリティコード」になっています。正しくは「クレジットカード名義」「セキュリティコード」のはずですが、文字が一部欠落していますね（笑）。さらに画面上部には全く関係ない「JCBカード新規発行」の広告まで表示されており、本物のU-NEXTの決済画面ではまずありえない作りになっています。

このサイトにログインID・パスワードを入力すると、続けてクレジットカード番号・名義・有効期限・セキュリティコードまで入力させる構造になっています。一度の操作でログイン情報とカード情報の両方が攻撃者の手に渡ってしまう、非常に被害の大きい手口です。

■ 注意点と対処法

URLをクリックしない：リンク先はログイン情報とカード情報をまとめて盗むための偽サイトです。「48時間以内」「与信情報の確認」といった言葉で焦らせる手口に注意してください。
公式アプリ・公式サイトを確認：アカウントの状態を確認したい場合は、必ずU-NEXTの公式アプリまたはブックマークしてある公式サイト（unext.jp）からアクセスしてください。
「与信情報」という言葉に注意：サービス事業者が利用者に直接この言葉を使うことは通常ありません。違和感を覚えたら立ち止まりましょう。
公式注意喚起の参照：U-NEXTヘルプセンター「不審なメールが届いた」

本レポートの結論

今回のメールは、U-NEXTを装い「与信情報の再確認」を口実に、ログイン情報とクレジットカード情報をまとめて盗む詐欺メールでした。誘導先ドメインは調査時点で取得からわずか4日という、非常に鮮度の高いインフラが使われています。一般にはあまり聞き馴染みのない業界用語を使った巧妙な偽装ですが、よく見ると入力フォームの誤字や不自然な広告など、ほころびも見られました。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

LINEで共有する

調査日：2026年6月27日／ Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。
根拠データ参照元：ip-sc.net