「テレビは見ないよってただですよ」も魔改造B-CAS詐欺!Yandex短縮URL×From/Reply-To二重偽装、新誘導先「card-bbb.xyz」を確認

| 緊急性レベル | ★★☆☆☆ (2/5) |
| 偽装工作精度 | ★★★☆☆ (3/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]テレビは見ないよって「ただですよ」
From表示:“ljeekm@gmail.com” <famwylyrwnwwyh@outlook.com>
Reply-To表示:“kgfwmk@outlook.com” <poonwyzvzj@gmail.com>
送信元IP(Received-SPF client-ip):103.189.63.149(HELO: ipv4-63-189-103.blip.net.id)
SPF認証:Fail(spf fail – not authorized)
受信日時:2026年7月8日
※メールヘッダー詳細(生ログ)は個人情報保護のため非掲載
ご覧の通り、このメールは違法なB-CASカード販売を勧誘する真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた勧誘メールを技術検証のために忠実に再現したものです。
魔改造B-CAS BS/CS無料視聴 6/17更新をお探しの方へ 魔改造B-CAS BS/CS無料視聴 6/17更新 販売中 送料無料+特典付き 今回のご案内内容 ・魔改造B-CAS BS/CS無料視聴 6/17更新販売中 ・送料無料 ・airproを無料プレゼント ・3年間保証付き 価格だけでなく、特典や保証内容までまとめて確認できます。 条件を見てから判断したい方は、下記ページをご覧ください。 [今すぐ販売ページを見る] 関連情報はこちら 男性機能のお悩み 夜の元気や自信が気になる方へ。 ;background:#16a34a;color:#fff;text-decoration:none;padding:10px 16px;font-size:14px;font-weight:bold;">詳しく見る 髪・若々しい印象対策 見た目の印象が気になる方へ。 [詳しく見る]

実際に届いたメールの表示画面
メール本文の「男性機能のお悩み」欄をよく見ると、本来ボタンとして表示されるはずのCSS(見た目を指定するコード)の断片;background:#16a34a;color:#fff;...がそのまま文字として画面に表示されてしまっています。ボタンを作るためのタグが壊れてしまい、内部のコードが丸見えになった、詐欺師側の単純な作成ミスです。中身は雑でも、狙いは本気なので油断はできません。
■ 送信ルート及び偽装判定
Received-SPF:
Received-SPF: Fail (SPF fail - not authorized) client-ip=103.189.63.149; helo=ipv4-63-189-103.blip.net.id
【偽装判定】:
今回はSPF認証が明確に「Fail(失敗)」と判定されており、送信元が正規のメールサーバーでないことが技術的に証明されています。さらにFromの表示名は「ljeekm@gmail.com」なのに実際のアドレスは別のoutlook.comドメイン、返信先(Reply-To)も表示名とアドレスがねじれているという二重の偽装が見られました。
発信元ロケーション解析:
送信元IP 103.189.63.149 → 国レベル判定:インドネシア(HELO名の「.id」ドメインとも一致)
💡ここで!短縮URLサービスの悪用とは
短縮URL(長いWebアドレスを短い文字列に変換して表示するサービス)は、本来SNSでの共有やチラシ印刷など、正当な目的で使われる便利な仕組みです。今回のメールでは、ロシアの大手検索エンジン「Yandex(ヤンデックス)」が提供する正規の短縮URLサービス「clck.ru」が悪用されていました。誘導先のURLが最初から詐欺サイトそのものだと、メールフィルターやセキュリティソフトに即座に検知されてしまいますが、いったん有名企業の正規サービスを経由させることで、フィルターの目をすり抜けやすくする狙いがあります。有名なサービスのドメインだからといって、リンク先まで安全とは限らない点に注意が必要です。
■ フィッシングサイト詳細解析(多段構成)
第1段階(短縮URL):hxxps://clck.ru/3URxcR (Yandex短縮URL)
ウイルスバスター クラウドが既に「フィッシング」としてブロック済み。
第2段階(最終誘導先・伏せ字):hxxps://card-bbb[.]xyz/ (一部伏字)
サイトサーバーIP:172.67.215.202(Cloudflareのanycast網のため、地理的な発信地の特定はできません)
【サイトの状態】:ウイルスバスター クラウドが「詐欺サイト」として明確にブロック。
【入力項目】:氏名・ふりがな・メールアドレス・電話番号・郵便番号・住所・建物名まで入力させる本格的な購入フォームで、価格は7,980円(税込)。「無料視聴」を謳いながら実際は高額な商品購入と個人情報提供を求める、典型的な釣り広告の構図です。

第1段階の短縮URLがフィッシングとしてブロックされた画面

最終誘導先が詐欺サイトとしてブロックされた画面

氏名・住所・電話番号等を入力させる偽の購入フォーム画面
■ 過去記事との関連
「魔改造B-CAS」を騙る違法勧誘メールは、当ラボが2026年6月以降に複数回解析しています。「airproを無料プレゼント」「3年間保証付き」「6/17新KW対応」といった文言は毎回共通していますが、誘導先ドメインは記事ごとに使い捨てられており、今回の「card-bbb.xyz」も新規に確認されたものです。
・【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体(2026年6月)
・「毒電波なんてくそくらえ、いつでもたた」魔改造B-CAS販売勧誘メールの手口(2026年6月)
・魔改造B-CASカード詐欺、わずか4日で「6/17新KW」が早くも「最新版」に更新(2026年6月)
■ 注意点と対処法
- リンクを絶対にクリックしない:短縮URL経由でも、その先が違法な詐欺サイトであることに変わりありません。
- 購入しない:魔改造B-CASカードの製造・販売・使用は不正競争防止法・著作権法等に違反する可能性がある違法製品です。購入・使用した側も法的リスクを負う可能性があります。
- 個人情報を入力しない:氏名・住所・電話番号を入力すると、詐取された情報がさらなる詐欺に悪用される恐れがあります。
- 同様のメールへの注意:「毒電波」「新KW対応」「B-CASがたたき売り」などのキーワードが含まれるメールはすべて同種の違法勧誘です。
本レポートの結論
「テレビは見ないよってただですよ」という軽い口調のメールも、中身は違法なB-CASカード販売勧誘という同一犯の手口でした。Yandexの正規短縮URLサービスを悪用し、送信者情報も二重にねじ曲げるなど、フィルター回避への工夫は続いています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















