【Vポイント2000ポイント進呈は危険】三井住友カードを装う詐欺メール!スマホだけ偽サイトを表示する巧妙な手口を確認

Heartland-Lab Security Research Unit
調査レポート:三井住友カードを装う「Vポイント2000ポイント進呈」メール
PCではタイムアウト風のページ、スマートフォンではVpassを模したログイン画面へ誘導される、端末別の表示切り替えを確認しました。
| 危険度 | ★★★★★(非常に危険) |
| メール件名 | 【三井住友カード】会員登録情報の再確認のお願い(Vポイント進呈) |
| 受信日 | 2026年7月18日 |
| 送信元 | service@mail20.fjhjbbfgh[.]cfd |
| 送信元IP | 20.89.226.26 |
| メール認証 | SPF:Pass/DKIM:署名あり(検証結果は確認できず) |
| クローキング | 確認済み(PCとスマホで異なる表示) |
これは三井住友カードからの正規メールではありません。メール内のボタンを押したり、VpassID・パスワード・カード情報を入力したりしないでください。
暑さで注意力が落ちやすい時期ですが、「確認すれば2000ポイント」という言葉を見ても、まず差出人とリンク先を落ち着いて確認しましょう。
詐欺メールの内容
件名:【三井住友カード】会員登録情報の再確認のお願い(Vポイント進呈) 三井住友カード SMBC Card ご登録いただいている会員情報の再確認をお願いしております。 下記のボタンからVpassにログインいただき、 ご登録情報のご確認および更新手続きをお願いいたします。 Vポイント進呈について ご確認を完了いただいた会員さま全員に 2000 Vポイントを翌月中に付与いたします。
三井住友カードを装い、会員情報の再確認とVポイント進呈を案内するメール画面
「会員情報の再確認」と「2000 Vポイント」を組み合わせ、受信者を急いでログインさせようとしています。しかし、差出人ドメインは三井住友カードの公式ドメインではありません。
※メールヘッダー詳細は個人情報保護のため非掲載
送信ルートと偽装判定
| 確認項目 | 確認結果 |
| 差出人アドレス | service@mail20.fjhjbbfgh[.]cfd |
| SPF | Pass |
| DKIM | 署名は存在。ただし、提供された画面では検証結果を確認できません。 |
| 送信元IP | 20.89.226.26 |
SPFがPassでも安全とは限りません。 今回は攻撃者が自分で用意したドメインから、そのドメインのルールどおりに送信したため通過したと考えられます。三井住友カードの正規メールであることを証明するものではありません。
誘導先で確認したクローキング
メール内のリンクは、次の不審なURLへ誘導していました。
hxxps://pqtkd[.]cfd/nfpcmlho/
Heartland-Labで端末を変えて確認したところ、PCではタイムアウト風のページが表示され、スマートフォンでは別ドメインの偽Vpass画面へ転送されました。
クローキングとは、アクセスする端末やブラウザなどによって、見せるページを変える手口です。調査者や検索エンジンには無害そうなページを見せ、狙った利用者だけを偽サイトへ誘導するために使われます。
PC接続時:タイムアウト風ページ
PCでは「Sorry, your request timed out. Please try again or check your internet connection.」と表示され、フィッシング画面は確認できませんでした。
スマートフォン接続時:別ドメインへ転送
スマートフォンでは、次の別ドメインへ移動しました。
hxxps://ajcvnbvbdfh[.]cfd/zjuteyxi/
セキュリティソフトとブラウザも危険判定
アクセス時には、複数のセキュリティ機能がフィッシングの危険を警告しました。警告画面が出た場合は、先へ進まず閉じてください。
ウイルスバスター クラウドが表示したフィッシング警告
Google Chromeのセーフブラウジングによる危険サイト警告
Cloudflareが表示した「Suspected Phishing」の警告画面
スマホに表示された偽Vpass画面
Vpassを模したログイン画面。IDやパスワードを入力してはいけません
偽サイトはVpassの配色や項目をまねていますが、表示されているURLは公式サイトとは無関係です。ここで入力したIDやパスワードは、攻撃者へ送られるおそれがあります。
利用者を安心させるために表示されたとみられる「ロボットではないことを確認」画面
「セキュリティチェック」と書かれていても、ページ自体が安全になるわけではありません。むしろ、もっともらしい確認画面で警戒心を下げようとする演出に注意が必要です。
このメールが届いたときの対処法
- メール内のリンクを開かない。カード会社の確認は公式アプリや自分で登録したブックマークから行います。
- VpassID、パスワード、カード番号を入力しない。
- セキュリティ警告が表示されたら、「無視して続行」を選ばずページを閉じる。
- 入力してしまった場合は、公式窓口からパスワード変更やカード利用停止の手続きを行う。
- 同じパスワードをほかのサービスでも使っている場合は、そちらも変更する。
まとめ
今回のメールは、Vポイント2000ポイントを餌にVpassへのログインを促すフィッシングメールです。
特に、PCではエラー風ページを見せ、スマートフォンでは偽ログイン画面へ誘導するクローキングが確認されました。
「ポイント進呈」に心当たりがなくても、慌てる必要はありません。メールのリンクを使わず、公式アプリから確認してください。
Data Provided by Heartland-Lab Security Research Unit
IP情報の確認には ip-sc.net などを参照します。IP位置情報は接続基盤を示すもので、送信者本人の所在地を断定するものではありません。
使用配色テーマ:Teal(PRIMARY #134e4a / ACCENT #e65c00)














