【詐欺判定】三井住友カード「セキュリティシステム更新」再認証メールの正体 ― ゼロ幅文字で偽装された件名とイタリア発の送信インフラ

HL-META: date=2026-07-06 | brand=三井住友カード(SMBC/Vpass) | sender_geo=イタリア(中継元は英国) | site_geo=アメリカ合衆国 | spf=pass(詐称ドメイン自体の設定のため) | dkim=pass(詐称ドメイン自体の署名) | cloaking=no(ただし二次検証画面あり)

【詐欺判定】三井住友カード「セキュリティシステム更新」再認証メールの正体 ― ゼロ幅文字で偽装された件名とイタリア発の送信インフラ

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

三井住友カード(SMBC/Vpass)を騙り、「セキュリティ認証の有効期限切れ」を理由に本人確認を迫るフィッシングメールです。見た目は本物のメールテンプレートを忠実にコピーしていますが、件名部分には人間には見えない特殊な文字を1文字ごとに挟み込む、スパムフィルター回避のための難読化処理が施されていました。誘導先のフィッシングサイトは、調査時点で既にGoogle Chrome・ウイルスバスターの両方から危険サイトとして検知されています。

※重要:三井住友カードからのメールで、カード番号やパスワードなどの個人情報を直接尋ねることはありません。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★★☆ (4/5)

■ メールヘッダー解析(送信者情報)

件名:[spam]【三井住友カード】セキュリティシステム更新に伴う再認証の手続き(件名内部にゼロ幅文字による難読化あり)

送信者表示名:三井住友カード

送信元アドレス:noreply@tnhwud.dfbxr.com

受信日時:2026年7月5日(日)14:13

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、これは三井住友カードを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※実際に届いたメールの画面です。ロゴやレイアウトは本物のテンプレートを忠実にコピーしています。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


【重要】セキュリティ認証 再確認のお願い

平素より三井住友カードをご利用いただき、誠にありがとうございます。

お客様のカードにご登録いただいております「セキュリティ認証(本人認証サービス)」の有効期限が切れているか、または再登録が必要な状態となっております。
セキュリティ強化のため、再認証手続きを弊社システムにてご依頼しております。

※再認証が完了しない場合、一部のインターネット決済(オンラインショッピング等)がご利用いただけなくなる可能性がございます。

要対応期限:2026-07-05(当日中)
対応内容:セキュリティ認証の再登録・ワンタイム認証手続き
対象カード:三井住友カード全般(Visa / Mastercard / JCB)

ご対応手順(至急お願いいたします)
1. 下記「認証ページ」ボタンより三井住友カード公式サイトへアクセス
2. 会員メニューにログイン後、「セキュリティ設定」を選択
3. 画面の案内に従い、再認証(ワンタイム認証)を完了

誠にお手数をおかけしますが、期限内に手続きを完了いただけますようお願い申し上げます。

[セキュリティ認証ページ](リンク先:hxxps://wtlcxb[.]com/qQIZQDBz/) 本メールは送信専用アドレスより配信されています。ご返信いただいても回答できかねますので予めご了承ください。 三井住友カード カスタマーサービス お問い合わせ窓口:0120-324-984(日本国内通話無料) カード紛失・盗難専用窓口(24時間):0120-956-809 ※メールでのお問い合わせは受け付けておりません。 〒100-0005 東京都千代田区丸の内一丁目1番2号 2026 三井住友カード株式会社/SMBC Card|プライバシー規約

💡ここで!

「ゼロ幅文字」による難読化とは

画面上には何も表示されないのに、コンピューター内部ではきちんと「文字」として存在する特殊な記号(ゼロ幅非接合子・BOM等)のことです。これを単語の文字と文字の間に1つずつ挟み込むと、人間が見た目で読む分には普通の日本語なのに、スパムフィルターが「キーワードとして完全一致するか」をチェックする仕組みをすり抜けやすくなります。今回の件名や本文にも、この手口が使われていました。

※実際のメール本文データです。文字と文字の間に本来見えないはずの記号が挟み込まれているのが分かります。

※これだけ手の込んだ難読化を仕込んでいる一方で、メール本文には「お客様のカードにご登録いただいております」のような、正規メールをほぼそのままコピーしたと思われる丁寧な文面が使われています。技術的な小細工と、文面の借用元に対する律儀さのバランスが独特です(笑)。

■ 送信ルート及び偽装判定

【偽装判定】:
正規の三井住友カードからのメールは「smbc-card.com」等の公式ドメインから送信されます。本メールの送信ドメイン「tnhwud.dfbxr.com」は三井住友カードとは一切関係のない詐称ドメインです。なお、このドメイン自体にはSPF/DKIMが正しく設定されているため認証結果は「Pass」となりますが、これは「詐称ドメイン自身が自分に都合よく認証を通している」だけであり、三井住友カードの正当性を示すものではありません。

実際の送信元IPアドレス:72.146.13.202(送信ドメイン「tnhwud.dfbxr.com」自身の送信サーバー)
ロケーション:イタリア
詳細:ip-sc.netで確認する

さらに手前の中継元:149.194.225.148
接続時に名乗ったホスト名は日本の大学(京都大学)を思わせる文字列でしたが、実際のIPロケーションは英国でした。大学名などの信頼されやすい名称を騙る、典型的なホスト名詐称です。
詳細:ip-sc.netで確認する

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://wtlcxb[.]com/qQIZQDBz/(一部伏字)

リンクドメイン:wtlcxb.com

サイトサーバーIP:192.227.190.150
ロケーション:アメリカ合衆国
詳細:ip-sc.netで確認する

【サイトの状態】:調査時点で、Google Chrome(セーフブラウジング)とウイルスバスター クラウドの両方から、既にフィッシングサイトとして検知・ブロック対象になっていました。

※リンク先へアクセスすると、まずこの確認画面が表示されます。

 

※Google Chromeのセーフブラウジング機能により、危険なサイトとしてブロックされました。

 

※セキュリティソフト側でも、フィッシングサイトとして検知・ブロックされていました。

 

※警告を解除して進むと表示される、本物そっくりの偽Vpassログイン画面です。

■ 注意点と対処法

  1. ブラウザやセキュリティソフトの警告画面が出たら、絶対に解除して先へ進まないでください。その警告こそが最も信頼できる判断材料です。
  2. 送信元アドレスを確認:三井住友カードの正規メールは公式ドメイン(smbc-card.com等)からのみ送信されます。
  3. 利用状況の確認は公式アプリ・Vpassから:メール中のリンクではなく、いつも使っている公式アプリやブックマークからアクセスしてください。
  4. 公式注意喚起の参照:三井住友カード公式「弊社を装ったフィッシングメールの事例」(実際に確認されている件名の一覧が掲載されています)

本レポートの結論

三井住友カードを騙り「セキュリティ認証の再確認」を求めるフィッシングメールでした。件名にはスパムフィルター回避のためのゼロ幅文字が仕込まれ、送信インフラはイタリア・英国を経由。誘導先サイトはGoogle Chromeとウイルスバスターの両方から既に危険サイトとして検知されています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

※本記事に記載のIPアドレス・ロケーション情報・サイトの状態は調査時点のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る