【実録・緊急】楽天カードを騙る偽「3Dセキュア再確認」詐欺メール発覚——SPF/DKIM両Pass偽装+Googleが「危険なサイト」認定の精巧な偽ログイン画面の全手口を公開
🔴 緊急度:高
▼ 届いた詐欺メールの外観(楽天カードの公式ロゴ・カスタマーサポート情報を悪用した精巧な偽装)
▲ 楽天カードの公式ロゴ・電話番号・著作権表示まで本物そっくりに偽装されている
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
詐欺メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
件名:【楽天カード 重要】3Dセキュア認証 再確認のお願い(期限 2026-06-11) 送信者:"楽天カード" <noreply@o0i9u8y7.zh-news-huatihui.com> 【重要】3Dセキュア認証 再確認のお願い 平素より楽天カード (Rakuten Card)をご利用いただき、誠にありがとうございます。 お客様のカードにご登録いただいております「3Dセキュア認証(本人認証サービス)」の有効期限が切れているか、または再登録が必要な状態となっております。 セキュリティ強化のため、再認証手続きを弊社システムにてご依頼しております。 ※再認証が完了しない場合、一部のインターネット決済(オンラインショッピング等)がご利用いただけなくなる可能性がございます。 対応期限 2026-06-11(当日中) 対応内容 3Dセキュア認証(本人認証サービス)の再登録・ワンタイム認証手続き 対象カード 楽天カード 全般(Visa / Mastercard / JCB / American Express提携) ご対応手順(至急お願いいたします) 1. 下記「認証ページ」ボタンより公式サイトへアクセス 2. 楽天カード会員メニューにログイン後、「3Dセキュア設定」を選択 3. 画面の案内に従い、再認証(ワンタイム認証)を完了 誠にお手数をおかけしますが、期限内にお手続きを完了いただけますようお願い申し上げます。 【 3Dセキュア認証ページ 】※リンク無効化済み 本メールは送信専用アドレスより配信されています。ご返信いただいても回答できかねますので予めご了承ください。 楽天カード カスタマーサポート(日本) お問い合わせ窓口:0570-66-6910 受付時間:平日・土日・祝日 9:30〜17:30 カード紛失・盗難専用窓口(24時間):0570-66-6910 © 2026 楽天カード株式会社 / Rakuten Card | プライバシー規約
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダー(メールがどのサーバーを経由してきたかの通過記録)の全文をスクリーンショットでお見せしたいところですが、受信者側サーバーの情報が含まれるため掲載を控えています。ご了承ください。
【偽装判定】
楽天カードから送信される正規メールのドメイン(@以下の部分)は @mail.rakuten-card.co.jp です。今回のメールの送信ドメイン zh-news-huatihui.com は楽天カードとは一切無関係の第三者ドメインです。「zh」は中国語(Chinese)の略、「huatihui」は中国語で「花蝶会」を意味しており、楽天の名称とは何ら関係がありません。
SPF・DKIM両Pass偽装の仕組み:
攻撃者は自分で取得した zh-news-huatihui.com ドメインのSPFレコード(「このサーバーからの送信は正規だ」と宣言する設定)とDKIM署名(メールが改ざんされていないことを証明する電子署名)を自分自身で設定しています。つまり「偽物のドメインを正規のものとして設定した」だけであり、楽天カードの公式サーバーとは完全に別物です。この手口により多くの迷惑メールフィルターをすり抜けます。
発信元ロケーション解析:
送信元ドメインIPは調査時点でDNS失効のため取得不可。ドメイン自体は既に使い捨てられた可能性があります。
フィッシングサイト詳細解析
■ フィッシングサイト(偽サイト)詳細解析
誘導先URL(伏せ字):hxxps://zh-go-biying[.]com/IobLBkhn/(以下省略)
リンクドメイン:zh-go-biying.com
ドメインの意味:「zh」=中国語、「go-biying」=中国語で「必赢(必ず勝つ)」の意味。楽天カードとは無関係。
ドメイン登録日:[ip-sc.netにてご確認ください]
サイトサーバーIP:23.94.199.177(逆引き:vmta7.qwqlqo.com)
ロケーション:汎用ホスティング(詳細位置は調査時点で特定不可)
参考調査:ip-sc.netで確認する
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【注目】同一サーバーを過去にも確認:
このIP(23.94.199.177)は、当ラボが過去に解析したMyJCB偽装フィッシングメールで使われたサーバーと一致しています。同一の攻撃グループが複数ブランドを使い分けて活動している可能性が高いと判断します。
【サイトの挙動】:アクセスすると最初に「安全な接続を確認しています」というCloudflare(海外大手CDNサービス)風の画面が表示されます(クローキング:アクセスしてきた端末の種類や状況によって表示内容を切り替える偽装手法)。その後、Googleセーフブラウジング(Googleが管理する危険サイトのリスト)に登録済みの偽ログイン画面へ遷移します。Chromeブラウザでは「危険なサイト」として赤い警告画面が表示されます。
【偽ログイン画面の精度】:楽天e-NAVIのロゴ・デザインを忠実に模倣した精巧な偽サイトが確認されています。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
▼ Chromeによる「危険なサイト」警告画面
▲ Googleが「危険なサイト」と判定。フィッシングサイトとして既にリスト登録済み
▼ Cloudflare風「安全な接続を確認しています」画面(クローキング)
▲ セキュリティソフトの自動スキャンを回避するための偽装画面。「クリックまたはタップ」を促して人間かどうか確認している
▼ 偽ログイン画面(楽天e-NAVI偽装)
▲ 楽天e-NAVIのロゴ・デザインを精巧に模倣。ここにIDを入力すると攻撃者に即座に送信される
注意点と対処法
■ 注意点と対処法
- 「今日が期限」の文句は詐欺の常套手段:焦らせて判断力を鈍らせるのが目的です。急かされても冷静に送信元アドレスを確認してください。楽天カードからの正規メールのドメインは必ず
@mail.rakuten-card.co.jpです。 - メール内のリンクをクリックしない:リンク先は楽天カードとは無関係の偽サイトです。絶対にIDやパスワードを入力しないでください。
- 公式アプリまたはブックマークから確認:3Dセキュアの設定状況を確認したい場合は、楽天カードの公式アプリまたは事前にブックマークした公式サイト(rakuten-card.co.jp)から直接アクセスしてください。
- 誤って入力してしまった場合は即時対応:楽天e-NAVIにログインしてパスワードを変更し、楽天カードのカスタマーサポート(0570-66-6910)へ速やかにご連絡ください。
- 公式注意喚起を確認:楽天カード:不審メールへのご注意
■ 関連記事
当ブログでは過去にも楽天カードを騙る詐欺メールを多数取り上げています。あわせてご覧ください。
本レポートの結論
今回の詐欺メールは、「3Dセキュアの期限が今日まで」という焦りを煽る文句と、SPF・DKIM認証を両方クリアする高度な偽装技術を組み合わせた悪質な手口です。誘導先の偽サイトはGoogleが「危険なサイト」と認定しているにもかかわらず、Cloudflare風の画面でセキュリティチェックをすり抜けようとします。楽天カードからの正規メールは必ず @mail.rakuten-card.co.jp ドメインから届きます。それ以外のドメインからのメール内リンクは絶対にクリックしないでください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月12日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
