【必読】件名「期間限定dポイント失効防止のご案内」の詐欺メールを徹底分析!クローキングの手口とは
| 【閲覧注意】実録!dポイント失効の恐怖を煽る偽メールを徹底解剖!罠に隠されたクローキングの真実
みなさん、こんにちは!
ITのことならなんでも聞いてね、のお兄さんです!
今日もみんなの大切なデータや資産を守るために、怪しいメールの裏側をばっちり解析していくよ! 最近、本当に巧妙な詐欺メールが増えていて、お兄さんも心が痛いです。 身近な人が騙されちゃう前に、しっかり知識を身につけて対策していこうね! 今回ご紹介するのは「dポイント」を騙る(かたる:偽ること)悪質なメールですが、これまでに解析した関連記事も、ページ末尾に記載しているデータベースアーカイブからまとめてご覧いただけます。 | | ■ 最近のスパム動向と「開いたとき」の危険性
今回のメールは「期間限定ポイントがなくなっちゃうよ!」と、みんなの焦る気持ち(緊急性)を巧みに突いてくるタイプです。
ここで一つ、お兄さんから大事な豆知識! 実は、こういうメールを「開いただけ」では基本的に実質的な金銭被害はありません。 でもね、画像付きのメールだったり、「開通通知(かいつうつうち:メールが読まれたことを攻撃者に自動で知らせる仕組み)」が仕込まれていたりすると、あなたのアドレスが「現在使われている生きたアドレスだよ!」という通知(アドレス生体通知)になってしまう可能性があるんだ。 そうなると、今後さらに多くの詐欺メール送信リスト(カモリスト)に入れられてしまう危険性があるから、油断は禁物だよ! | ■ 基本情報チェック | 危険度評価 | ★★★★☆ (星4つ:非常に巧妙) | | 件名 (Subject) |
【d POINT】期間限定dポイント失効防止のご案内
※もしメールサーバー側で「[spam]」という見出しが自動で付いている場合は、サーバーのセキュリティ(迷惑メール検知システム)が「これは100%詐欺だよ!」と事前に教えてくれている証拠だから、絶対に信じちゃダメだよ!
| | 送信者名 | d ポイントクラブ事 務 局 | | 送信元メールアドレス | LCBDEW@trotvrlu.contact.mlxsnx.com | | 受信日時 | 2026年5月26日 8:33 |
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
| ■ 【スクショエリア】受信メール本文の見た目 | 受信した実際のメール本文スクリーンショット 
|
【お兄さんの見た目の感想】
スクショを見てみると、上部に鮮やかな赤色の大きなバナーで「d POINT 失効防止のお知らせ」と堂々と書かれていて、フォントの配置や下部の「ポイント失効を防ぐ」という赤い四角いボタン(リンク)のデザインまで、本物のドコモのサイトにそっくりに作られています。
さらに、最下部には「本リンクはお客様専用の安全なURLです」「d POINTのご利用可能店舗は公式サイト(dpoint.docomo.ne.jp)をご確認ください」なんて書いてあって、いかにも公式っぽく見せかけているのが本当にいやらしいよね。 | | ■ メール本文の忠実な再現 ※以下の内容は、みんなが被害に遭わないように、届いた偽メールの内容をお兄さんができる限り忠実に文字として再現したものです。
d POINT
失効防止のお知らせ
————————————————–
■■■ 様平素よりd POINTをご利用いただき、誠にありがとうございます。d POINTでは、キャンペーンや特典で進呈される「期間限定ポイント」について、有効期限が近づいている場合に失効防止のご案内をお送りしております。 お客様のアカウントに、受取期限が迫っている期間限定ポイントが確認されました。これらのポイントは、通常のご利用で貯まるポイントとは別に管理されており、所定の期限内にお受取りいただけない場合、自動的に失効いたします。 お手続きはわずか1分で完了し、受取後すぐにドコモの携帯料金のお支払いや、d払い、全国の提携店舗での買い物にご利用いただけます。お客様の大切なポイントを守るため、今すぐお手続きください。 失効防止手続きのメリット
・有効期限を気にせずポイントをご利用いただけます
・受取後すぐにドコモ携帯料金やd払いで使用可能
・1ポイント = 1円でお買い物にご利用いただけます 【 ポイント失効を防ぐ 】 ←(ここに詐欺サイトへのリンクが仕込まれています) ご留意事項
・失効後のポイント再付与は、いかなる場合も承れません。
・本リンクはお客様専用の安全なURLです。第三者への共有はご遠慮ください。
・d POINTのご利用可能店舗は公式サイト(dpoint.docomo.ne.jp)をご確認ください。 |
つまり、「あなたのポイントが消えちゃうから今すぐこのボタンを押して手続きしてね!」と恐怖心を煽って(あおって:不安にさせること)、偽のログインページに誘導することがこのメールの目的ということです。
| | ■ テクニカルヘッダー解析(裏側の証拠)
【重要なお知らせ】
メールのヘッダー情報(メールの細かい配送ルートが書かれたデータ)のスクリーンショットは、受信者側(あなた側)のプライベートなサーバー情報や企業の機密情報がばっちり含まれてしまうため、安全を考慮してブログ上には掲載していません。
その代わり、お兄さんが安全な形に処理して、大事な証拠だけを文字として抽出したよ!
今回のメールから抽出した、時系列(じけいれつ:時間の流れる順番)で一番古い、つまり一番最初に送信された配送記録(Receivedヘッダー)と安全認証の結果です:
| Received-SPF | Pass (sender SPF authorized) identity=mailfrom; client-ip=35.212.166.223; helo=contact.mlxsnx.com | | 最古のReceived | from contact.mlxsnx.com (mlxsnx.com [35.212.166.223]) by *****03.■■■■■■.net … for <■■■■@■■■■.jp> |
※セキュリティ保護のため、受信に関わるホスティングプロバイダ(k**oya.net等)や、お兄さん側の受信メールアドレス(s**setubi.jp等)の固有情報は「■■■■」と伏字(マスク)にしています。
【送信元IPアドレスの偽装判定とロケーション】
このヘッダーから判明した送信元ドメイン「mlxsnx.com」のIPアドレス(ネット上の住所)を調べ、地理情報を特定しました。 | 確認されたIPアドレス | 地理的ロケーション | 偽装判定 | | 35.212.166.223 |
アメリカ合衆国 (Google Cloud)
緯度: 37.751, 経度: -97.822
[Googleマップで確認]
[ip-sc.netの詳細情報]
| 【完全な偽装】
ドコモ公式(日本国内)ではなく、米国のクラウドサーバーから送信されています |
つまり、「送信ドメイン認証(SPF)自体はPass(合格)しているけれど、それはドコモのサーバーではなく、攻撃者が自分たちでお金を払って用意したアメリカの使い捨てサーバーの認証をパスしているだけなので、中身は完全に詐欺メール」ということです。
| | ■ 誘導先リンクの解析と「クローキング」の恐怖
メール本文の「ポイント失効を防ぐ」というボタンに隠されていた、実際の誘導先URL(詐欺サイトへの案内アドレス)はこちらです。
(安全のため、一部の文字を伏字にして、リンクを無効化しています)
実際の危険なリンク先URL(伏字加工済み):
h**ps://www.zcxcjg.com/?jWhCiv7PddOj&type=dpoint |
【スクショエリア:セキュリティ警告・ブロック画面】
「アクセス拒否」が表示されたWAF・ファイアウォールのブロック画面] |
このURLをクリックした時、画面に「アクセス拒否 リクエストがブロックされました。後ほどお試しください。」と書かれた無機質なページが表示されることがあります。
これを見て「あ、サイトが壊れてるんだ、安心安心!」って思ったら大間違い!
これこそが「クローキング(Cloaking:潜伏・偽装工作)」と呼ばれる高度な詐欺の手口なんだ。 クローキングとは、アクセスしてきた相手が「一般のユーザー」か「セキュリティ会社の調査ロボット(クローラー)」かをサーバー側で自動で判別して、調査ロボットが来たときだけわざと「アクセス拒否」や「エラー画面」を見せて、本物の詐欺サイト(フィッシングページ)を隠す(潜伏させる)ずる賢い機能のことです。 こうすることで、Googleやセキュリティ会社に「このURLは危険なサイトだな」と見破られるのを長引かせようとしているんだよ。 ■ リンク先ドメインの裏側情報(Whois・IP情報) | リンク先ドメイン | ドメインのIPアドレス | 地理的ロケーション | 現在の稼働状況 | | www.zcxcjg.com | 104.21.31.229
172.67.185.125 |
アメリカ合衆国 (Cloudflare経由)
緯度: 37.751, 経度: -97.822
[Googleマップ]
[詳細情報]
| クローキング稼働中
(調査に対して防御姿勢) |
つまり、/strong>「画面上はエラーに見えても、裏側では一般のスマホユーザーを手ぐすね引いて待っている罠サイトがばっちり動いている状態なので、絶対に安全だと思わないで」ということです。
| | ■ 【スクショエリア】もし本物の詐欺サイトが開いた場合 万が一、クローキングのフィルターをすり抜けて一般ユーザーだと判定されてしまうと、本物そっくりの「dアカウント ログイン画面」が表示されます。 そこにあなたのIDやパスワード、クレジットカード情報を入力してしまうと、すべて犯人グループに筒抜け(つつぬけ:すべて漏れてしまうこと)になってしまうから、絶対に何も入力しちゃダメだよ! | | ■ お兄さんが教える!メールの注意点と正しい対処方法
1. リンクは絶対にクリックしない!
メールに書かれている「ポイントを失効から守る」といった甘い言葉に惑わされて、ボタンやURLを押すのは絶対にやめようね。
2. 公式のアプリやブックマークから確認する!
「本当にポイントの期限が近いのかな?」と気になったときは、メールのリンクからではなく、スマホに入っている公式の「dポイントクラブアプリ」を開くか、ブラウザのブックマーク(お気に入り)から直接公式ページにアクセスして確認するのが一番確実で安全だよ! 3. 大切な家族にも伝えてあげてください
こういったポイント失効やアカウント停止の脅しは、特におじいちゃんやおばあちゃん、お父さん、お母さんといったシニア世代や、ネットの仕組みにあまり詳しくない家族が狙われやすいんだ。 「dポイントからこんな怪しいメールが届くことがあるみたいだから気をつけてね!」と、ぜひあなたの言葉で教えてあげてください。 大切な家族を守れるのは、あなた自身の優しい一言だよ。 | | ■ 公式の注意喚起情報
NTTドコモ公式でも、このようなフィッシングメールや偽のログイン画面に関する注意喚起(ちゅういかんき:気をつけるように促すこと)が常に更新されています。
最新の被害事例や公式の対策については、以下のURLから必ず確認しておいてね!
・NTTドコモ公式 安全対策ページ: | |
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る
② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る
