【危険】三菱UFJカード「お引き落とし日のご案内」は詐欺！新潟の一般回線から送信されオランダ経由で偽サイトへ誘導する手口を解析

HL-META: date=2026-06-20 | brand=三菱UFJカード | sender_geo=日本・新潟県（一般回線） | site_geo=オランダ | spf=softfail | dkim=不明 | cloaking=no

■ メールヘッダー解析（送信者情報）

件名：[spam] お引き落とし日のご案内【三菱ＵＦＪカード株式会社】（三菱ＵＦＪカード）

送信者名：“三菱ＵＦＪカード株式会社”

送信元アドレス：no-reply-cd64@news.wowma.jp

送信元IP：2.59.152.104（ip-sc.netで確認する）

IPロケーション：日本・新潟県（OCN＝NTTコミュニケーションズの個人・小規模事業者向け回線とみられる逆引きホスト名）

SPF：Softfail（”domain owner discourages use of this host”）

受信日時：2026年6月20日 15:43 JST

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

---

MUFG　世界が進むチカラになる。
2026年6月20日発行

ご利用代金明細のお知らせ

平素よりMUFGカードをご利用いただき、誠にありがとうございます。
下記のとおりご請求額をお知らせいたします。

今回のご請求金額
¥231,491円
【確定済み】

お支払い情報

ご利用カード　MUFGカード
お支払い日　2026年6月24日（水）
お支払方法　口座自動振替
支払区分　一括払い

【詳細な明細を確認する】
パソコンから確認される方はこちら

※ ご注意
・請求金額の確定前にキャンセルまたはお支払いいただいた場合、請求額が0円となった方にも本メールをお送りしております。
・複数のカードをご利用の場合は、カードごとに請求金額のお知らせをお送りしております。
・明細内容に誤りがある場合は、お早めにカードセンターまでご連絡ください。

⚠ セキュリティに関する重要なお知らせ
フィッシング詐欺や偽のカード利用確認メールにご注意ください。MUFGカードは、カード番号やパスワードをメールでお聞きすることはありません。
セキュリティ情報の詳細はこちら

ご不明な点がございましたら
MUFGカードセンター：0120-123-456（24時間受付）
海外からは：+81-3-1234-5678

各種お手続き・ご確認
・Eメールアドレスの変更
・WEB明細サービスへの登録
・ご利用明細の確認方法

発行元：三菱UFJニコス株式会社
〒113-8411 東京都文京区本郷3丁目33番5号
本メールは送信専用です。ご返信いただいても回答できませんのでご了承ください。

Copyright(C) Mitsubishi UFJ NICOS Co.,Ltd. All Rights Reserved.

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
Received-SPF: Softfail (domain owner discourages use of this host) identity=mailfrom; client-ip=2.59.152.104; helo=om25637-niigata278.niigata.ocn.ne.jp; envelope-from=no-reply-cd64@news.wowma.jp;
Received: from om25637-niigata278.niigata.ocn.ne.jp (unknown [2.59.152.104]) by dmail02.kagoya.net (Postfix) with ESMTP id 4410D42758A5;

【偽装判定】：
三菱UFJカード（三菱UFJニコス）の公式ドメインは「cr.mufg.jp」です。本メールの送信元ドメイン「news.wowma.jp」は三菱UFJカードと無関係の通販系サービスのドメインで、しかも実際に送信に使われたサーバーのHELO名は「om25637-niigata278.niigata.ocn.ne.jp」、これはOCN（NTTコミュニケーションズ）が個人・小規模事業者向けに割り当てる回線の命名パターンと一致します。さらにSPF判定が「Softfail」、つまり送信元ドメインの管理者自身が「このホストからの送信を推奨しない」と表明している状態です。正規の企業がこのような構成でメールを送ることはありません。

発信元ロケーション解析：
IPアドレス：2.59.152.104
ロケーション：日本国内（新潟県、一般向け回線とみられる）
ip-sc.net調査リンク：【調査結果を確認する】
※ロケーション情報は調査時点のものであり、変動する可能性があります。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://cff-mufg.hgntd.com/benPPApe/（一部伏字）

リンクドメイン：cff-mufg.hgntd.com

サイトサーバーIP：195.86.16.200（逆引き：195-86-16-200.easynet.nl）
ip-sc.net調査リンク：【調査結果を確認する】

ロケーション：オランダ（Easynet系ネットワーク事業者のIPアドレス帯）

【サイトの状態】：ウイルスバスター クラウドが「このWebサイトは、安全ではない可能性があります（脅威の種類：フィッシング）」とブロック。さらにGoogle Chromeのセーフブラウジング機能も「危険なサイト」として独自に警告を出しました。両方の防御をかいくぐって進むと、三菱UFJニコスの会員サイト「NEWS+PLUS」を模した偽ログイン画面（ID・パスワード入力欄）が表示されます。

■ 注意点と対処法

1. URLをクリックしない：リンク先は情報を盗むための偽サイトです。具体的な請求金額や「確定済み」バッジに動揺して即クリックしないでください。
2. セキュリティ警告が出たら絶対に突破しない：ウイルスバスターやChromeが「危険」と警告した場合、その先に進まないでください。
3. 公式サイトを確認：利用明細は必ず公式アプリまたはブックマークしてある「Mable」「NEWS+PLUS」等の公式サイトから確認してください。メール内のリンクは使わないでください。
4. 公式注意喚起の参照：「三菱UFJニコス」を装った不審なメールやSMSにご注意ください！（三菱UFJニコス公式）

本レポートの結論

具体的な請求金額と「確定済み」バッジで信頼性を演出した三菱UFJカードのなりすましメールでした。送信元は企業サーバーではなく日本国内の一般回線、誘導先はオランダのサーバーに置かれた偽ログイン画面で、ウイルスバスターとChromeの両方からフィッシング警告を受けるという、作り込みの精巧さとインフラの粗さが対照的な事例でした。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。