【解析】「カード利用の確定通知」はオリコを騙る詐欺!ロシア経由の巧妙な手口を暴く

/* メール本文再現エリア */
.email-reproduction {
background-color: #ffffff; /* メール内部のみ白(再現のため) */
color: #333333;
padding: 25px;
border: 1px solid #ccc;
font-size: 14px;
font-family: "MS PGothic", "Osaka", sans-serif;
line-height: 1.4;
margin: 20px 0;
}
.email-reproduction a {
color: #0000ee;
text-decoration: underline;
pointer-events: none; /* リンク無効化 */
}
/* データテーブル */
table {
width: 100%;
border-collapse: collapse;
margin: 15px 0;
}
th, td {
border: 1px solid #555;
padding: 10px;
text-align: left;
}
th { background-color: #333; width: 30%; }
/* 装飾 */
.irony { font-style: italic; color: #bbb; margin-bottom: 20px; }
このメールは「e-Orico」を装ったフィッシング詐欺です。
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
1. 最近のスパム動向
クレジットカード会社を騙るフィッシングメールは、近年ますます巧妙化しています。特に「利用確認」や「異常ログイン」といった、ユーザーの心理的な焦りを突く内容が主流となっており、公式と見紛うロゴや文面が流用されるケースが後を絶ちません。
2. 今週のスパム傾向
今週に入り、オリコカードを装った「[spam]」付きのメールが急増しています。ドメインの偽装はもちろんですが、今回はホスティングサービスを悪用した短縮URL風の誘導や、ロシア経由のサーバー利用が目立つ特徴となっています。
3. 前書き
「55,670円」のApp Store利用……。絶妙に「え、何買ったっけ?」と思わせる金額設定ですね。犯人も少しは市場調査をしたのでしょうか。もっとも、送信元が「creema.jp」というハンドメイドサイトのドメインを拝借している時点で、手作り感満載のツメの甘さが露呈していますが。
では、詳しく見ていくことにしましょう。
4. 件名
[spam] カード利用の確定通知
5. 件名の見出し
件名に [spam] が付与されている理由は、メールサーバーが送信元IP(ロシア等)のレピュテーションの低さや、送信ドメイン認証(SPF/DKIM)の不整合を検知したためです。このフラグがある時点で、開封せずに破棄すべき「黒」の判定です。
6. 送信者,受信日時
送信者: e-Orico株式会社 <no-reply-XYye@creema.jp>
受信日時: 2026-02-02 10:30
7. 本文(メール内容の再現)
「ご利用通知(確定)」をご希望されている方に「eオリコ」より配信しております。
◇ご案内
—————————————————————
カードのご利用情報を更新しましたので、お知らせします。
eオリコメニュー「ご利用状況>ご利用明細照会」よりご確認ください。
—————————————————————
●利用カード
■ 日時:2026年02月01日
■ 金額:55,670円
■ 利用先:App Store
—————————————————————
■ご利用に覚えのない場合について
—————————————————————
本メールは配信専用のため、ご返信いただいても、お問合せにお答えすることができません。
お心当たりのない場合やお問合せにつきましては、下記フォームよりご連絡ください。
――――――――――――――――――――
株式会社オリエントコーポレーション
〒102-8503 東京都千代田区麹町5-2-1オリコ本社ビル
――――――――――――――――――――
Copyright(c)Orient Corporation. All Rights Reserved.
8. 危険なポイント
送信者メールアドレスが @creema.jp となっており、オリコ公式サイト(orico.co.jp)とは一切関係がありません。他社の正規ドメインを乗っ取ったか、偽装して送信している点が最大の警告サインです。
9. 推奨される対応
メール内のリンクは一切触らず、ゴミ箱へ直行させてください。もし利用状況が気になる場合は、必ずブラウザのブックマーク、または公式アプリから「eオリコ」へログインしてください。
10. Received関連(メールヘッダー)
※以下はメールの配送経路を示すヘッダー情報であり、改ざん不能な送信元情報を含みます。
| Received | from im.cc (unknown [85.121.120.17]) |
|---|---|
| 判定 | カッコ内は信頼できる送信者情報であることを明記 |
| 送信元ドメイン | im.cc(正規ドメイン orico.co.jp と一致せず偽装確定) |
| IPアドレス | 85.121.120.17 |
| ホスティング社名 | Selectel Ltd. |
| 国名 | ロシア (Russia) |
11. リンク関連
本文内に表示されているURLは正規の orico.co.jp ですが、これは単なる「テキスト」です。実際に埋め込まれているリンク先は全く別のドメインへ誘導される仕組みになっています。
12. URLが危険と判断できるポイント
| 実際のリンク先 | h**ps://orico.sanerh.com/bcY49T (セキュリティのため一部伏字) |
|---|---|
| ドメイン名 | orico.sanerh.com |
| IPアドレス | 172.67.147.166 |
| ホスティング社名 | Cloudflare, Inc. |
| 国名 | アメリカ合衆国 (USA) |
ウイルスバスター等のセキュリティソフトによるブロックを潜り抜けるため、Cloudflareのネットワークを悪用して身元を隠蔽しています。
13. リンク先が稼働中かどうか
判定:現在も稼働中
現在もフィッシングサイトとして元気に活動しており、情報を盗み取ろうと待ち構えています。絶対にアクセスしないでください。
14. 詐欺サイトの画像
15. まとめ
今回のスパムは、実在するドメイン(creema.jp)の悪用と、ロシア経由のサーバー送信を組み合わせた悪質なものです。件名の [spam] 表記を見逃さず、少しでも違和感を覚えたら「リンクを触らない」を徹底しましょう。今後も怪しいメールの正体を暴いていきます。










