【実録】「セキュリティシステム更新に伴う再認証の手続き」は詐欺！三井住友カード偽メールの正体と中国ドメインの罠を暴く

2026年6月15日

🔴 緊急度：高

【実録】三井住友カード偽メール「セキュリティシステム更新に伴う再認証の手続き」の正体：中国系ドメインからSPF/DKIM両認証をすり抜ける巧妙な偽装を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「セキュリティ認証の有効期限が切れている」「当日中に手続きをしないとオンラインショッピングが使えなくなる」——そんな焦りを煽る三井住友カードのなりすましメールが2026年6月13日前後に大量配信されていることを確認しました。送信元のドメインには堂々と「china-」という文字列が含まれているにもかかわらず、メール認証（SPF・DKIM）を両方クリアするという高度な偽装工作が施されています。さらに、フィッシングサイトへのアクセス時に「クローキング（アクセスした端末の種類によって表示内容を変える偽装手法）」を使ってセキュリティbot（自動検査プログラム）の調査をかわし、本物そっくりのVpassログイン画面に誘導します。Heartland-Labが全手口を徹底解析します。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)　当日期限・大量送信・高度偽装
偽装工作精度	★★★★☆ (4/5)　SPF/DKIM両Pass・クローキング実装・本物そっくりVpass偽ログイン

■ メールヘッダー解析（送信者情報）

件名：【三井住友カード】セキュリティシステム更新に伴う再認証の手続き

送信者名：三井住友カード

送信元アドレス：noreply@a8s9d0f1.china-leqiuzhibo.com

送信元ドメインIP：195.54.171.126（Contabo GmbH、ドイツ系VPS事業者）

SPF認証（送信元が本物かどうかを確認する仕組み）：Pass（mailfrom: a8s9d0f1.china-leqiuzhibo.com）

DKIM署名（メールが改ざんされていないか確認する仕組み）：Pass（d=a8s9d0f1.china-leqiuzhibo.com）

受信日時：2026年6月13日（土）14:13

▲ 届いた詐欺メール。「当日中」の期限設定で焦りを煽る典型的な手口

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

1. 詐欺メール本文の再現
2. 送信ルート及び偽装判定
3. クローキング（偽装アクセス制御）の確認
4. フィッシングサイト詳細解析
5. 注意点と対処法

詐欺メール本文の再現

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

件名：【三井住友カード】セキュリティシステム更新に伴う再認証の手続き

三井住友カード　SMBC Card

【重要】セキュリティ認証 再確認のお願い

平素より三井住友カードをご利用いただき、誠にありがとうございます。

お客様のカードにご登録いただいております「セキュリティ認証（本人認証サービス）」の有効期限が
切れているか、または再登録が必要な状態となっております。
セキュリティ強化のため、再認証手続きを弊社システムにてご依頼しております。

※再認証が完了しない場合、一部のインターネット決済（オンラインショッピング等）がご利用いた
だけなくなる可能性がございます。

─────────────────────────────
要対応期限　　2026-06-13（当日中）
対応内容　　　セキュリティ認証（本人認証サービス）の再登録・ワンタイム認証手続き
対象カード　　三井住友カード 全般（Visa / Mastercard / JCB）
─────────────────────────────

ご対応手順（至急お願いいたします）

1. 下記「認証ページ」ボタンより三井住友カード公式サイトへアクセス
2. 会員メニューにログイン後、「セキュリティ設定」を選択
3. 画面の案内に従い、再認証（ワンタイム認証）を完了

誠にお手数をおかけしますが、期限内に手続きを完了いただけますようお願い申し上げます。

　　　　　　【セキュリティ認証ページ】←（※フィッシングリンク・クリック禁止）

────────────────────────────────────
重要なご案内 / カスタマーサポート
────────────────────────────────────
三井住友カード カスタマーサポート
お問い合わせ窓口：0120-324-310（日本国内通話無料）
※上記番号をご利用いただけない場合：03-5539-2745
受付時間：平日 9:00〜17:00（土日祝日を除く）
カード紛失・盗難専用窓口（24時間）：0120-956-999

本メールはセキュリティ認証の期限が近いお客様に送信しております。三井住友カード株式会社からの重要な
お知らせです。
〒100-0005 東京都千代田区丸の内一丁目1番2号
© 2026 三井住友カード株式会社 / SMBC Card　|　プライバシー規約

⚠️ ここが怪しい！スタッフが気づいた偽物のサイン

送信元アドレスが noreply@a8s9d0f1.china-leqiuzhibo.com——「china-」の文字が入った明らかに三井住友カードとは無関係のドメイン
要対応期限が「当日中」——時間的プレッシャーで冷静な判断を奪う常套手段
「セキュリティ認証の有効期限が切れている」という根拠のない理由——実際にそのような通知を三井住友カードが送ることはありません
Visa・Mastercard・JCBすべての保有者に無差別送信している（対象を絞れないため全ブランドを列挙）

送信ルート及び偽装判定

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from a8s9d0f1.china-leqiuzhibo.com (unknown [161.33.203.191])

【偽装判定】：
三井住友カードの正規メールは @smbc-card.com または @smbc.co.jp ドメインから送信されます。本メールの送信ドメイン a8s9d0f1.china-leqiuzhibo.com はサブドメイン名に「china-（中国）」の文字を含む、三井住友カードとは一切無関係の第三者ドメインです。にもかかわらず、SPF認証（送信元が本物かどうかを確認する仕組み）とDKIM署名（メールが改ざんされていないか確認する仕組み）の両方をPassするよう事前に細工されており、多くのメールセキュリティフィルターをすり抜けます。これは攻撃者が専用のドメインと送信サーバーを用意してフィルター回避に多大な手間をかけている証拠であり、犯行の計画性の高さを示しています。

送信サーバーIPアドレス：195.54.171.126

インフラ：Contabo GmbH（ドイツ系格安VPS事業者。匿名性が高く犯罪者に悪用されやすい）

発信元ロケーション：香港近傍（195.54.171.x 帯のトレースルートによる推定）
Googleマップ：【位置情報を確認する（参考）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

List-Unsubscribeヘッダー（配信停止リンク）の悪用：
メールヘッダーに https://li.amartapura.com/unsubscribe?email=... という配信停止URLが記載されていますが、amartapura.com はDNS（インターネット上の住所録）が存在しない失効ドメインです。正規のメールマガジン配信を装うための偽装工作と判断されます。

クローキング（偽装アクセス制御）の確認

■ クローキング（アクセスした端末の種類によって表示内容を変える偽装手法）の実態

フィッシングサイトへのアクセス時、まず「安全な接続を確認しています。ブラウザのセキュリティを確認中です。」という画面が表示されます。これはセキュリティbot（自動検査プログラム）かどうかを見極めるための「関門」です。クリックやタップなどの人間らしい操作を確認したうえで偽ログイン画面を表示する仕組みになっており、自動検査をすり抜けるための巧妙な工夫です。

▲ アクセス直後に表示される「安全な接続を確認しています」画面。bot（自動プログラム）を篩にかける関門

この関門を突破すると、本物そっくりのVpass（三井住友カードの会員サービス）ログイン画面が表示されます。IDとパスワードを入力した瞬間、情報は攻撃者のサーバーへ送信されます。

▲ クローキングを突破した先に現れる偽Vpassログイン画面。本物と見分けがつかない精巧な作り

フィッシングサイト詳細解析

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://yxtdcj[.]com/ZXlTkIQZ/?ts=1781479516&sig=2cba39…（一部伏字）

リンクドメイン：yxtdcj.com（三井住友カード・SMBCとは一切無関係の意味不明な文字列ドメイン）

ドメイン登録日：whois.domaintools.com で確認

サイトサーバーIP：198.46.210.172

インフラ：ColoCrossing（米国のデータセンター事業者）

ロケーション：米国（ColoCrossing拠点）
Googleマップ：【位置情報を確認する（参考・Buffalo NY付近）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【セキュリティソフトによるブロック状況】：

🛡️ ウイルスバスタークラウド：フィッシングとして検出・ブロック済み
🛡️ Google セーフブラウジング（Chrome）：「危険なサイト」として警告表示
🛡️ Cloudflare：「Suspected Phishing（フィッシングの疑い）」として警告表示

▲ ウイルスバスタークラウドが「フィッシング」として検出・ブロック

▲ Google Chromeでも「危険なサイト」として赤い警告画面が表示される

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

注意点と対処法

■ 注意点と対処法

リンクをクリックしない：メール内の「セキュリティ認証ページ」ボタンは偽物です。絶対にクリックしないでください。
送信元アドレスを確認する：三井住友カードの正規メールは @smbc-card.com または @smbc.co.jp から届きます。それ以外のドメインからのメールは偽物です。
公式アプリ・ブックマークからアクセスする：Vpassへのログインは、必ずスマートフォンの公式Vpassアプリか、以前ご自身で登録したブックマークからアクセスしてください。
情報を入力してしまった場合：三井住友カードのカード紛失・盗難専用窓口（24時間）0120-956-999へ速やかにご連絡ください。カードの利用停止手続きを取ることが最優先です。
公式注意喚起の参照：三井住友カードフィッシング詐欺にご注意（公式）

■ 関連記事

当ブログでは過去にも三井住友カードを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

三井住友関連記事一覧

本レポートの結論

「当日中に再認証しないとショッピングが使えなくなる」という焦りを煽る三井住友カード偽メールが大量出回りしています。送信元には堂々と「china-（中国）」が入るドメインが使われているにもかかわらず、SPF・DKIMという2種類のメール認証を両方クリアするよう巧妙に偽装。さらにフィッシングサイトではクローキングでセキュリティ検査をかわし、本物そっくりの偽Vpassログイン画面でIDとパスワードを盗み取ろうとします。この手口はかなり手間をかけた計画的な犯行です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

📲 LINEで家族に共有する

調査日：2026年6月15日／ Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元：ip-sc.net