【閲覧注意】dポイント「休眠ポイント反映」は詐欺！GCP経由・複数の防御層をすり抜けようとする巧妙な誘導手口を解析

HL-META: date=2026-06-28 | brand=dポイントクラブ（NTTドコモ） | sender_geo=アメリカ・ネバダ州ラスベガス（Google Cloud） | site_geo=カナダ・オンタリオ州（Cloudflare） | spf=pass | dkim=不明 | cloaking=yes

■ メールヘッダー解析（送信者情報）

件名：[spam] 【残高反映】使えるdポイントがまだ眠っています

送信者名：“dポイントクラブ キャンペーン窓口”

送信元アドレス：uokvae@（ランダム文字列）.mail02.cfxxky.com

真の送信元IP：35.219.187.119（アメリカ・ネバダ州ラスベガス／Google Cloud Platform）

受信日時：2026年6月28日（日）18:11頃（JST）

SPF認証：Pass（authorized） ※要注意

ご覧の通り、このメールはdポイントクラブを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

---

d POINT
NTT DOCOMO ― 使えるdポイントがまだ眠っています

【眠っているポイントを残高に反映する】

所要時間約10秒 ― 反映後すぐにお使いいただけます

○○○○ 様

平素よりdポイントをご利用いただき，誠にありがとうございます。

dポイント運用管理課でございます。お客様のdポイントアカウントを診断したところ，まだ残高に反映されていない「休眠状態」のdポイントが確認されました。これらのポイントはお客様がすでに獲得された大切な資産ですが，このまま放置されますと48時間以内に有効期限を迎え，自動的に失効いたします。

ご利用可能残高
通常どおりご利用いただけます。ローソンやマクドナルド等で1ポイント＝1円としてお支払いに。
休眠中・未反映ポイント（要対応）
お客様のアカウントに存在しながら残高に反映されていないポイントです。48時間以内に有効化が必要です。

dポイントは1ポイント＝1円。現金と同じ価値を持つポイントを眠らせたまま失効させてしまうのは，あまりにももったいないことです。以下の簡単な手順で，今すぐ有効化してください。

1コンビニ・飲食店で使う
ローソン，ファミリーマート，マクドナルドなど全国の加盟店で，1ポイント＝1円としてお支払いにご利用いただけます。
2オンラインショッピングに充当
Amazonでのお買い物にdポイントを充当。ネット通販がよりお得になります。
3d払い残高にチャージ
d払いの残高としてチャージすれば，さらに多くのお店でスマホ決済としてご利用いただけます。
4ドコモの携帯料金を割引
毎月のドコモ携帯料金のお支払いに充当。家計の節約に直接つながります。

未反映ポイントには48時間の有効期限があります

期限経過後は自動失効し，いかなる理由でも復元はできません。お早めのお手続きを強くお勧めいたします。

有効化のお手続きはわずか10秒で完了します。上記のボタンより専用ページへアクセスいただき，dアカウントでログインのうえ画面の案内に従ってお進みください。

休眠ポイントに関するご確認事項
・未反映ポイントの詳細およびポイント数は専用ページにてご確認いただけます。
・有効化手続き完了後，ポイントは即時にご利用可能残高へ反映されます。
・有効期限を経過したポイントは失効し，復元は一切できません。
・本メールはdポイント運用管理課による自動配信です。

株式会社NTTドコモ
dポイント運用管理課
© NTT DOCOMO, INC. All Rights Reserved.

「dポイント運用管理課」という部署は実在しません。具体的な部署名を名乗ることで信頼性を演出していますが、こうした名称の組み立てそのものが攻撃者の創作です。

■ 送信ルート及び偽装判定

送信元ドメインの正体：
送信元アドレスのドメイン部分「cfxxky.com」は、dポイント・NTTドコモとは一切関係のない、攻撃者が用意したとみられるドメインです。ローカルパート（@より前）にもランダムな英数字が使われており、大量配信用に自動生成されたアドレスである可能性が高いです。

SPF Pass の意味：
本メールはSPF認証（送信元サーバーが正規に登録されているかを確認する仕組み）の結果が「Pass（合格）」となっています。これは攻撃者がこのドメインを自分で取得・設定し、正規の送信インフラとして構築したためです。「認証に合格しているから本物」とは限りません。

【偽装判定】：
正規のdポイントクラブからのメールは「dpoint.jp」「nttdocomo.co.jp」など公式ドメインから送信されます。「cfxxky.com」はこれらとは全く異なります。

発信元ロケーション解析：
真の送信元IPアドレス「35.219.187.119」を調査した結果、Google Cloud Platform（GCP）の基盤上、アメリカ・ネバダ州ラスベガス付近から送信されたことが判明しました。これはGoogleのデータセンターの代表的な所在地であり、実際の攻撃者の物理的な居場所を示すものではありません。
詳細：【ip-sc.netで確認する】
Googleマップ：【位置情報を確認する】

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://www[.]spwzhg[.]com/43omjphr/?edeeicjx

リンクドメイン：spwzhg.com（dポイントとは無関係の、意味のない文字列ドメイン）

サイトサーバーIP：104.21.24.243 ／ 172.67.221.55（いずれもCloudflare）

ロケーション（Cloudflare代表地点）：カナダ・オンタリオ州トロント
詳細：【104.21.24.243をip-sc.netで確認する】 ／ 【172.67.221.55をip-sc.netで確認する】
Googleマップ：【Googleマップで表示】

【サイトの状態】：メール内のボタンをクリックすると、まず「別のサイトにジャンプしようとしています」という中間確認ページが表示されます。これは利用者の油断を誘う、もしくはメールセキュリティの自動スキャンを回避するためのクッションページとみられます。その先のフィッシングサイト本体は、セキュリティソフト「ウイルスバスター クラウド」によって既に「フィッシング」としてブロックされています。さらに警告を無視してアクセスを試みても、「アクセス拒否（ファイアウォールで保護されています）」または「403 Forbidden」が表示され、こちらの調査環境からは接続できない状態でした。これはアクセス元の環境を判別して内容を切り替える、いわゆるクローキングが行われている可能性があります。

■ 注意点と対処法

1. セキュリティソフトの警告は必ず守る：「安全ではない可能性があります」という警告が出たら、絶対に「ブロックしたWebサイトにアクセス」をクリックしないでください。
2. 「48時間以内に失効」という焦らせる表現に注意：短い期限を設定して冷静な判断をさせない手口は、フィッシング詐欺の典型的なパターンです。
3. 送信元アドレスの「@以降」を確認する：正規のdポイントクラブからのメールは公式ドメインから届きます。見慣れないドメインは即削除してください。
4. ポイントの確認は公式アプリかブックマークから：メール内のリンクではなく、必ず「dポイントクラブ」公式アプリかブックマーク済みの公式サイトからご確認ください。
5. 公式注意喚起の参照：NTTドコモ フィッシング詐欺への対策
6. 万が一情報を入力してしまった場合：速やかにdアカウントのパスワードを変更し、クレジットカードの利用明細に不審な履歴がないか確認してください。

本レポートの結論

「休眠状態のdポイントが48時間以内に失効する」と通知する本メールは、実在しない「dポイント運用管理課」を名乗るdポイントクラブの完全な偽物です。送信元にはGoogle Cloud Platformの基盤が悪用され、誘導先のフィッシングサイトはCloudflareの裏に隠されていました。サイト自体はセキュリティソフトに既にブロックされていますが、こうした網をすり抜けて新たな手口で届く可能性は今後も続きます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。