【閲覧注意】三井住友カード「Vポイント有効期限が迫っています」は詐欺!誘導先が名乗るのは別サービス名という不一致を解析

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★☆☆ (3/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] 【三井住友】Vポイント有効期限が迫っています
送信者表示名:Vポイント
送信元アドレス:notify-mail@product-updates.nomruajapanh.com(三井住友カード公式ドメインとは無関係)
※メールヘッダー詳細は個人情報保護のため非掲載
受信日時:2026年7月1日 11:35頃
ご覧の通り、このメールは三井住友カードを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族や職場のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
お早めにポイントをご利用ください
平素は三井住友カードをご利用いただき、誠にありがとうございます。
お客様がお持ちの Vポイント の一部が、まもなく有効期限を迎えます。
有効期限を過ぎると、未使用分のポイントは自動的に失効いたします。
────────
■ 失効予定ポイント
失効予定ポイント数
3,899ポイント
失効予定日
2026年07月01日(水)23:59
────────
■ Vポイント(旧Tポイントを含む)の交換対象は時期により変更となる場合があります。
現在交換可能な主な商品・サービスは以下のとおりです。
Amazon eギフトカード-ギフト金額¥50,000
Suica 無記名 交通系ICカード-金額¥50,000
3Dマッサージシート プレミアム
Nintendo Switch ネオンブルー・ネオンレッド
Nintendo Switch グレー
AirPods Pro 3
AirPods 4
Apple Watch Series 11
Apple Watch SE 3
▼今すぐポイントを利用する
リンク先:hxxps://sbc-carid.vpass.smcbnokkijarvis[.]com/mem1/oshiharai1/(伏字・無効化済み) ──────── ※有効期限を過ぎたポイントは再発行できません。 ※交換完了までにお時間がかかる場合があります。 お得なVポイントを無駄にしないためにも、ぜひお早めにご利用ください。 ──────── 発行者 三井住友カード株式会社 〒135-0061 東京都江東区豊洲2丁目2番31号 SMBC豊洲ビル 本メールに関する一切の記事の無断転載および再配布を禁じます。 Copyright (C) Sumitomo Mitsui Card Co., Ltd.
※実際に届いた三井住友カード偽装メールの画面です。
交換商品にAirPodsやApple Watch、Nintendo Switchなど誰もが知る人気商品を並べる手口は、「これなら本当に交換したい」と思わせて冷静な判断力を奪う典型的な誘い文句です。ポイント数や失効日時が細かく具体的なのも、信ぴょう性を演出するための常套手段です。
■ 送信ルート及び偽装判定
送信元IPアドレス:34.21.236.213(Received-SPFヘッダーのclient-ip値より特定)
SPF認証:Pass(成功)
【偽装判定】:
SPF認証がPass(成功)でも、三井住友カード公式とは限りません。逆引きすると送信元は「bc.googleusercontent.com」——Google Cloud Platform(グーグルのクラウドサービス)のIPアドレスであることが分かりました。攻撃者は自分で取得したクラウド上のサーバーとドメインを使っており、そのドメイン自体のSPF設定が正しいだけで、三井住友カードの正規配信網とは一切関係ありません。送信ドメイン「nomruajapanh.com」も、文字の並び方が不自然な、いかにも作られた雰囲気のドメインです。
発信元ロケーション:シンガポール(クラウドサーバーの所在リージョンに基づく)
詳細:ip-sc.netで34.21.236.213を確認する
■ フィッシングサイト詳細解析
メール内の誘導先URL(伏せ字):hxxps://sbc-carid.vpass.smcbnokkijarvis[.]com/mem1/oshiharai1/(一部伏字)
このURLはウイルスバスター クラウドとGoogle Chrome(Googleセーフブラウジング)の両方から「フィッシング」「危険なサイト」として警告・ブロックされました。
別ルートで実際に開いたページのURL(伏せ字):hxxps://smbci-coard.hermosai[.]com/mem/update/(一部伏字)
興味深いことに、この2つの異なるドメインは同一のサーバーIPアドレスに割り当てられており、同じ攻撃者が複数のドメインを使い回して同じ偽サイトを運用していることが分かります。しかも実際に表示されたページは「三井住友銀行」のロゴを掲げながら、本文では「SMBC Mallsポイント」という、三井住友カードのVポイントとは別のサービス名を案内していました。使い回しの汎用フィッシングキットをローカライズし切れていない、典型的な整合性の崩れです。
サイトサーバーIP:34.97.161.255(Google Cloud Platform, 日本国内リージョンとみられる)
詳細:ip-sc.netで34.97.161.255を確認する
※フィッシングサイトとして即座にブロックされた画面です。
※Googleセーフブラウジングによる警告画面です。
※三井住友銀行のロゴを掲げながら「SMBC Malls」という別サービス名を案内する不自然なページです。
Vポイントを餌にしておきながら、案内する先が「SMBC Mallsポイント」というのは、さすがに景品の景表を間違えたお店のようなちぐはぐさです(笑)。もっとも、慌てて開いた被害者が細部の矛盾に気づけるとは限らないため、油断はできません。
■ 注意点と対処法
- 「今すぐポイントを利用する」リンクは絶対にクリックしない:リンク先は情報を盗むための偽サイトです。
- SPF認証のPass表示だけで信用しない:攻撃者自身が管理するクラウド上のドメインでも認証は通ります。
- ポイント確認は必ずVpassアプリまたは公式サイトのブックマークから:メール内のリンクからはアクセスしないでください。
- 公式の注意喚起の参照:三井住友カード公式:フィッシング詐欺にご注意
本レポートの結論
「Vポイント有効期限が迫っています」を騙るこのメールは、Google Cloud経由で送信され、SPF認証はPassでも三井住友カードとは無関係でした。何より、誘導先ページが「SMBC Mallsポイント」という別サービス名を案内するというブランドの不一致が、使い回しの汎用フィッシングキットである動かぬ証拠です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族や職場のLINEグループで『これ気をつけて!』と共有してあげてください。
※ロケーション等の情報は調査時点(2026年7月1日)のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net














