【スパム解析】【重要】マネックス証券 MFA未設定の利用制限メールに注意!
このメールは「マネックス証券」を装ったフィッシング詐欺です。
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
最近のスパム動向
2026年に入り、金融機関を装った「多要素認証(MFA)」の導入を口実にしたフィッシング詐欺が爆発的に増加しています。法改正やセキュリティ強化のニュースに便乗し、ユーザーに「今すぐ対応しなければならない」と錯覚させる手口が共通しています。
今週のスパム傾向
今週は特にマネックス証券やSBI証券といった大手ネット証券のユーザーがターゲットにされています。週末や月末の「期限」を設定することで、カスタマーサポートが混雑する時間を狙い、公式サイトへの確認を遅らせようとする意図が見て取れます。
前書き:MFA未設定で利用制限?余計なお世話です
マネックス証券から、私の資産を守るための「熱烈な」督促メールが届きました。
どうやら私の口座はMFAを設定しないと使い物にならなくなるそうです。
親切にも期限まで秒読みで教えてくれるあたり、詐欺師の皆さんのタイムマネジメント能力には感服いたします。
まあ、私はマネックスの口座を持っていないので、制限される「資産」がどこにあるのか教えてほしいものですが。
では、詳しく見ていくことにしましょう。
件名
[spam] 【重要】サービス利用継続のための重要なお知らせ:MFA未設定の場合の利用制限について
件名の解析:なぜ [spam] か
件名に[spam]が自動付与されています。
これは、送信元ドメイン(monex.co.jp)が称するSPFレコードと、実際に配信されたサーバーのIPアドレスが一致しない「成りすまし」が検知されたためです。
送信者・受信日時
| 送信者 | “マネックス証券" <monexinfo@monex.co.jp> |
|---|---|
| 受信日 | 2026-01-28 |
| 受信時刻 | 8:08 |
本文
■ サービスの継続利用に関する重要なお知らせ
お客様により安全?快適にサービスをご利用いただくため、「多要素認証(M FA)」の設定を2026年1月31日(土)17時までに完了いただくようお願い申し上げます。
期限までに設定が完了されない場合、サービス利用に一部制限が発生する可能性がございます。
1. 多要素認証(MFA)の導入について
金融サービスのセキュリティ基準向上に伴い、当社ではより堅牢な認証方法として多要素認証の導入を決定いたしました。
お客様の資産を不正アクセスから保護するための重要な措置です
ログイン時のセキュリティを強化し、安心して取引いただけます
設定後も、認証方法の変更や管理はお客様ご自身で行っていただけます
2. 設定手続きのご案内
下記の公式サイトよりログイン後、「セキュリティ設定」よりお手続きください。
h**ps://open.monex.co.jp/open/servlet/ITS/account/AcOpenInfo2
所要時間の目安:約3~5分
■ 設定未完了時の対応について
2026年1月31日(土)17時までに設定が確認できないお客様については、
金融庁の定める「オンライン取引における顧客保護に関するガイドライン」に基づき、
預かり資産の保護を目的とした利用制限を実施させていただく場合がございます。
?重要なお知らせ?
本設定は、お客様ご自身によるオンライン手続きで完了可能です
設定時には、登録済みの連絡先(メールアドレス?電話番号)への確認コード送信が行われます
不審なメールや電話による個人情報の照会には応じないようご注意ください
本通知は、マネックス証券のオンライン取引サービスをご利用のお客様全員に送付しております。
本件に関するお問い合わせや、既に設定がお済みの場合につきましては、下記までご連絡ください。
マネックス証券 カスタマーサービスセンター
電話:+81-3-4323-3800(受付時間:平日 9:00~17:00)
最終受付:2026年1月31日(土)16時30分まで
※ 土曜日も13時まで電話対応を延長実施いたします(1月31日のみ)
? 2026 Monex, Inc. All Rights Reserved.
※実際のURLは二次被害防止のため「h**ps」と伏字にし、リンクを無効化しています。
危険なポイント
送信アドレスの不一致: 表示名は公式の monexinfo@monex.co.jp を使用していますが、中身は後述の通りGoogle Cloudから送信された偽物です。本物のマネックス証券からのメールであれば、SPF/DKIM/DMARCといった送信ドメイン認証がすべて成功し、[spam]タグはつきません。
推奨される対応
このメールはゴミ箱へ直行させてください。
絶対に本文中のリンクをクリックしてログイン情報を入力してはいけません。万が一入力してしまった場合は、即座にマネックス証券の公式サイト(検索エンジンやブックマークからアクセス)へ行き、パスワード変更と取引停止の相談をしてください。
Received(メールのヘッダー情報)
以下は、メールの改ざんが困難な経路情報です。カッコ内は信頼できる送信者情報です。
| Received情報 | from mail86.shopicantal15.com (231.195.187.35.bc.googleusercontent.com [35.187.195.231]) |
|---|---|
| Receivedドメイン | shopicantal15.com |
| Received IPアドレス | 35.187.195.231 |
| ホスティング社名 | Google LLC |
| 国名 | アメリカ合衆国 |
送信元に bc.googleusercontent.com が含まれています。これはGoogle Cloud Platform(GCP)の動的ホスト名であり、攻撃者がクラウドサーバーを一時的に借りてメールを大量送信している典型的な特徴です。公式のドメイン(monex.co.jp)と比較して、偽装されていることは明白です。
リンクが付けられている箇所
本文内の「h**ps://open.monex.co.jp/~」というテキスト自体に、以下の全く異なる悪意あるURLがリンクされています。
| リンク先URL | h**ps://www.threnodycode.cfd/0zOog1 |
|---|---|
| URLの伏字について | ※二次被害防止のため「h**ps」と一部伏字にしています。 |
URLが危険と判断できるポイント
ウイルスバスターやGoogleによるブロック: 既にウイルスバスター(Trend Micro)およびGoogleのセーフブラウジング機能によって、このドメインは「詐欺サイト」としてブラックリストに登録されています。
whois.domaintools.com 情報: 調査の結果、このドメイン「threnodycode.cfd」は最近取得されたばかりの使い捨てドメインであり、マネックス証券とは1ミリの接点もありません。
リンク先ドメイン・回線情報
| リンクドメイン | www.threnodycode.cfd |
|---|---|
| IPアドレス | 104.21.xx.xxx |
| ホスティング社名 | Cloudflare, Inc. |
| 国名 | アメリカ合衆国 |
| サイト回線関連情報 | CDN(Cloudflare)を介して身元を隠蔽しています。 |
リンク先の稼働状況
現在、この詐欺サイトは稼働中です。セキュリティソフトを導入していない環境では、本物そっくりの偽ログイン画面が表示されるため非常に危険です。
詐欺サイトの画像
【閲覧注意】本物そっくりに作られた偽のログイン画面です
※画像は解析のために取得したものです。公式のデザインを完全にコピーしており、URLを確認しない限り判別は不可能です。
まとめ
今回のスパムは、公式のメールアドレスを偽装し、さらにGoogle CloudやCloudflareといった信頼性の高いプラットフォームを悪用してフィルタリングを突破しようとする巧妙なものでした。
しかし、Receivedヘッダーの送信元や、リンク先ドメインを確認すれば、容易に偽物であると見抜けます。
「重要」「制限」という言葉に惑わされず、一呼吸置いて確認する癖をつけましょう。