【調査報告】SBI証券を騙る「セキュリティ設定のお願い」メールと偽サイトの正体を暴く
【調査報告】最新の詐欺メール解析レポート
本レポートは検体の通信ログおよびドメイン情報を基にした技術的な解析結果を公開するものです。
|
■ 最近のスパム動向
今回ご紹介するのは「SBI証券」を騙るメールですが、その前に最近のスパムの動向について。現在、金融機関の多要素認証(MFA)義務化の流れを逆手に取り、「設定しないと取引を制限する」と脅迫的にログインを促す手法が主流となっています。
|
■ 検体メール基本情報
| 件名 |
[spam] 【重要】セキュリティ設定のお願い(即時完了/取引制限事前通知) |
| 判定理由 |
「[spam]」という文字列は、メールサーバーが過去の膨大なデータから「このメールは詐欺の確率が高い」と自動判別した際に付与される警告です。この表示がある場合は、内容はすべて嘘であると判断すべきです。 |
| 送信者名 |
“SBI証券" <mail[@]sbisec[.]co[.]jp> |
| 受信日時 |
2026年2月13日 15:17 |
■ 本文の再現(解析用)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
SBI証券
お客様各位
平素よりSBI証券をご利用いただき誠にありがとうございます。
■サービスの継続利用に関する重要なお知らせ
より安全にサービスをご利用いただくため、「多要素認証(MFA)」の設定が必要です。
取引権限停止まであと3日|オンライン手続きの即時完了を。期限までに設定されない場合、サービス利用に制限が発生する可能性があります。
1. 多要素認証(MFA)の導入について
セキュリティ基準向上に伴い、多要素認証の導入を決定いたしました。
- 資産を不正アクセスから保護するための措置です
- ログイン時のセキュリティを強化します
- 設定後の変更管理はお客様自身で行えます
2. 設定手続きのご案内
下記よりログイン後、「セキュリティ設定」よりお手続きください。
SBI証券 公式サイトへアクセス
所要時間:約3-5分
■設定未完了時の対応について
2026年2月16日 17時30分までに設定が確認できない場合、金融庁のガイドラインに基づき利用制限を実施する場合があります。
制限解除には所定の書類の提出が必要となる場合があります。
※重要なお知らせ※
- 本設定はオンライン手続きで完了可能です
- 設定時には登録済み連絡先への確認コード送信が行われます
- 不審なメール?電話にはご注意ください
|
本通知はオンライン取引サービスをご利用のお客様に送付しております。
お問い合わせ?設定済みの方は下記までご連絡ください。
SBI証券 カスタマーサービスセンター
電話:0120-104-214(受付時間:平日 8:00?17:00)
最終受付:2026年2月16日17時30分まで
※2月16日のみ土曜日13時まで電話対応延長
c 2026 SBI Securities, Inc.
配信を停止する CUYR12G29O
|
■ 専門的解析結果
メールのデザインと感想
今回のメールは、一見すると非常に整理された公式通知に見えますが、技術的に見ると「詐欺テンプレート」の典型です。特に、本文の背景が白で、末尾数行(フッター)のみ水色の背景を配置する手法は、近年多くの詐欺メールで使い回されているものです。この「色の切り替え」が見られたら、まずは疑うべきです。
|
危険なポイントと対処法
| アドレスの比較 |
表示は mail[@]sbisec[.]co[.]jp ですが、これは「表示名」を偽装しているだけで、内部の送信データ(Receivedヘッダー)を確認すると全く別物のサーバーが使われています。 |
| 対処法 |
メール内のリンク(特に「公式サイトへアクセス」)は絶対に踏んではいけません。SBI証券の公式アプリや、ご自身でブックマークしたサイトから直接アクセスして状況を確認してください。 |
■ 送信者情報(Received)の解析
解析データ(本レポートの根拠データ):
from mail04.youjia114.com (68.97.200.35.bc.googleusercontent.com [35.200.97.68])
これは送信に利用された生の情報です。カッコ内のIPアドレス「35.200.97.68」は、改ざんできない信頼できる送信者情報として記録されています。
|
| 送信ドメイン |
youjia114[.]com(SBI証券とは無関係) |
| 送信元IPアドレス |
35.200.97.68 |
| ホスト名 |
68.97.200.35.bc.googleusercontent.com |
| 設置国 |
日本 (Google Cloud Platform) |
※「bc.googleusercontent.com」が含まれる場合、詐欺師がGoogle Cloudのサーバーを一時的にレンタルして送信していることを意味します。
送信元ドメインのWHOIS情報
登録日: 2026年02月12日
解析コメント: メール送信日の直前に取得されています。正規の証券会社がこのような新設ドメインから重要メールを送ることはありません。
|
>> IP-SC.NET で送信元の回線詳細を検証する
■ リンク関連情報の解析
| 付けられている箇所 |
「SBI証券 公式サイトへアクセス」および「CUYR12G29O」の箇所に偽サイトへのリンクが埋め込まれています。 |
| 誘導先URL |
https://www.sbisec[.]co[.]jp[.]ETGate[.]…(伏せ字を含む) |
| ブロックの有無 |
Googleによってブロックされていますが「生まれたてのURL」なので非常に危険な状態です。 |
■ リンク先詐欺サイトの状態
| 【警告】実際の詐欺サイト(本物そっくりに作られています)
画像に見られる通り、SBI証券のトップページを完全にコピーしたデザインです。現在の時刻やトピックスまで模倣していますが、ドメインが「www.sbisec.co.jp」ではありません。 |
■ サイト回線関連情報の詳細(高品質データ)
| リンク先IPアドレス |
103.210.237.15 |
| ホスティング社名 |
Cloudflare, Inc. (または詐欺用プロバイダ) |
| 設置国 |
アメリカ合衆国 / 香港 |
| ドメイン登録日 |
2026年02月13日 (本日取得) |
解析コメント:ドメイン登録日が「本日」であることは、このサイトがフィッシング攻撃のために数時間前に用意されたことを意味します。稼働中であることを確認しました。
>> IP-SC.NET でリンク先サーバーの生データを解析
■ 調査のまとめ
本件は、極めて新しいドメイン(取得から24時間以内)を使用した組織的なフィッシング詐欺です。過去事例と比較しても、公式サイトのバナーまで含めて模倣する手の込みようです。不審なメールを受け取った際は、送信者アドレスの「見た目」ではなく、リンク先のURLが正しいもの(sbisec.co.jp)であるかを必ず確認してください。
|
Technical Analysis Report | Analysis Engine: Gemini & IP-SC.NET
|