【実録】楽天カードを騙る偽「3Dセキュア認証 有効期限切れ」メールの正体——件名と本文の食い違いが暴く使い回しテンプレートの杜撰な手口

| 緊急性レベル | ★★★★☆ (4/5) ※受信当日を期限に設定する即日プレッシャー型 |
| 偽装工作精度 | ★★☆☆☆ (2/5) ※件名と本文見出しが不一致という初歩的なミス |
■ メールヘッダー解析(送信者情報)
件名:[spam]【楽天カード】3Dセキュア認証 有効期限切れのお知らせ
送信者名:楽天カード
送信元アドレス:agxoqv@agxoqv.tzjyjypx.com
ドメインIP解析:20.214.251.50(agxoqv.tzjyjypx.com)
受信日時:2026年07月07日(火)18時34分頃
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、このメールは公式楽天カードを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
▲ 実際に届いた詐欺メールの画面です。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
【重要】3Dセキュア認証 再確認のお願い 平素より楽天カード (Rakuten Card)をご利用いただき、誠にありがとうございます。 お客様のカードにご登録いただいております「3Dセキュア認証(本人認証サービス)」の有効期限が切れているか、または再登録が必要な状態となっております。 セキュリティ強化のため、再認証手続きを弊社システムにてご依頼しております。 ※再認証が完了しない場合、一部のインターネット決済(オンラインショッピング等)がご利用いただけなくなる可能性がございます。 要対応期限:2026-07-07(当日中) 対応内容:3Dセキュア認証(本人認証サービス)の再登録・認証手続き 認証手続きは下記の専用ボタンより認証画面へお進みください。 (※セキュリティ保護のため、必ずご自身でブラウザを開き直接アクセスするか、楽天公式アプリからお手続きください) 【3Dセキュア認証ページ】 ⚠ 本メールに心当たりがない場合や、不審な点がある場合は直ちに楽天カードコールセンターまでご連絡ください。 ※ 本メールは送信専用アドレスより配信されています。返信いただいてもご回答できませんのでご了承ください。 🔒 セキュリティ対策の観点から、不審なメールのリンクを直接クリックせず、楽天公式サイトのブックマークまたは楽天公式アプリからアクセスすることを推奨いたします。 楽天カード株式会社 〒102-0083 東京都千代田区麹町4-1-1 カスタマーサポート:0570-72-6796(有料) * 紛失・盗難のご連絡は、24時間年中無休で承っております。 2026 楽天カード株式会社 / Rakuten Card
本文の見出しをよく見ると、件名にある「有効期限切れ」ではなく「再確認のお願い」のまま。おそらく攻撃者は件名だけ差し替えて満足してしまい、本文の見出しを直すのを忘れたのでしょう。これだけ急かす文面を送っておきながら、肝心の校正はずいぶん雑なようです。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass (sender SPF authorized) client-ip=20.214.251.51; helo=agxoqv.tzjyjypx.com; envelope-from=agxoqv.tzjyjypx.com
【偽装判定】:
正規の楽天カードからのメールは「rakuten-card.co.jp」等の公式ドメインから送信されます。本メールの送信ドメイン「agxoqv.tzjyjypx.com」は楽天とは一切関係のない、攻撃者が独自に取得したと見られるドメインです。しかもメールアドレスのローカル部(@より前)とドメイン名の一部が同じ「agxoqv」というランダム文字列になっており、使い捨てドメインを機械的に量産している様子がうかがえます。なお、SPF認証(送信元サーバーが登録済みかどうかを確認する仕組み)とDKIM署名(メールが改ざんされていないことを証明する電子署名の仕組み)はいずれもPassしていますが、これは攻撃者が自分で取得したドメインに自分でSPF/DKIMを設定しているだけなので、認証をパスしているからといって安全とは限りません。
発信元ロケーション解析:
韓国 ソウル特別市 Yongsan-gu(Microsoft Azureのホスティング基盤を悪用)
緯度・経度:37.5503, 126.997
Googleマップ:【位置情報を確認する】
※クラウド事業者のIPアドレスのため、実際の攻撃者の所在地とは限りません。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://hbzhhq.com/xtbbUaKA/ (一部伏字)
リンクドメイン:hbzhhq.com
サイトサーバーIP:192.227.190.150(HostPapa/RackNerd LLC)
ロケーション:アメリカ ニューヨーク州バッファロー (42.8864, -78.8784)
マップ:【Googleマップで表示】
【サイトの状態】:ウイルスバスター クラウドおよびChromeセーフブラウジングの両方でフィッシングサイトとしてブロック済みです。アクセスすると偽の「安全な接続を確認しています」という待機画面を経由し、最終的に楽天e-NAVIを精巧に模した偽ログイン画面が表示されます。
▲ アクセス直後に表示される偽の「安全な接続を確認しています」という待機画面。相手を油断させるための演出です。
▲ ウイルスバスター クラウドがフィッシングサイトとして検知・ブロックした際の警告画面。
▲ Chromeのセーフブラウジング機能による「危険なサイト」警告画面。
▲ 楽天e-NAVIを模した偽のログイン画面。デザインは本物とほぼ同じですが、URLはhbzhhq.comという楽天と無関係のドメインです。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための精巧な偽サイトです。「3Dセキュア認証ページ」ボタンは絶対に押さないでください。
- 公式サイトを確認:3Dセキュアの設定確認は、必ず楽天カード公式アプリまたはブックマークからアクセスした楽天e-NAVIで行ってください。
- 送信元アドレスを確認:楽天カードからのメールは「@mail.rakuten-card.co.jp」等の公式ドメインからのみ配信されます。それ以外のドメインからのメールは偽物です。
- 公式注意喚起の参照:楽天カード公式 不審メールにご注意ください
本レポートの結論
今回のメールは、件名だけ「有効期限切れ」に差し替えたものの本文見出しは「再確認のお願い」のまま残るという、テンプレートを使い回した粗雑な手口でした。文面の構成は6月に確認したMyJCBを騙る詐欺メールと酷似しており、同じひな形がブランドを変えて繰り返し悪用されている実態が見えてきます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
















