【実録】楽天を騙る「システムメンテナンス」偽メールを徹底解析!巧妙な手口を公開
最近のスパム動向:今回ご紹介するのは「楽天」を騙るメールですが、関連記事もページ末尾に記載のデーターベースアーカイブからご覧頂けます。
【実録】「システムメンテナンスに伴うセキュリティ設定確認」と称する楽天偽メールを徹底分析!その巧妙な手口を公開
みなさん、こんにちは!頼れる街のIT専門家、Heartland-Labです。
今回は、多くの方が利用している「楽天」を名乗る非常に厄介な詐欺メールが届きましたので、その手口を詳しく解説します。
一見すると、システムのバージョンアップに伴うお得なボーナスポイントのプレゼントに見えますが、これは大切な情報を盗み出すための真っ赤な偽物です。開いただけで実質的な被害に遭うわけではありませんが、画像付きのメールを開封したり、リンクを不用意にクリックしたりすると、あなたのアドレスが「現在使われている生きたアドレス」だと相手に伝わってしまいます(アドレス生体通知)。その結果、今後さらに多くの詐欺メール送信リストに入れられる危険性があります。
大切な家族を守るためにも、ぜひこの解析結果を最後までチェックしてくださいね。
| 緊急性評価 ★★★☆☆ (3/5) | 危険度評価 ★★★★☆ (4/5) |
受信したメールの基本情報
件名: [spam] 【重要】システムメンテナンスに伴うセキュリティ設定確認と特典受取のお願い
※件名の冒頭にある「[spam]」という表記は、受信サーバーが「これは迷惑メールの可能性が極めて高い」と自動的に判定して付与した警告印です。これがある時点で警戒度を最大にしてください。
送信者名: Rakuten
送信元アドレス: WRMVAS@neriim.form.uebai.com
受信日時: 2026年5月27日 08:46
| ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。 被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 |
【スクショエリア:受信メールの本文画面】
| ▼ 以下は実際のメール本文を忠実に再現したテキストです Rakuten 楽天PointClub [システム通知] いつも楽天グループをご利用いただき、誠にありがとうございます。 会員システムの定期メンテナンス完了に伴うお願い 手続きに速やかにご協力いただいた会員様への御礼(サンクス特典)いたしまして、システムより【特別ボーナスポイント】を付与させていただきます。現在、ポイントは未受取の状態で保留されております。 ▼ 下記より確認を完了し、ポイントをお受け取りください ▼
© Rakuten Group, Inc. All Rights Reserved. |
【メールデザインと印象】
上部に赤い「Rakuten」のロゴマークを配置し、右側には「システム通知」というボタン風のパーツがあしらわれています。全体的に楽天のブランドカラーである赤を基調にした見やすいデザイン構成となっており、一見すると本物の公式通知と見間違うほど精巧に作られています。
しかし、よく見ると「サンクス特典に速やかにご協力いただいた」などの不自然な日本語が見受けられます。
メールヘッダーの解析(技術分析)
送信元の身元を暴くため、メールの「裏の足跡」であるヘッダー情報を解析しました。
※メールヘッダーのスクリーンショット画像は、受信者のサーバー情報や個人の特定に繋がる恐れがあるため掲載を控えております。
ヘッダーから抽出したセキュリティ認証結果、および時系列上で一番古い(送信元に最も近い)中継サーバーの情報は以下の通りです。
- Received-SPF: Pass (sender SPF authorized)
- 最古のReceivedヘッダー:
from form.uebai.com (uebai.com [34.4.28.28]) by ****02.***.net ... for <***@***.jp>
※安心安全のため、受信に関わるプロバイダ情報および受信者様のアドレスは「***」に伏字処理を施しています。
| 項目 | 詳細データ・判定結果 |
|---|---|
| 送信元ドメインIP | 34.4.28.28 |
| 最古Received IP | 34.4.28.28 |
| ロケーション履歴 | アメリカ合衆国(Google Cloudプラットフォーム) 緯度・経度:37.751, -97.822 Googleマップで位置を確認 ip-sc.netで詳細を確認 |
| 送信ドメイン偽装判定 | 【偽装なし(ただし正規の楽天とは無関係)】 SPFおよびDKIMの認証は「Pass(成功)」しています。つまり、送信元アドレス「form.uebai.com」として表記されている通りのサーバー(34.4.28.28)から正しく送信されています。しかし、そもそもこのドメイン自体が楽天の公式ドメイン(rakuten.co.jpなど)とは一切関係がありません。詐欺師が身元保証された自前のドメインサーバーから堂々と送りつけてきている状態です。 |
つまり、どういうことかというと…
「認証が通っているから安心」ではなく、「身元がはっきりしている攻撃者が、楽天の名前を騙って海外のクラウドサーバーから送信した危険なメール」ということです。
誘導先(フィッシングサイト)の解析
メール本文内にある「設定を確認して特典を受け取る」の赤いボタンに埋め込まれていた誘導先URLの調査結果です。
- 埋め込まれていたURL:
h**ps://[www.sxbxdl.com/?zWHY1qOkQqzc&type=rakuten](https://www.sxbxdl.com/?zWHY1qOkQqzc&type=rakuten)
※安全のためにリンクを無効化(h**ps表記)にし、一部伏字を含めています。
| 項目 | 解析データ |
|---|---|
| リンク先ドメイン | [www.sxbxdl.com](https://www.sxbxdl.com) |
| ドメインIPアドレス | 43.159.222.138 |
| サーバー所在地 | 日本・東京 (Tokyo, Japan / Tencent Cloud) 緯度・経度:35.689, 139.692 Googleマップで位置を確認 ip-sc.netで詳細を確認 |
| サイトの稼働状況 | 稼働中(クローキング作動) |
【スクショエリア:リンク先の遮断画面】
【クローキング(Cloaking)の解説】
このサイトに解析環境から直接アクセスすると、上のスクショのように「アクセス拒否 リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」という偽の警告ページが表示されます。
これは「クローキング」(アクセス元の環境に応じて表示内容を切り替える隠蔽技術)と呼ばれる詐欺サイトの強力な妨害技術です。セキュリティ会社の自動調査ロボットや特定のIPアドレスからのアクセスに対しては、あたかも「サイトが閉鎖されている」かのような偽のエラー画面を見せ、一般のスマートフォンやメール内の固有リンクを踏んだ被害者にだけ、精巧な楽天の偽ログイン画面を表示するように仕掛けられています。調査を妨害し、サイトを長生きさせるための極めて悪質な手口です。
【危険と判断できる決定的なポイント】
楽天の公式サービスであるにもかかわらず、URLが「rakuten.co.jp」ではなく全く無関係な謎の文字列のドメイン(sxbxdl.com)になっていること。さらに、末尾にわざわざ「type=rakuten」というパラメーター(プログラムに渡す外部データ)を付け加えている点からも、複数のブランドを一つのサーバーで使い回して騙そうとしている意図が透けて見えます。
このメールの注意点と今後の対処方法
万が一、このようなメールが届いた場合は以下の対策を徹底してください。
- メール内のボタンやリンクは絶対にクリックしない
「48時間以内」といった時間制限で不安を煽る(あおる)のは詐欺の典型的な手口です。急がせる内容ほど疑ってください。 - 公式アプリやブックマークからアクセスする
本当にシステムメンテナンスやポイント付与がある場合は、楽天の公式アプリや、あらかじめ登録してある公式ホームページの「お知らせ」に必ず掲載されます。 - 万が一情報を入力してしまった場合
もしユーザーIDやパスワード、クレジットカード情報を入力してしまった場合は、即座に楽天のマイページからパスワードを変更し、カード会社へ連絡してカードの利用を停止してください。
楽天公式からも、定期的にフィッシングに関する重要な注意喚起が出されています。最新の情報を以下の公式サイトから必ず確認するようにしてください。
👉 公式注意喚起URL:https://ichiba.faq.rakuten.net/detail/000013315
まとめ
今回の楽天を騙るメールは、セキュリティ認証(SPF/DKIM)を綺麗に通過し、誘導先には調査を逃れるクローキング(目くらまし)を仕掛けるなど、技術的に非常に巧妙化しています。
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。
| 📌 同じ手口の関連記事: 【実録】「Amazon」を騙る詐欺メールも非常に多く確認されています。ポイントやアカウントの更新を騙る同様の手口に引っかからないよう、合わせて警戒してください。⇒ こちら |
