【実録】魔改造B-CAS違法販売、3日目も継続中——「BLACKCAS降臨」5通を観測、新旧2ドメイン並行運用の手口を公開
🟡 緊急度:中 違法商品の購入勧誘です。リンクは開かずこの記事をご確認ください
| 緊急性レベル | ★★★☆☆ (3/5) 違法商品の購入勧誘+個人情報詐取リスク |
| 偽装工作精度 | ★★☆☆☆ (2/5) SPF Fail/Softfail・送信元は国際分散 |
■ メールヘッダー解析(5通の観測データ)
2026年6月19日朝までに、同一業者と思われる以下の5通を観測しました。「件名を変えれば気づかれない」と思っているのかもしれませんが、こちらは全部しっかり見ています。
| # | 件名 | 送信元IP(推定地域) | SPF | 誘導先 |
| ① | BLACKCAS降臨、あなたのもとへ | 192.42.116.65(Tor出口ノード) | Softfail | blackbcas.xyz |
| ② | いつまでお金払ってるんですか、ただですよ | 195.181.173.206(ロシア) | Fail | card-yyy.xyz |
| ③ | 最新更新済みBLACKCAS | 147.93.141.97(海外ホスティング) | Softfail | blackbcas.xyz |
| ④ | 簡単に明日からタダになる、魔法のカード(1通目) | 92.46.70.174(カザフスタン) | Softfail | card-yyy.xyz |
| ⑤ | 簡単に明日からタダになる、魔法のカード(2通目) | 195.190.121.154(ロシア) | Softfail | card-yyy.xyz |
※ヘッダーには受信者の情報が含まれるため、本来なら掲載してご紹介するのが本筋ですが、個人情報保護のため伏せさせていただきます。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
「2年ぶりに無料視聴が復活」はウソです。これは違法品の購入を勧誘する詐欺メールです。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた勧誘メールを技術検証のために忠実に再現したものです(代表例として2通分を掲載)。
【①BLACKCAS降臨、あなたのもとへ】
COMING BACK 2 YEARS LATER BS/CS無料(BLACK-CAS)6/17最新版 2年ぶりに 販売再開 長らく販売を停止していたBS/CS無料(BLACK-CAS)6/17最新版について、今回、販売を再開いたします。 現在の販売条件、価格、詳細内容は、専用ページよりご確認いただけます。 【本編を見る】 ※詳細はリンク先ページでご確認ください。
【②いつまでお金払ってるんですか、ただですよ】
価格で選ぶなら、まずこちらをご確認ください 魔改造B-CAS BS/CS無料視聴 6/17更新販売中 送料無料+特典付き 現在、魔改造B-CAS BS/CS無料視聴 6/17更新をお探しの方に向けて、 価格・特典・保証内容を見直した販売ページをご用意しました。 今なら、購入者全員に airpro を無料プレゼント。 さらに、安心してご利用いただける 3年間保証付き です。 【販売ページを確認する】 男性機能のお悩みも確認できます 見た目の印象が気になる男性へ
毎回お決まりのように「男性機能のお悩み」「見た目の印象」という、B-CASとはまったく関係のない広告が紛れ込んでいます。何の関連性も感じられない広告がセットになっているメールは、それ自体がスパムである強いサインです。「ついでに副業もしているのかな」と思ってしまいますね(笑)。
■ 送信ルート及び偽装判定——「使い分け」の正体
共通するリダイレクト手口:
5通すべてが clck.ru(ロシアの検索エンジン大手Yandexのリンク短縮サービス)を経由しています。正規サービスを中継することでスパムフィルターを回避する、6/17・6/18の記事と完全に同じ手口です。
【偽装判定】:
正規の放送事業者やB-CAS社からこのようなメールが送られることは絶対にありません。「2年ぶりに販売再開」「新KW対応」という文言自体が、違法な改造カード業者の宣伝文句です。
送信元の国際分散:
今回は送信元IPがTor出口ノード(米国)・ロシア・カザフスタンと、見事に国際分散していました。「世界中から届いているのか」と驚かれる方もいるかもしれませんが、これは攻撃者がブラックリスト登録を逃れるために、手当たり次第に踏み台サーバーを使い回している証拠です。発信地が見えても、それが「攻撃者の住所」ではないことに注意してください。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
■ フィッシングサイト詳細解析——2つの誘導先に分かれていた
5通の最終的な誘導先を整理すると、きれいに2つのグループに分かれました。「あれ、業者は1つだけじゃないの?」と思った方、その疑問は正しいです。詳しく見ていきましょう。
【グループA:新ドメイン班(①③)】
誘導先URL(伏せ字):hxxps://blackbcas[.]xyz/
サイトサーバーIP:104.21.14.159(Cloudflare経由のため実サーバーIP非公開)
【グループB:旧ドメイン居座り班(②④⑤)】
誘導先URL(伏せ字):hxxps://card-yyy[.]xyz/
サイトサーバーIP:104.21.57.67(Cloudflare経由のため実サーバーIP非公開)
このドメインは6/17の毒電波記事、6/18の続報記事で解析したものと完全に同一です。3日目になっても同じインフラを使い続けているということは、まだブラックリスト登録されておらず「コスパが良い」と判断しているのかもしれません。
【販売内容】:いずれも魔改造B-CASカード ¥7,980(税込)、「2026年6月17日新KW変更済み」、送料無料、特典「airpro無料プレゼント」、3年間保証。氏名・ふりがな・メールアドレス・電話番号・郵便番号・住所の入力フォームが設置されており、個人情報の詐取リスクがあります。
【サイトの状態】:6/17・6/18の調査時点で、ウイルスバスター クラウドが両ドメインともに「違法と思われる行為」として既にブロック対象としています。
※解析データに基づき、攻撃者は複数のドメインを使い捨て・並行運用していることが確認されています。
■ 注意点と対処法
3日間も似たようなメールが続くと、「もう慣れたから大丈夫」と思ってしまう方もいるかもしれません。でも、その「慣れ」こそが一番危険です。一緒に確認していきましょう。
- 魔改造B-CASカードは違法です:不正競争防止法・著作権法に違反する可能性がある違法品です。購入・所持・使用した場合も法的責任を問われるリスクがあります。「無料で見られる」という言葉の裏には、必ず代償があります。
- リンクを絶対にクリックしない:件名や見た目を変えていても、誘導先の作りは毎回同じです。一度見分け方が分かれば、次からは怖くありません。
- 個人情報・クレジットカード情報を入力しない:誘導先サイトには氏名・住所・電話番号の入力フォームがあります。入力した時点で情報は攻撃者の手に渡ります。
- SPF Fail/Softfailのメールは即削除:5通とも送信元の認証に失敗・疑義あり(SPF Fail/Softfail)と判定されています。心当たりのない「無料」「再開」メールは疑ってかかりましょう。
- 既に購入・入力してしまった場合:すぐにクレジットカード会社に連絡してカードを止め、消費者ホットライン(☎ 188)または警察相談専用電話(☎ #9110)へご相談ください。
■ 関連記事
本レポートの結論
3日連続で観測された魔改造B-CASカードの違法販売勧誘は、件名・送信元を変えながらも、Yandex経由のリダイレクトという手口は一貫していました。今回5通をまとめて見たことで、「新ドメインに切り替えたグループ」と「旧ドメインに居座り続けるグループ」という2系統の並行運用が浮かび上がってきたのは大きな発見です。送信元はTor・ロシア・カザフスタンと国際分散していますが、最終的な狙いはどちらも同じ——違法品の代金と個人情報を同時に騙し取ることです。「無料」という言葉に心が動いた瞬間が一番危ないタイミングです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてくださいね。
調査日:2026年6月19日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
