【分析】2026年2月第3週スパム動向:VIEW/アメックス偽装の急増とQRコード誘導の罠
WEEKLY SUMMARY: No.3435 – 3487
今週観測されたフィッシング詐欺の傾向を、インフラ解析および統計的視点から集約しました。
- 観測ボリューム: 2月17日より平時の約25%〜30%に低下(春節要因と推定)
- 主な攻撃対象: VIEWカード、American Express、TS CUBIC 等のカード決済網
- 採用技術: QRコードによるクロスデバイス誘導、画像添付によるフィルタ回避
今週の主要検体リスト(No.3435〜3487)
当期間中に高い頻度で観測された「偽装件名」および「偽装送信者名」の抽出データです。これらのキーワードを含むメールは、最新のフィッシングスキームである可能性が極めて高いと判定されています。
※分析上の注意点: これらのメールは、公式のロゴを不正に使用した画像(logo_0018.png等)を「添付ファイル」として含んでいるケースが多く確認されています。通常の事務連絡でロゴが個別に添付されることはありません。
サイバー脅威インテリジェンス・レポート:2026年2月15日~2月22日期 攻撃トレンド分析
公開日: 2026年2月22日 | カテゴリ: 技術解析 / ネット犯罪抑止
1. 統計的考察:春節期間における攻撃リソースの急減現象
2026年2月17日から3月3日は中華圏での旧正月である春節、この時期は毎年日本国内を標的としたフィッシングメールの検体観測数が、平時の約25%〜30%にまで激減しています。この統計的特異点は、攻撃主体の地理的分布と密接に関係しています。
なぜ「春節」にスパムが止まるのか
- 攻撃拠点の集積地: 攻撃用コマンド&コントロール(C2)サーバーの管理や、メール送信スクリプトの運用を行うオペレーターの多くがアジア圏(特に中華圏)に集中しており、法定休日に伴い物理的に攻撃サイクルが停止します。
- 人的リソースの依存: 現代のフィッシング詐欺は自動化されている一方で、ドメインの取得や通報によるサイト閉鎖への対応(もぐら叩き)には「人の手」が必要です。春節休暇中はこれら維持管理の要員が不在となります。
- 今後の予測: 3月上旬の休暇明けには、未配信の攻撃リストが一斉に消化される「リバウンド現象」が予測されます。
2. 技術解析レポート:先週の検体 3435〜3487 に見る攻撃特性
当サイトの解析レポート(No.3435〜3487)に基づき、直近一週間の攻撃ベクトルを詳細に分類しました。
A. 検出回避(Evasion)技術の高度化
従来のテキストリンク方式から、「動的生成されたQRコード」および「画像添付型(Embedded Image)」への転換が顕著です。これは、メールゲートウェイでのURL静的スキャンをバイパスし、ユーザーをモバイルブラウザという「セキュリティの死角」へ誘導する意図があります。
B. インフラストラクチャの分析
送信元IPアドレスおよびReceivedヘッダーの追跡により、以下の共通項が判明しています。
| 項目 | 観測された特徴 |
|---|---|
| 送信ドメイン | 正規ドメイン(@americanexpress.com等)を装うが、Envelope-Fromは無関係なgTLDを使用。 |
| ドメインエイジ | フィッシングサイト用ドメインの多くは、攻撃開始の24〜72時間以内に取得。 |
| 配信経路 | 国内クラウド(ConoHa等)やGoogle Cloudの脆弱なインスタンスを中継。 |
3. 専門的推奨対策(Countermeasures)
組織および個人における防護策:
- ゼロトラスト・アクセスの徹底: メールのリンク・QRコードは「常に侵害されている」と想定し、ブックマークした公式サイト経由以外でのログインを行わない。
- SPF/DKIM/DMARCの検証状況確認: 多くの偽装メールはDMARC認証に失敗、あるいは未設定です。メーラーの「認証情報」を確認し、不整合がある場合は即廃棄。
- 心理的トリガーの無視: 「年会費充当」「アカウント停止」等の緊急性を煽るキーワードは、フィッシング詐欺の典型的なソーシャルエンジニアリング手法です。