三井住友カード「セキュリティ認証再確認」詐欺メールの正体——豪州Azure中継+コロンビア法人回線ログインの二重構造をCloudflareも「詐欺」認定

HL-META: date=2026-07-11 | brand=三井住友カード | theme=Teal | geo=Azure(Melbourne,AU)+EPM(Medellin,CO) | auth=SPF-Pass(spoofed-domain)

【調査報告】最新の詐欺メール解析レポート

今回ご紹介するのは「三井住友カード」を騙るメールです。件名は「【三井住友カード】セキュリティシステム更新に伴う再認証の手続き」。カード会員向けの「セキュリティ認証(本人認証サービス)」の期限切れを装い、当日中の対応を迫るタイプの本人確認系フィッシングです。

解析の結果、送信元は豪州Azure上の中継サーバーと、コロンビアの法人固定回線からの認証ログインという二段構成であることが判明しました。誘導先のフィッシングサイトは、配信元のCloudflare自身が「詐欺サイトの疑いあり」として警告を出している状態です。

⚠️ このメールは三井住友カードを騙った偽物(フィッシングメール)です。メール内のリンクは絶対にクリックしないでください。

届いた詐欺メールの内容

実際に届いたメールの本文を、可能な限り忠実にテキストで再現します(デザインは実際のメールと多少異なる場合があります)。

実際に届いた詐欺メールの表示画面

件名:[spam]【三井住友カード】セキュリティシステム更新に伴う再認証の手続き

送信者表示:“三井住友カード" <noreply@jcrwrf.jamutw.com>

平素より三井住友カードをご利用いただき、誠にありがとうございます。
お客様のカードにご登録いただいております「セキュリティ認証(本人認証サービス)」の有効期限が切れているか、または再登録が必要な状態となっております。
セキュリティ強化のため、再認証手続きを弊社システムにてご依頼しております。
※再認証が完了しない場合、一部のインターネット決済(オンラインショッピング等)がご利用いただけなくなる可能性がございます。

要対応期限:2026-07-10(当日中)
対応内容:セキュリティ認証の再登録・ワンタイム認証手続き
対象カード:三井住友カード 全般(Visa / Mastercard / JCB)

「当日中」という具体的な期限を提示し、読み手に考える時間を与えず即座に行動させようとする、典型的な緊急性演出の手口です。

送信ルートの解析:なぜ「二段構成」と言えるのか

※メールヘッダー詳細は個人情報保護のため非掲載です。以下は当ラボが技術的に解析した結果のみを記載します。

まず、メールのSPF認証(送信元サーバーが正規に登録されているかを確認する仕組み)は「Pass」と表示されていました。しかし、これは送信元ドメインであるjcrwrf.jamutw.com自体が攻撃者の用意した詐称用ドメインであるため、Passという結果そのものに意味がありません。自分の家の表札を自分で「ここは正規の三井住友カードです」と書き換えているようなものだからです。

このドメインjcrwrf.jamutw.comの実体を調べたところ、以下の二段構成であることが分かりました。

  • ①中継サーバー(表向きの送信元)オーストラリア・メルボルンのMicrosoft Azure上でホスティングされているサーバー。ドメインjcrwrf.jamutw.comを名前解決すると、現在もこのIPが返ってきており稼働中です。
  • ②実際の操作元(認証ログイン元):メールサーバーのログを詳しく見ると、①のサーバーに対し、コロンビア・メデジンの法人固定回線から会員認証(ログイン)した上でメールが送信された記録が残っていました。IPの利用形態は「corporate(法人)」、ホスト名も固定IP用の命名規則になっており、乗っ取られた企業回線が悪用された可能性があります。

つまり攻撃者は、①の使い捨てクラウドサーバーを"送信の隠れ蓑"として用意し、②の(おそらく乗っ取った)法人回線から遠隔でログインしてメールを送信指示する、という役割分担をしていると考えられます。

💡ここで!SPFとは?

SPF(Sender Policy Framework)は、「このドメインからのメールは、このサーバーから送っていいですよ」とあらかじめ登録しておく仕組みです。正規企業のドメインでは効果を発揮しますが、今回のように攻撃者が自分で用意した偽ドメインにSPFを設定すれば、当然「Pass」になってしまいます。SPF Passは「安全」の証明にはならない、という点が重要です。

フィッシングサイトの正体

誘導先URL:hxxps://sdsdio.kfdxqo[.]com/

アクセスすると表示されるCloudflareの警告画面(Ray ID: a192d4375e338d2e)

このURLに実際にアクセスすると(※検証はHeartland-Labが安全な環境で実施)、フィッシングサイト自体ではなく、配信を仲介するCDN事業者であるCloudflareが独自に「Suspected Phishing(詐欺サイトの疑いあり)」という警告画面を表示し、アクセスをブロックしていました。

通常、この手のブロックはGoogleセーフブラウジングによるものが多いのですが、今回はCDN側が能動的に検知していた点が特徴的です。なお、このドメインはCloudflareのアニキャスト(anycast)技術で配信されているため、実際にサイトを運営しているサーバー(オリジンサーバー)がどの国にあるかは、このIPアドレスからは特定できません。

💡ここで!Cloudflareのanycast(エニーキャスト)とは?

世界中に置かれた複数の中継拠点のうち、アクセスした人に一番近い拠点が応答する仕組みです。便利な反面、この仕組みを経由すると「本当のサーバーがどこにあるか」を外部から調べることが技術的にできなくなります。フィッシング業者がCloudflareを好んで使う理由のひとつです。

メール本文に隠された小細工

受信したメールのソースを確認すると、日本語の文字と文字の間に、目に見えない特殊な制御文字(ゼロ幅文字)が大量に埋め込まれていました。

メール本文のHTMLソース。文字の合間に不可視文字が挿入されている

これは、迷惑メールフィルターが「セキュリティ認証」「再認証」といった単語をそのまま検知できないようにするための、古くからある難読化テクニックです。人間の目には普通の日本語として見えますが、機械的な単語検索には引っかかりにくくなります。手が込んでいるようで、実はコピペで使い回せる定番の小細工にすぎません。

まとめ:こんな時はどうする?

  • 「当日中」「至急」など期限を強調するメールは、まず疑ってください。
  • 三井住友カードの認証・確認手続きは、メール内のリンクではなく、必ず公式アプリまたはブックマークした公式サイトから行いましょう。
  • SPF認証が「Pass」と表示されていても、送信ドメイン自体が偽物であれば意味がありません。送信元アドレスの@より後ろのドメイン名が、公式のものと一致しているか必ず確認してください。
  • 万が一、リンク先にカード情報を入力してしまった場合は、速やかにカード裏面記載の窓口へ連絡し、カードの利用停止手続きを行ってください。

三井住友カード公式サイトでも、同種のフィッシング事例と見分け方が公開されています。あわせてご確認ください。

この記事が役に立ったら、ご家族やお知り合いにもぜひ共有してください。

この記事をLINEで送る


Data Provided by Heartland-Lab Security Research Unit
本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月11日)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
使用テーマ:Teal

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る