【実録・稼働中】Visaカード「利用停止・お客様情報最新化」詐欺メールの全手口——国内サーバー踏み台+Cloudflare経由3段階フィッシングを完全解析
🟡 緊急度:中
| 緊急性レベル | ★★★★☆ (4/5) ※フィッシングサイト稼働中・全カードブランド対応 |
| 偽装工作精度 | ★★★☆☆ (3/5) ※SPF Softfail・送信元に「apple」混入という初歩的ミス |
■ メールヘッダー解析(送信者情報)
件名:お客様情報最新化のお願い
送信者名:“Visaカード”(表示名だけVisaカードを名乗っている)
送信元アドレス:support-apple9f3@net-friends.co.jp
送信元サーバー:r43888-okinawa373.okinawa.bbiq.jp(沖縄のプロバイダ経由)→ net-friends.co.jp(さくらインターネット)
送信元クライアントIPアドレス:193.239.154.100(ヨーロッパ系IPレンジ・詳細調査中)
SPF認証(送信元が本物かどうかを確認する仕組み):Softfail(ドメイン所有者自身が「このホストからの送信は推奨しない」と宣言している状態)
DKIM署名(メールが改ざんされていないことを確認する仕組み):なし
受信日時:2026年6月13日(土)20:52:29 JST
このメールはVISAカードを装った真っ赤な偽物です。フィッシングサイトは現在も稼働中で、クレジットカード情報が即座に盗まれる危険があります。クレジットカードをお持ちの家族・友人への注意喚起をお願いします。
📧 届いた詐欺メールの内容(再現)
▲ 届いた詐欺メールの全体像。「カードが一時停止されています」と不安を煽る内容で、本文中には「Visaカードから直接確認手続きを求めるメールは送信しません」という矛盾した一文まで含まれている
※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。
一時的な利用制限のお知らせ Visaカードサービス 一時的な利用制限のお知らせ カードが一時停止されています セキュリティ上の理由により、現在ご利用できません お客様のVisaカードで通常と異なる動作が検出されました。 安全維持のため、カード利用を一時的に止め、確認手続きへのご協力をお願いしています。 確認された内容: 通常外の地域での決済試行 短時間での高額利用の連続 不審なオンライン購入の検出 ■セキュリティ対策 万一の不正利用を防ぐため、異常な活動が見つかると自動で利用制限がかかる場合があります。 心当たりのない取引は速やかにカード会社までご連絡ください。 本人確認を行い利用再開する【←詐欺リンク・クリック禁止】 Visaカードから直接確認手続きを求めるメールは送信しません 本人確認手続きは必ず上記公式サイトから行ってください 不審なリンクや電話での情報入力を求められることはありません このメールについて このメールはVisaカードをご利用のお客様にお送りしています。 配信停止はこちらから行えます。 お問い合わせはお問い合わせフォームからご連絡ください。 ※本メールにご返信頂いてもお答えできませんのでご了承ください。 【発行元】Visaカードセキュリティセンター Visaカスタマーサポート
🔍 ここが偽物のサイン——見破るための4つのポイント
① 送信元アドレスに「apple」が入っている——VisaでもなくAppleでもない謎のアドレス
送信元は support-apple9f3@net-friends.co.jp です。「Visaカード」を名乗りながら、アドレスには「apple」という文字が含まれています。AppleでもVisaでもない「net-friends.co.jp」というドメインから届いた時点で偽物確定です。本物のVisaカードに関するメールは、各カード発行会社(三井住友カード・三菱UFJニコス等)の公式ドメインから届きます。
② 本文に「Visaカードから直接確認手続きを求めるメールは送信しません」と自分で書いている
メール本文の中に「Visaカードから直接確認手続きを求めるメールは送信しません」という一文があります。これはVISA公式の注意喚起文をコピーして貼り付けたものですが、結果として「このメールは偽物です」と自分で宣言しているという、前代未聞の自爆です。攻撃者が本物らしく見せようとしてVISAの公式文言を丸ごとコピーした結果、完全に矛盾した内容になっています。
③ SPF Softfail——ドメイン所有者自身が「このメールは信頼しないで」と言っている
SPF認証(送信元が本物かどうかを確認する仕組み)の結果は「Softfail」でした。これはドメインの所有者自身が「このサーバーからのメール送信は推奨しない」とあらかじめ宣言している状態です。つまりドメイン所有者の意図に反して無断でメールを送り付けている、いわば「ドメインの不法占拠」です。
④ フィッシングサイトがVISA・Master・AMEX・Diners・JCBの全ブランド対応
誘導先の偽サイトに表示されるカード情報入力フォームには、VISA・マスターカード・AMEX・Diners・JCBのロゴがすべて並んでいます。「Visaカードのサービス」を名乗りながら、実際にはどのブランドのカード情報でも盗み取る設計になっています。
📡 送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(メールがどのサーバーを経由して届いたかの記録):
Received: from r43888-okinawa373.okinawa.bbiq.jp (unknown [193.239.154.100])
→ dmail02.kagoya.net → 受信者側サーバー(非公表)
SPF認証: Softfail
Received-SPF: Softfail (domain owner discourages use of this host) identity=mailfrom; client-ip=193.239.154.100; helo=r43888-okinawa373.okinawa.bbiq.jp
ドメイン「net-friends.co.jp」の所有者が「このIPアドレスからの送信は推奨しない」と設定しているにもかかわらず、攻撃者が強引に利用して送信しています。
【偽装判定】:
本物のVisaカードに関する通知は、三井住友カードなら @smbc-card.com、三菱UFJニコスなら @cr.mufg.jp といった各カード発行会社の公式ドメインから届きます。「net-friends.co.jp」はVisaカードとは一切関係のないドメインです。
発信元ロケーション解析:
クライアントIP:193.239.154.100(ヨーロッパ系IPレンジ・詳細調査中)
中継サーバー:r43888-okinawa373.okinawa.bbiq.jp(沖縄県のプロバイダ)
送信元サーバーIP:182.48.12.192(さくらインターネット・日本)
Googleマップ:【沖縄県付近の位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
国内のさくらインターネットサーバーを踏み台(不正に経由するサーバー)として利用することで、海外サーバー発のメールを弾くフィルターをすり抜ける狙いがあると考えられます。
🌐 フィッシングサイト詳細解析——3段階で情報を盗む巧妙な構造
■ フィッシングサイト詳細解析
誘導先URL(伏せ字・クリック禁止):
hxxps://iumoata[.]info/UdDkDx
フィッシングドメイン:iumoata.info
フィッシングサイトのIPアドレス:104.21.27.98(Cloudflare CDN・稼働中)
インフラ:Cloudflare CDN(世界中にサーバーを分散配置するインターネットインフラ企業)を経由しており、実際のサーバーの所在地を特定することが困難な構成です。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【第1段階】Cloudflare ボット確認画面
▲ アクセスすると最初にCloudflareの「接続を確認しています」画面が表示される。自動収集ロボットを弾き、人間だけを通過させるための仕掛け
「接続を確認しています——下の認証を完了してください」という画面が表示されます。Cloudflareの正規機能を悪用することで、セキュリティ調査ツールや自動スキャンをかわし、人間の被害者だけを先の偽サイトへ誘導する仕掛けです。
【第2段階】VISA公式そっくりの偽サイト
▲ VISAのロゴと青いデザインを使った偽サイト。「カードセキュリティアップグレードのお知らせ」として携帯番号の本人確認を求める
VISAの公式サイトと酷似した青系のデザインで「カードセキュリティアップグレードのお知らせ——お客様のVISAカードに登録された携帯番号の本人確認が必要です。本日中に認証を完了してください」と表示されます。「確認手続きを進める」ボタンをクリックすると、第3段階の情報収集フォームへ移行します。
【第3段階】カード情報を根こそぎ盗む入力フォーム
▲ 「保護の強化」と称してカード名義人・電話番号・メールアドレス・カード番号・有効期限・セキュリティコードを一括収集するフォーム。VISA/Master/AMEX/Diners/JCB全ブランドのロゴが並ぶ
「保護の強化——プロセスを完了するために、あなたの情報を確認してください」として以下の情報を要求します。
- カード名義人(氏名)
- 電話番号
- メールアドレス
- カード番号(16桁)
- カード有効期限(MM/YY)
- セキュリティコード(CVV・3〜4桁)
これらの情報があれば、ネットショッピングでカードを不正利用し放題です。フォームにはVISA・マスターカード・AMEX・Diners・JCB全ブランドのロゴが表示されており、どのカードでも情報を収集できる設計になっています。
⚠️ 調査時点でフィッシングサイトは稼働中です。絶対にアクセスしないでください。 このURLを誰かに転送したり、SNSに貼ったりすることも危険です。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
🛡️ 注意点と対処法
■ 注意点と対処法
- メール内のリンクは絶対にクリックしない:「本人確認を行い利用再開する」というリンクの先はカード情報を盗む偽サイトです。フィッシングサイトは現在も稼働中のため特に注意が必要です。
- 送信元アドレスを確認する:VISAカードのサービスに関するメールは、各カード発行会社の公式ドメインから届きます。「net-friends.co.jp」はVISAと無関係のドメインです。
- カードの利用状況は公式アプリで確認する:カードの一時停止や不正利用の心配がある場合は、メールのリンクからではなく、カード会社の公式アプリまたはブックマークした公式サイトから直接確認してください。
- すでに情報を入力してしまった場合:すぐにカード会社の裏面記載の電話番号に連絡してカードを利用停止にしてください。時間が経つほど被害が広がります。
- VISA公式の注意喚起を確認する:Visaのセキュリティ(Visa公式サイト)
■ 関連記事
当ブログではVISAカードを騙る詐欺メールを多数取り上げています。手口はさまざまですが、狙いはいつも同じ——カード情報の詐取です。あわせてご覧ください。
本レポートの結論
今回の詐欺メールは、国内のさくらインターネットサーバーを踏み台に使いSPF Softfailで到着しました。フィッシングサイトはCloudflare CDNで稼働中という、調査時点では「現在進行形の脅威」です。特筆すべきは本文に「Visaカードから直接確認手続きを求めるメールは送信しません」と自ら書いてしまっている点——本物のVISA注意喚起文をコピーしすぎた結果の自爆です。偽物を見分けるには送信元アドレスの確認が最も確実です。「Visa」の名前が表示されていても、アドレスが公式ドメイン以外であれば即削除。クレジットカードをお持ちのご家族に、この記事を「こんな詐欺が来てる!」とLINEで送って注意を促してあげてください。
調査日:2026年6月14日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
