【解析】Mastercardを騙る詐欺メール「会費に関する緊急のお知らせ」に注意
【調査報告】最新の詐欺メール解析レポート
最近のスパム動向:
今回ご紹介するのは「Mastercard」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年現在、決済ブランドを装ったフィッシング詐欺は、単なる情報の窃取だけでなく「短期間で使い捨てるインフラ」を多用する傾向にあります。特に年度末や会費更新時期を狙い、[spam]判定を回避するためにクラウドサービスを悪用するケースが急増しています。
|
■ 受信メール解析結果
| 件名 |
[spam] 【MasterCardカード】:会費に関する緊急のお知らせ |
| 件名の見出し |
冒頭の [spam] は、受信サーバーの検閲により、送信元の評価が著しく低い、あるいはなりすましの疑いが極めて強いと判断された際に付与される警告タグです。 |
| 送信者 |
order.fwvug@wawentq.cn
|
| 受信日時 |
2026-02-25 3:05 |
■ 送信者に関する詳細解析
送信元ドメイン「wawentq.cn」は中国の汎用ドメインであり、Mastercard公式サイトとは一切無関係です。送信経路に「bc.googleusercontent.com」が含まれる場合、攻撃者がGoogle Cloud Platformのインスタンスを悪用してメールを配信していることを示唆しており、正規のカード会社の配信インフラとは構造が完全に異なります。
|
■ メールの内容(本文再現)
このたびは、マスターカードをご利用いただきありがとうございます。
カード年会費のお支払い方法に問題があります。
カードの利用を一時停止しました。
年会費の支払い方法を更新してください。
▼ お支払い方法を更新する
hxxps://www.mastercard.co.jp/ja-jp/personal/fea***-bene***/sec***.html
お客様にはご迷惑、ご心配をお掛けし、誠に申し訳ございません。
何卒ご理解いただきたくお願い申しあげます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■発行者■
マスターカード ジャパン株式会社
東京都渋谷区桜丘町26番1号セルリアンタワー16階
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
@ 1994-2026 Mastercard.
無断転載および再配布を禁じます。
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。リンクは安全のため物理的に無効化し、一部を伏せ字(***)に変更しています。 |
■ メールの目的および専門的見解
【攻撃者の目的】
このメールの唯一の目的は、リンク先の偽サイトへ誘導し、クレジットカード情報(番号、有効期限、セキュリティコード)を盗み取ることです。
【専門的な解説】
デザイン面では、実在する本社の住所を記載することで信頼感を演出していますが、文章構成が極めて「素っ気ない」のが特徴です。また、宛名が「お客様」すらなく無記名である点は、不特定多数への一斉送信である決定的な証拠です。2026年という最新のコピーライトを記載しつつも、URLが偽装されている(表示と実際のリンク先が異なる)点は非常に稚拙な作りと言えます。
|
■ 危険なポイントと対処法
比較: 正規の送信元は「@mastercard.com」や「@orico.co.jp(提携先)」等ですが、本メールは「.cn」ドメインであり、完全に偽物です。
対処法: メール内のリンクは絶対に触れず、カードの利用状況は必ず公式サイトの「マイページ」や公式アプリから直接確認してください。
Mastercard公式によるフィッシング注意喚起はこちら
|
■ 送信元(Received)回線関連情報
| Received |
from unknown (HELO wawentq.cn) (150.5.128.132) |
| ※カッコ内のIPアドレス(150.5.128.132)は、攻撃者が送信に利用した信頼できる送信者情報です。 |
| IPアドレス |
150.5.128.132 |
| ホスト名 |
132.128.5.150.in-addr.arpa (Google Cloud Platform) |
| 設置国 |
Japan (JP) |
| ドメイン登録 |
wawentq.cn (最近取得 / WHOIS: 2026-02-10登録)
※攻撃開始の直前に取得されており、使い捨てを前提とした悪意ある取得と断定できます。 |
| 根拠データ |
ip-sc.net 解析レポート:150.5.128.132 |
■ リンク先ドメイン・サイト解析レポート
| 誘導先URL |
hxxps://producefold.ijvayq.cn/fea***-bene***/
※表示上のMastercardのURLとは全く異なるドメインへ飛ばされます。 |
| ウイルスブロック |
ウイルスバスター:ブロック確認済み |
| 稼働状況 |
稼働中(制限あり) |
| IPアドレス |
104.21.31.205 (Cloudflare) |
| 国名 |
United States (US) |
| ドメイン取得日 |
2026-02-20 (極めて最近)
※登録からわずか5日で攻撃に転用されています。これはセキュリティフィルタに検知される前に目的を達するための常套手段です。 |
| サイト回線情報 |
ip-sc.net 解析レポート:producefold.ijvayq.cn |
■ リンク先サイトの視覚的記録
| 【誘導先のタイムアウトエラー画面】
※画像2が示す通り、現在はタイムアウトを装ってアクセスを遮断、あるいは調査を回避する挙動を見せています。 |
■ 調査のまとめ
今回のMastercardを騙るメールは、過去の事例と比較しても文面が簡略化されており、リンク先ドメインも取得直後のものが使用されています。これは攻撃の「短命化」を象徴しており、ユーザーが気づく頃にはサイトを閉鎖し、次のドメインへ移行するサイクルを繰り返しています。怪しいと感じた段階で、情報は入力せず破棄することが最善の策です。
Mastercard公式:偽装メールに関する注意(再度確認)
|
|