【警告】魔改造B-CASカード詐欺、わずか4日で「6/17新KW」が早くも「最新版」に更新——card-yyy.xyz の正体を暴く
| 緊急性レベル | ★★★☆☆ (3/5) 違法サービス勧誘+個人情報詐取リスクあり |
| 偽装工作精度 | ★★☆☆☆ (2/5) ドコモなりすまし・表示名とアドレス不一致 |
■ メールヘッダー解析(送信者情報)
件名:[spam] B-CARDがたたき売り、最新版
表示上の送信者:“wsyptz@docomo.ne.jp” <exrxuqt@docomo.ne.jp>(表示名とアドレスが不一致=なりすまし典型)
Reply-To:smjjxwxw@docomo.ne.jp(実在のドコモドメインとは無関係のなりすまし)
受信日時:2026年6月21日 08:28:32 +0900
SPF:Softfail(送信元が正規サーバーと認定されなかった)
ご覧の通り、このメールはドコモを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
NOTICE 魔改造B-CAS BS/CS無料視聴 6/17更新販売ページのご案内 魔改造B-CAS BS/CS無料視聴 6/17更新の販売ページを確認できる状態になっています。 現在、以下の内容でご案内中です。 商品:魔改造B-CAS BS/CS無料視聴 6/17更新 送料:無料 特典:airproを無料プレゼント 保証:3年間保証付き 詳細条件は、販売ページ内でご確認いただけます。 購入前の確認用としてもご利用ください。 【販売ページを確認する】 関連情報 男性機能のお悩み 夜の元気や自信が気になる方へ。 詳細を見る 若々しい印象対策 髪や見た目の印象が気になる方へ。 詳細を見る
件名は「B-CARDがたたき売り」なのに、本文では「B-CAS」表記に戻っているあたり、件名だけ変えて中身は流用していることが伺えます。そして相変わらず末尾の「男性機能のお悩み」「若々しい印象対策」というワードサラダ(無関係な健康系コンテンツを混入してスパムフィルターを誤魔化す手口)も健在です。B-CASカードと男性機能、4日経っても関連性は見つかりませんでした(笑)。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
※メールヘッダー詳細は個人情報保護のため非掲載
X-FEAS-Client-IP:123.136.31.130(HELO名:host-161-24-136-123.pacenet.net)
【偽装判定】:
正規のドコモからのメールは公式の配信基盤から送信されます。本メールはdocomo.ne.jpを名乗りながら、実際の送信元はバングラデシュの法人向け回線(Royal Green Limited、AS38493)であり、ドコモの公式サーバーとは一切関係がありません。
発信元ロケーション解析:
バングラデシュ・ダッカ管区ダッカ市(プロバイダー:Royal Green Limited、利用形態:corporate)
IPレピュテーション:サイバーアタック攻撃元としてブラックリスト登録済み(脅威レベル:高、攻撃対象:Web・メール)
詳細:【ip-sc.netで確認する】
Googleマップ:【位置情報を確認する】
バングラデシュの法人契約回線が、なぜドコモを名乗る詐欺メールの中継地点になっているのか——これは送信元の自社サーバーではなく、何らかの形で乗っ取られた、あるいは悪用された法人回線が踏み台にされている可能性が高いパターンです。利用形態が「corporate」となっている点も、本来業務用に契約された回線が無断で迷惑メール送信に使われていることを示唆しています。
■ フィッシングサイト詳細解析——前回と同一の中継構造
経由リダイレクト:clck.ru(ロシア・Yandex URL短縮)→ sba.yandex.net → aaxxcc.xyz → card-yyy.xyz
誘導先URL(伏せ字):hxxps://card-yyy[.]xyz/ (一部伏字)
中間ドメイン:aaxxcc[.]xyz
ドメイン登録情報:
・card-yyy.xyz:2026年3月8日登録(NameCheap, Inc.)、調査時点で104日経過
・aaxxcc.xyz:2026年4月15日登録(NameCheap, Inc.)、調査時点で66日経過
両ドメインともCloudflareのネームサーバー(RYAN.NS.CLOUDFLARE.COM/VERONICA.NS.CLOUDFLARE.COM)配下。
サイトサーバーIP:
・card-yyy.xyz:104.21.57.67(Cloudflare CDN)
・aaxxcc.xyz:104.21.11.44(Cloudflare CDN)
ロケーション:米国・カリフォルニア州サンノゼ(Cloudflare, Inc.)
詳細:【ip-sc.netで確認する(card-yyy.xyz側)】 / 【ip-sc.netで確認する(aaxxcc.xyz側)】
マップ:【Googleマップで表示】
【サイトの状態】:ウイルスバスター等のセキュリティソフトでは既にブロック対象。「このWebサイトは、安全ではない可能性があります」と警告が表示されます。
注目すべきは、最終誘導先のcard-yyy.xyzが前回(6/17)調査時と全く同じドメイン・同じIPだったことです。registered 3/8というドメイン登録日から逆算すると、このサイトは少なくとも100日以上にわたって使い回されている「本拠地」であり、その手前の中継ドメイン(aaxxcc.xyzなど)と送信手口(送信元の偽装パターン・件名)だけを使い捨てにして、本体の販売サイトは固定運用している構造が見えてきます。攻撃者にとっても、販売サイトをいちいち作り直すコストは避けたいということでしょう。
■ 注意点と対処法
- リンクを絶対にクリックしない:Yandex経由の複数段階リダイレクトで違法販売サイトに誘導されます。
- 個人情報・クレジットカード情報を入力しない:販売サイトには氏名・住所・電話番号・メールの入力フォームがあります。
- 購入しない:魔改造B-CASカードの製造・販売・使用は不正競争防止法・著作権法に違反する可能性があり、購入・使用した側も法的リスクを負います。
- 送信元アドレスを確認する:表示名が「ドコモ」風でも、アドレスが docomo.co.jp 等の正規ドメイン以外であれば偽物です。
- 同様のメールへの注意:「毒電波」「新KW対応」「B-CARDがたたき売り」などのキーワードが含まれるメールはすべて同種の違法勧誘です。
本レポートの結論
ドコモを騙る「B-CARDがたたき売り」メールの正体は、6/17に取り上げた魔改造B-CASカード違法販売勧誘の続報でした。送信元の偽装手口(バングラデシュの法人回線を踏み台にしたドコモなりすまし)は変化していますが、誘導先のcard-yyy.xyzは100日以上前から使い回されている同一サイトです。手口の「外側」は次々と変わっても、「本体」は変わらない——この構造を知っておくことが、次に届く別パターンのメールを見抜く鍵になります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月21日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖