【警告】BLACKCAS「BACK AGAIN」詐欺メールの正体——Yandex公式短縮URLを悪用した新手口を解析
[IMAGE_URL_アイキャッチ画像:B-CASカードと「BACK AGAIN」の文字をあしらったイメージ]
※本記事のサムネイル画像です
| 緊急性レベル | ★★★☆☆ (3/5) 個人情報+決済情報の詐取サイトに誘導 |
| 偽装工作精度 | ★★★★☆ (4/5) SPF Softfail・しかし本物のYandexサービスを巧妙に悪用 |
⚠️ 注意:このメールは「フィッシング」ではなく違法商品(魔改造B-CASカード)の販売勧誘です。リンク先で個人情報・クレジットカード情報の入力を求められます。商品自体も不正競争防止法・著作権法違反に該当する可能性がある違法品であり、購入した場合も法的リスクが生じます。
■ メールヘッダー解析(送信者情報)
件名:[spam] BLACKCAS-BLACKCAS-BLACKCAS最新
送信者表示名:“unffwd@icloud.com”(偽装)
実際の送信元アドレス:xapbumxvisq@gmail.com
Reply-To:ersexajyhq@softbeat.ne.jp(さらに別アドレスへ転送設定あり)
受信日時:2026年6月29日 17:10頃
ご覧の通り、この販売勧誘メールは違法な改造カードへ誘導する真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた勧誘メールを技術検証のために忠実に再現したものです。
実際には以下の画像の様にHTMLコードがむき出しになった不思議なメールでしたが、Heartland-Labがデコードし復元したのが次の文章です。
BACK AGAIN 2年ぶりに、BS/CS無料(BLACK-CAS)6/17最新版が戻ってきました。 BS/CS無料(BLACK-CAS)6/17最新版が、皆様にもっと使いやすく改良されて再び登場しました。 ▼BS/CS無料(BLACK-CAS)6/17最新版を確認するhxxps://clck[.]ru/3UAUCUSTEP01:価格が安くなりました STEP02:申込みから受取りまでの期間が短縮されました STEP03:サポート対応がより手厚くなりました お見逃しなく!今すぐご確認ください BS/CS無料(BLACK-CAS)6/17最新版を見逃した方へ ▼BS/CS無料(BLACK-CAS)6/17最新版を確認するhxxps://clck[.]ru/3UAUCU
※実際に届いたメールのソース表示画面です
■ 送信ルート及び偽装判定
Received-SPF(真の送信元証明):
client-ip=45.95.233.237/helo=23052.ip-ptr.tech/envelope-from=caruocwpn@softbeat.ne.jp
SPF判定:Softfail(送信ドメインの正規サーバーとして認証されていません)
【偽装判定】:
送信者表示名は「unffwd@icloud.com」となっていますが、実際の送信元は無関係なGmailアドレス。さらにReply-Toも別のドメインに設定されており、返信しても本来の送信者には届かない多重偽装構造になっています。
発信元ロケーション解析:
送信元IP(45.95.233.237)の割当国:フランス
Googleマップ:【位置情報を確認する】
※フランスの格安ホスティング・VPSサービスを踏み台にしていると見られます。
💡ここで!
SPF:Softfailとは
SPF(Sender Policy Framework)は送信元サーバーが正規のものかを確認する仕組みです。「Softfail」は「このIPアドレスからの送信は許可されていない可能性が高い」という、なりすましの強い疑いを示す判定です。受信側のフィルター設定によっては受信トレイに届いてしまうことがあるため、件名の[spam]タグだけに頼らず内容そのものを見極める必要があります。
■ フィッシングサイト詳細解析(多段リダイレクトの手口)
誘導リンクの構造:
| ①メール内リンク | hxxps://clck[.]ru/3UAUCU(Yandex〈ロシアの大手IT企業〉公式の短縮URLサービス) |
| ②中継ページ | hxxps://sba[.]yandex[.]ru/redirect?url=...(Yandex公式のリンク安全確認ページ) |
| ③中間ドメイン | hxxps://aaxxdd[.]xyz/(Cloudflare経由、IP:104.21.45.155) |
| ④最終着地(詐欺サイト) | hxxps://blackbcas[.]xyz/(Cloudflare経由、IP:172.67.160.6) |
【サイトの状態】:ウイルスバスター クラウドが①の段階で「脅威の種類:フィッシング」として即座にブロック。
サイト内容:「BLACK-CAS CARD」と称し、B-CASカードの差し替えで有料放送全チャンネルを無料視聴できると謳う違法改造カードの販売サイト。通常価格49,800円を「特別価格14,980円」と煽り、さらに「2週間お試し版」「購入時2,000円キャッシュバック」などの追加特典で購買意欲を刺激する作りです。
※Yandex(ロシアの大手検索・IT企業)の公式サービス(clck.ru・sba.yandex.ru)を経由させることで、メールフィルターに「信頼できる大手サービス発のリンク」と誤認させる手口です。前回・前々回ご紹介した同系列の魔改造B-CASカード勧誘メールでは、Yandexに似せた偽装ドメインやAAA公式サイトのダミーリンクが使われていましたが、今回はそれよりも一段巧妙に「本物」を間借りしている点が見どころです。詐欺師も外部サービスへの丸投げが板についてきたようで、ある意味感心してしまいます(笑)。
※リンク先に注意を促す警告画面です
※実際に表示された詐欺サイトの画面です
■ 注意点と対処法
- 魔改造B-CASカードは違法です:不正競争防止法・著作権法等に違反する可能性がある違法品です。購入・所持・使用した場合も法的責任を問われるリスクがあります。「2年ぶり」「最新版」といった言葉に懐かしさや興味を引かれても、手を出さないでください。
- 本物の大手サービスのリンクでも安心しない:今回のメールにはYandexという実在する大手検索サービスの公式短縮URLが使われていましたが、それは中継先に過ぎません。リンク元が有名企業のサービスであることは、最終的な着地先の安全性を保証するものではありません。
- 個人情報・カード情報を入力しない:リンク先に氏名・住所・電話番号・クレジットカード情報を入力しないでください。
- すでに入力・購入してしまった場合:クレジットカード会社に至急連絡してカードを止めてください。また消費者ホットライン(☎ 188)または警察相談専用電話(☎ #9110)へご相談ください。
本レポートの結論
「BLACKCAS-BLACKCAS-BLACKCAS最新」という件名で届いた今回のメールは、違法な魔改造B-CASカードの販売勧誘でした。Yandex(ロシアの大手検索・IT企業)の公式短縮URLサービスを巧妙に間借りすることでフィルターをすり抜けようとする新手口が確認されましたが、SPF認証はしっかりSoftfail判定となっており、誘導先サイトもウイルスバスターによってフィッシングとして検知されています。「2年ぶりに戻ってきた」という懐かしさにつられて、違法商品に手を出したり個人情報を入力したりしないようにご注意ください。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月29日/Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【注意喚起】経済産業省・資源エネルギー庁「電気・ガス補助金失効通知」は詐欺!SPF認証失敗の不正メールがVポイント詐欺と同じ誘導先を使用 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【続報】国勢調査2026「罰則適用前最終通知」詐欺が一新——イタリア発送・スマホ限定の偽サイトでクローキングを実装