【SBI証券】「多要素認証設定のお願い」は詐欺!偽URL thick****.cfd の正体を調査
【調査報告】最新の詐欺メール解析レポート
メールの解析結果:SBI証券を騙る多要素認証偽装フィッシングの検知
|
最近のスパム動向
今回ご紹介するのは「SBI証券」を騙るメールですが、その前に最近のスパムの動向について解説します。昨今、金融機関におけるセキュリティ強化が進む中、犯行グループは「多要素認証(MFA)の導入」や「取引制限の予告」といった、実在の公式通知を模倣した口実を多用しています。特に新年度や法改正の時期に合わせ、受信者の「正義感」や「焦燥感」を煽る手口が一般化しており、非常に高い技術密度で偽装されています。
|
メール基本情報
件名: [spam] 【SBI証券】セキュリティ設定のお願い(即時完了/取引制限事前通知)
件名の注記: 冒頭の[spam]タグは、サーバーが送信元情報の矛盾を検知し、自動付与した警告です。これが付いている時点で、送信元が偽装されていることは明白です。
送信者: “SBI証券" <mail@sbisec.co.jp>
受信日時: 2026-02-22 17:18
【送信者に関する重要情報】
送信者名は正規のアドレスを模倣していますが、後述する解析データ(Received)により、実態は全く無関係なサーバーから送信されていることが特定されました。これは受信者のメールアドレスを盗用した「なりすまし」の手口です。 |
解析対象メール本文(再現)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
SBI証券
お客様各位
平素よりSBI証券をご利用いただき誠にありがとうございます。
■サービスの継続利用に関する重要なお知らせ
より安全にサービスをご利用いただくため、「多要素認証(MFA)」の設定が必要です。
取引権限停止まであと7日|オンライン手続きの即時完了を。期限までに設定されない場合、サービス利用に制限が発生する可能性があります。
1. 多要素認証(MFA)の導入について
セキュリティ基準向上に伴い、多要素認証の導入を決定いたしました。
- 資産を不正アクセスから保護するための措置です
- ログイン時のセキュリティを強化します
- 設定後の変更管理はお客様自身で行えます
2. 設定手続きのご案内
下記よりログイン後、「セキュリティ設定」よりお手続きください。
SBI証券 公式サイトへアクセス(偽URL:https://www.thick****.cfd/kgTVP)
所要時間:約3-5分
■設定未完了時の対応について
2026年2月16日 17時30分までに設定が確認できない場合、金融庁のガイドラインに基づき利用制限を実施する場合があります。
制限解除には所定の書類の提出が必要となる場合があります。
※重要なお知らせ※
- 本設定はオンライン手続きで完了可能です
- 設定時には登録済み連絡先への確認コード送信が行われます
- 不審なメール?電話にはご注意ください
本通知はオンライン取引サービスをご利用のお客様に送付しております。お問い合わせ?設定済みの方は下記までご連絡ください。
SBI証券 カスタマーサービスセンター
電話:0120-104-214(受付時間:平日 8:00?17:00)
最終受付:2026年2月28日 17時30分まで
※2月28日のみ土曜日13時まで電話対応延長
c 2026 SBI Securities, Inc.
配信を停止する CUYR12G29O |
|
メールの目的とデザインの意図
【犯人の目的】
犯人の目的は、偽のログイン画面(フィッシングサイト)へ誘導し、お客様の「ユーザーネーム」「ログインパスワード」「取引パスワード」を根こそぎ盗み取ることです。盗まれた情報は即座に不正送金や資産売却に悪用されます。
【デザインと専門的感想】
本メールの構成において、末尾数行に水色の背景色を敷くテンプレートは、大手金融機関の公式通知を装う際によく使われる「詐欺メールの典型的な型」です。また、文末に「配信を停止する」といった無意味な英数字(CUYR12G29O)を配置することで、システムによる自動送信であるかのような信憑性を演出していますが、これこそが詐欺サイト共通のシグニチャーです。
注意点と対処法:
公式のSBI証券では、メール本文中にログインを促す直接リンクを貼ることは原則ありません。宛名が個人名ではなく「お客様各位」となっている点も不自然です。公式サイトでもこの種の手口に対し、強く注意喚起が行われています。
> SBI証券公式:不審なメールへの注意喚起を確認する
|
メール回線関連情報(送信元解析)
以下のデータは、このメールが実際にどこから送られてきたかを示す、改ざん不可能な証拠データです。
| 解析項目 |
解析結果データ |
| 送信IPアドレス |
34.97.242.14(信頼できる送信者情報) |
| 逆引きホスト名 |
14.242.97.34.bc.googleusercontent.com |
| 利用サービス |
Google Cloud Platform (GCP) |
| 国名 |
日本(Tokyo) |
技術解説:
ホスト名に含まれる「bc.googleusercontent.com」は、犯人がGoogleのクラウドサーバーをレンタルし、そこを踏み台として送信していることを示しています。送信ドメイン「martipeyzajbodrum.com」と公式ドメインは一切一致せず、完全な偽造です。
> 本レポートの根拠データ(ip-sc.net:34.97.242.14)
|
リンク先サイトおよびドメイン調査
リンク設置箇所: 本文中の「SBI証券 公式サイトへアクセス」に設定
偽装URL: https://www.thick****.cfd/kgTVP(※一部伏せ字。物理リンク無効化済)
セキュリティブロック: Google Safe Browsing、ウイルスバスター、Cloudflare各社により既に「フィッシング詐欺」としてブロックされています。
| ドメイン |
www.thickdisk.cfd |
| IPアドレス |
172.67.173.116 |
| ホスト名 |
cdn-cgi.cloudflare.com |
| 設置国 |
アメリカ合衆国 (Cloudflare) |
| ドメイン取得日 |
2026年2月中旬(ごく最近) |
【サイト回線関連情報と判断】
ドメインの取得日が直近であることは、攻撃のために「使い捨て」で用意された証拠です。正規のSBI証券が「.cfd」という金融と無関係なドメインを使うことはありません。現在、このサイトは稼働中であり、アクセスすると以下の偽ログイン画面が表示されます。
> サイト側回線解析データ(ip-sc.net:172.67.173.116)
> ドメイン登録詳細(whois.domaintools.com)
|
フィッシングサイト(偽ログイン画面)の全容
画像解析:
画像は、リンク先で稼働している偽のログイン画面です。ロゴやナビゲーションメニュー、さらには「関東財務局長(金商)第44号」といった公式の免責事項まで巧妙にコピーされています。しかし、ブラウザのアドレスバーを確認すれば、URLが「sbisec.co.jp」ではないことが一目でわかります。
|
まとめと最終警告
今回の事例は、実在のセキュリティ施策を悪用した極めて悪質なフィッシング詐欺です。過去の事例と比較しても、公式サイトの構造を丸ごとコピーする精巧さが増しています。
教訓:
・「取引制限」という言葉に惑わされないこと。
・メール内のリンクではなく、必ず検索エンジンで「SBI証券」と検索した公式サイトからアクセスすること。
> 【再掲】SBI証券 公式サイトへアクセスして安全を確認する
|
|