【実録】楽天カードを騙る偽「3Dセキュア認証 有効期限切れ」メールの正体——件名と本文の食い違いが暴く使い回しテンプレートの杜撰な手口

HL-META: date=2026-07-08 | brand=楽天カード(なりすまし) | sender_geo=韓国ソウル特別市(Microsoft Azure) | site_geo=アメリカ ニューヨーク州バッファロー(HostPapa/RackNerd) | spf=pass(自己所有ドメインのため) | dkim=pass(自己所有ドメインのため) | cloaking=no

【実録】楽天カードを騙る偽「3Dセキュア認証 有効期限切れ」メールの正体:件名と本文の食い違いが暴く使い回しテンプレートの杜撰な手口

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「【楽天カード】3Dセキュア認証 有効期限切れのお知らせ」という件名の詐欺メール(フィッシングメール:個人情報を騙し取ることを目的とした偽メール)が届きました。ところが本文を開くと見出しは「3Dセキュア認証 再確認のお願い」のまま——件名だけ差し替えて本文テンプレートの見出しを直し忘れるという、攻撃者側のうっかりミスが露呈しています。しかも本文の文章構成は、当ラボが以前解析したMyJCBを騙る偽「3Dセキュア再認証」詐欺メールと酷似しており、同一の詐欺テンプレート(ひな形)を使い回して標的ブランドだけ差し替えている実態が浮かび上がりました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。本文中のリンクは絶対にクリックしないでください。

緊急性レベル ★★★★☆ (4/5) ※受信当日を期限に設定する即日プレッシャー型
偽装工作精度 ★★☆☆☆ (2/5) ※件名と本文見出しが不一致という初歩的なミス

■ メールヘッダー解析(送信者情報)

件名:[spam]【楽天カード】3Dセキュア認証 有効期限切れのお知らせ

送信者名:楽天カード

送信元アドレス:agxoqv@agxoqv.tzjyjypx.com

ドメインIP解析:20.214.251.50(agxoqv.tzjyjypx.com)

受信日時:2026年07月07日(火)18時34分頃

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、このメールは公式楽天カードを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

▲ 実際に届いた詐欺メールの画面です。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


【重要】3Dセキュア認証 再確認のお願い

平素より楽天カード (Rakuten Card)をご利用いただき、誠にありがとうございます。

お客様のカードにご登録いただいております「3Dセキュア認証(本人認証サービス)」の有効期限が切れているか、または再登録が必要な状態となっております。
セキュリティ強化のため、再認証手続きを弊社システムにてご依頼しております。

※再認証が完了しない場合、一部のインターネット決済(オンラインショッピング等)がご利用いただけなくなる可能性がございます。

要対応期限:2026-07-07(当日中)
対応内容:3Dセキュア認証(本人認証サービス)の再登録・認証手続き

認証手続きは下記の専用ボタンより認証画面へお進みください。
(※セキュリティ保護のため、必ずご自身でブラウザを開き直接アクセスするか、楽天公式アプリからお手続きください)

【3Dセキュア認証ページ】

⚠ 本メールに心当たりがない場合や、不審な点がある場合は直ちに楽天カードコールセンターまでご連絡ください。
※ 本メールは送信専用アドレスより配信されています。返信いただいてもご回答できませんのでご了承ください。

🔒 セキュリティ対策の観点から、不審なメールのリンクを直接クリックせず、楽天公式サイトのブックマークまたは楽天公式アプリからアクセスすることを推奨いたします。

楽天カード株式会社
〒102-0083 東京都千代田区麹町4-1-1
カスタマーサポート:0570-72-6796(有料)
* 紛失・盗難のご連絡は、24時間年中無休で承っております。

2026 楽天カード株式会社 / Rakuten Card

本文の見出しをよく見ると、件名にある「有効期限切れ」ではなく「再確認のお願い」のまま。おそらく攻撃者は件名だけ差し替えて満足してしまい、本文の見出しを直すのを忘れたのでしょう。これだけ急かす文面を送っておきながら、肝心の校正はずいぶん雑なようです。

■ 送信ルート及び偽装判定

Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass (sender SPF authorized) client-ip=20.214.251.51; helo=agxoqv.tzjyjypx.com; envelope-from=agxoqv.tzjyjypx.com

【偽装判定】:
正規の楽天カードからのメールは「rakuten-card.co.jp」等の公式ドメインから送信されます。本メールの送信ドメイン「agxoqv.tzjyjypx.com」は楽天とは一切関係のない、攻撃者が独自に取得したと見られるドメインです。しかもメールアドレスのローカル部(@より前)とドメイン名の一部が同じ「agxoqv」というランダム文字列になっており、使い捨てドメインを機械的に量産している様子がうかがえます。なお、SPF認証(送信元サーバーが登録済みかどうかを確認する仕組み)とDKIM署名(メールが改ざんされていないことを証明する電子署名の仕組み)はいずれもPassしていますが、これは攻撃者が自分で取得したドメインに自分でSPF/DKIMを設定しているだけなので、認証をパスしているからといって安全とは限りません。

発信元ロケーション解析:
韓国 ソウル特別市 Yongsan-gu(Microsoft Azureのホスティング基盤を悪用)
緯度・経度:37.5503, 126.997
Googleマップ:【位置情報を確認する】
※クラウド事業者のIPアドレスのため、実際の攻撃者の所在地とは限りません。

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://hbzhhq.com/xtbbUaKA/ (一部伏字)

リンクドメイン:hbzhhq.com

サイトサーバーIP:192.227.190.150(HostPapa/RackNerd LLC)

ロケーション:アメリカ ニューヨーク州バッファロー (42.8864, -78.8784)
マップ:【Googleマップで表示】

【サイトの状態】:ウイルスバスター クラウドおよびChromeセーフブラウジングの両方でフィッシングサイトとしてブロック済みです。アクセスすると偽の「安全な接続を確認しています」という待機画面を経由し、最終的に楽天e-NAVIを精巧に模した偽ログイン画面が表示されます。

▲ アクセス直後に表示される偽の「安全な接続を確認しています」という待機画面。相手を油断させるための演出です。

▲ ウイルスバスター クラウドがフィッシングサイトとして検知・ブロックした際の警告画面。

▲ Chromeのセーフブラウジング機能による「危険なサイト」警告画面。

▲ 楽天e-NAVIを模した偽のログイン画面。デザインは本物とほぼ同じですが、URLはhbzhhq.comという楽天と無関係のドメインです。

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

■ 注意点と対処法

  1. URLをクリックしない:リンク先は情報を盗むための精巧な偽サイトです。「3Dセキュア認証ページ」ボタンは絶対に押さないでください。
  2. 公式サイトを確認:3Dセキュアの設定確認は、必ず楽天カード公式アプリまたはブックマークからアクセスした楽天e-NAVIで行ってください。
  3. 送信元アドレスを確認:楽天カードからのメールは「@mail.rakuten-card.co.jp」等の公式ドメインからのみ配信されます。それ以外のドメインからのメールは偽物です。
  4. 公式注意喚起の参照:楽天カード公式 不審メールにご注意ください

本レポートの結論

今回のメールは、件名だけ「有効期限切れ」に差し替えたものの本文見出しは「再確認のお願い」のまま残るという、テンプレートを使い回した粗雑な手口でした。文面の構成は6月に確認したMyJCBを騙る詐欺メールと酷似しており、同じひな形がブランドを変えて繰り返し悪用されている実態が見えてきます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る