三井住友カード「本人認証サービス(3Dセキュア)設定再確認」は詐欺!MyJCB・楽天カードに続く同一テンプレート使い回しの第3弾、件名はゼロ幅文字で難読化

🔍 調査レポート:概要
今回解析するのは、「三井住友カード」を騙り「本人認証サービス(3Dセキュア)設定再確認のお願い」という件名で届いた詐欺メールです。文面の構成は、当ラボが6月に解析したMyJCB、7月上旬に解析した楽天カードの偽「3Dセキュア再認証」メールとほぼ同一で、同一の詐欺テンプレートがブランドだけを差し替えて使い回されている実態が今回も確認されました。件名にはゼロ幅文字による難読化も施されています。
| 危険度評価 | ★★★★☆(4/5) |
| 送信元IP(Received-SPF基準) | 210.20.223.83(日本) |
| SPF判定 | Pass(攻撃者自身のドメインで正しく設定されているだけで、三井住友カードの正規メールである証明にはなりません) |
| DKIM署名 | あり(攻撃者ドメインでの自己署名) |
| 受信日時 | 2026年7月14日(火)12時53分頃 |
⚠️ このメールは三井住友カードを装った真っ赤な偽物です
「セキュリティ認証(本人認証サービス)」の有効期限切れを口実に、偽の認証ページへ誘導するフィッシングメールです。本文中のボタンやリンクは絶対にクリックしないでください。
届いた詐欺メールの内容
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。

▲ 届いた詐欺メール。三井住友カードのブランドカラー(グリーン)を使用した精巧なデザイン
【重要】セキュリティ認証 再確認のお願い 三井住友カード会員様 平素より三井住友カードをご利用いただき、誠にありがとうございます。 お客様のカードにご登録いただいております「セキュリティ認証(本人認証サービス)」の有効期限が切れているか、または再登録が必要な状態となっております。 ※再認証が完了しない場合、一部のインターネット決済(オンラインショッピング等)がご利用いただけなくなる可能性がございます。 【対応期限】 2026-07-14(当日中) [セキュリティ認証ページへ] 【ご対応手順】 ・上記ボタンより公式サイトへアクセス ・会員メニューにログイン後、「セキュリティ設定」を選択 ・画面の案内に従い、再認証を完了 三井住友カード カスタマーサービス お問い合わせ窓口:0120-324-8744(平日9:00〜17:00) 紛失・盗難専用窓口(24時間):0120-956-3854 © 2026 Sumitomo Mitsui Card Co., Ltd. All Rights Reserved. 東京都千代田区丸の内一丁目1番2号
受信した時点で「対応期限:2026-07-14(当日中)」とありますが、この記事を執筆している時点で既にその期限は過ぎています。当日中に脅すはずが、解析している頃にはとっくに期限切れという間の悪さで、慌てさせる仕掛けとしては早くも自爆気味です。
送信ルートの解析と偽装判定
メールヘッダーを解析したところ、表示上の送信者は"三井住友カード" <0hyd7@0hyd7.wuddhsdnva.com>となっており、三井住友カードの正規ドメイン(smbc-card.com、vpass.ne.jp等)とは一切関係のない、攻撃者が用意した使い捨てドメインです。
Received-SPFフィールドのclient-ip=値から特定した真の送信元IPは210.20.223.83(日本国内)でした。さらにヘッダーを遡ると、この送信元サーバーはsmtp.plan-framework.nagasaki.com [9.108.189.112]という認証済みクライアントからメールを受け取って中継していたことが判明しています。「nagasaki(長崎)」という日本の地名を含むドメイン名を名乗っていますが、実際にこのIPアドレスをジオロケーション調査したところアメリカ合衆国のIPアドレスであることが確認されました。地名を騙るドメイン名と実際の所在地が一致しない、典型的な偽装の一例です。
なお、これらの送信元ドメイン(wuddhsdnva.com系および plan-framework.nagasaki.com)は、本記事執筆時点で名前解決ができない状態(DNS未応答)であり、既に使い捨てられ閉鎖されたインフラである可能性が高いと考えられます。
💡 ここで!用語解説
SPF(Sender Policy Framework):送信元のサーバーが、そのドメインの管理者によってメール送信を許可されているかを確認する仕組みです。「SPF Pass」は「ドメイン所有者が設定した通りに送信されている」ことを示すだけで、送信者が本物の企業であることまでは保証しません。今回のように攻撃者自身が用意したドメインでも、自分でSPFを設定すれば簡単にPassになります。
DKIM(DomainKeys Identified Mail):メールが送信時から改ざんされていないかを電子署名で確認する仕組みです。こちらも攻撃者が自分のドメインで署名すれば成立してしまうため、正規メールである証明にはなりません。
ゼロ幅文字:画面上には表示されない「幅ゼロ」の特殊文字(U+200D・U+FEFF等)のことです。今回のメールは件名の日本語一文字ごとにこの見えない文字が挟み込まれており、迷惑メールフィルターの単語検知(キーワードマッチング)をすり抜けるための難読化手口と考えられます。
フィッシングサイトの詳細解析
メール本文中のボタンをクリックすると、まず以下のような「安全な接続を確認しています」という偽の確認画面が表示されます。

▲ 【第1段階】Cloudflare等の正規のボット確認機能を模倣した偽の確認画面。「確認」ボタンのクリックを促し、人間の被害者だけを次の段階へ通す仕組み
この画面をクリックすると、実際の誘導先はhxxps://weloveplaykitchens[.]com/CvqYbBhe/でした。ドメイン名から本来はベビー用品・おもちゃ関連の海外サイトと見られ、三井住友カードとは無関係の第三者ドメインが乗っ取られ、フィッシングの踏み台として悪用されている可能性が高いと考えられます。このIPアドレス(192.227.190.150)もアメリカ合衆国でした。
実際にこのURLへアクセスを試みたところ、セキュリティソフト「ウイルスバスター クラウド」が以下のように警告を表示し、アクセスをブロックしました。

▲ 【第2段階】セキュリティソフトが該当URLを「フィッシング」として明確に検知・ブロック。裏付けとして信頼性の高い判定です
警告を解除して先へ進むと、以下のような三井住友カードの会員サイト「Vpass」のログイン画面を精巧に模した偽サイトが表示されます。

▲ 【第3段階】本物のVpassサイトのデザインを忠実に再現した偽ログイン画面。VpassIDとパスワードの入力を求める
ここにVpassIDとパスワードを入力してしまうと、そのままアカウント情報が攻撃者に送信されます。絶対に入力しないでください。
同一テンプレートを使い回す一連の手口
今回の三井住友カード版は、当ラボが6月に解析したMyJCBを騙る偽「3Dセキュア再認証」詐欺メール、そして7月上旬に解析した楽天カードを騙る偽「3Dセキュア認証 有効期限切れ」メールと、文章構成・見出し・煽り文句のパターンがほぼ同一です。「3Dセキュア認証の有効期限切れ/再確認」という同じひな形を使い回し、標的ブランドのロゴと色だけを差し替えて量産している実態が、これで3ブランド分確認されたことになります。
注意点と対処法
- メール内のリンクやボタンは絶対にクリックしない:正規のVpassアプリ、またはブックマークした公式サイトから直接アクセスしてください。
- 三井住友カードが利用するメールドメインは
smbc-card.com等の公式ドメインのみです。それ以外のドメインから届いたメールはすべて偽物と判断してください。 - すでにVpassIDやパスワードを入力してしまった場合:直ちにVpassのパスワードを変更し、三井住友カードのお問い合わせ窓口(0120-324-8744)へ連絡してください。
- 三井住友カード公式のフィッシングメール事例ページもあわせてご確認ください。
MyJCB・楽天カードに続く同一テンプレートの第3弾です。クレジットカードをお持ちのご家族・ご友人にも、この記事を共有して注意を呼びかけてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
















