【解析】moomoo証券偽メール「W-8BEN再提出」の詐欺サイトとIP特定
【調査報告】最新の詐欺メール解析レポート
解析対象:moomoo証券(ムームー)を装った税務情報更新スパム
| メールの解析結果:フィッシング詐欺(個人情報搾取目的) |
|
■ 最近のスパム動向
今回ご紹介するのは「moomoo証券」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年現在、新NISAの普及に伴い証券口座を持つユーザーが増加したことを背景に、米国株取引に必要な「W-8BEN(米国源泉徴収に係る受益者の居住者証明書)」の更新を口実とした詐欺が急増しています。確定申告や税制改正の時期に合わせ、「手続きをしないと源泉徴収が強化される」といった投資家の不安を煽る内容が特徴です。
|
■ 検体メール基本情報
| 件名: |
[spam] アカウント税務情報更新のご案内 – W-8BEN再提出のお願い |
| 件名の見出し: |
件名に「[spam]」という文字列が含まれています。これは受信サーバーのフィルタリング機能が、送信ドメイン認証の失敗やスパムトラップへの接触を確認し、危険なメールであると警告を出している状態です。 |
| 送信者: |
“Moomoo" <2gqqtb8drw144@zmtgncjf.xyz> |
| 受信日時: |
2026-02-27 07:45 |
|
■ 送信者に関する情報
送信元ドメイン「zmtgncjf.xyz」は、公式サイト(moomoo.com)とは一切関係がありません。".xyz"ドメインは安価で取得できるため、使い捨ての攻撃用ドメインとして悪用されるケースが非常に目立ちます。
|
■ 本文の再現(解析用)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
|
お客様各位,
お客様のアカウントに登録されている W-8BEN フォームが現在失効しており、有効な税務証明として利用できない状態となっております。
W-8BEN は、非米国税務居住者としての地位を証明し、適切な税務処理を行うための必須書類です。有効な書類が登録されていない場合、規制に基づき標準的な源泉徴収処理が適用される場合があります。
税務コンプライアンス維持のため、W-8BEN の更新が必要です。更新手続きにより、現在の税務情報をご確認いただき、新たな証明をご提出いただくことになります。
以下の公式ポータルよりお手続きください:
税務書類更新ポータル
(URL: https://tdfpexywllo.com/account )
ログイン後、案内に従って新しい W-8BEN を提出してください。審査完了後、更新が反映されます。
速やかなご対応をお願い申し上げます。
Sincerely,
Moomoo Team
*This is a system mail, please do not reply.
|
|
■ メールの目的および専門的な解説
【犯人の目的】
このメールの目的は、証券口座の「ログイン情報(ID・パスワード)」を盗み取ることです。さらにW-8BENの更新という名目で、マイナンバーや住所などの「個人情報」もセットで搾取しようとしています。
【デザインと不自然な点】
ロゴやフッターの免責事項(Disclaimer)を盗用し、本物っぽく仕上げていますが、宛名が「お客様各位,」となっており、金融機関としては極めて不自然です。また、日本国内向けの案内でありながら末尾が「Sincerely,」と英語になっている点も、海外の犯罪組織によるテンプレート流用の可能性を強く示唆しています。
【怪しい点と公式サイトの対応】
送信者アドレスが公式ドメイン(moomoo.com)でない点が最大の特徴です。moomoo証券の公式サイトでは、このような不審なメールや偽サイトへの注意喚起が常に行われています。
⇒ moomoo証券公式の注意喚起ページを確認する
|
■ Received(送信者情報) 技術レポート
以下のデータは送信に利用された通信記録であり、カッコ内のIPアドレスは信頼できる送信経路情報です。
| Received(送信者) |
from s.wrqvqshf.outbound-mail.sendgrid.net |
| IPアドレス |
149.72.70.15 |
| ホスティング社名 |
Twilio SendGrid (クラウド型配信システム) |
| 設置国 |
United States (アメリカ合衆国) |
| ドメイン登録状況 |
送信元ドメインは公式と無関係。偽装はないものの、攻撃用に用意された配信環境であることが明確です。 |
本レポートの根拠データ:
https://ip-sc.net/ja/r/149.72.70.15
|
■ リンク先(詐欺サイト)解析データ
| リンク箇所 |
「税務書類更新ポータル」というテキストに埋め込み |
| 誘導URL |
https://tdfpexywllo.com/account (伏せ字を含む) |
| IPアドレス |
172.67.147.195 |
| ホスティング社 |
Cloudflare, Inc. |
| 設置国 |
United States (アメリカ合衆国) |
| ドメイン登録日 |
2026年2月中旬(直近) |
【解析コメント】
このドメインは数日前に取得されたばかりです。正規の証券会社が重要書類の受付を「取得直後の見慣れないドメイン」で行うことはあり得ません。これはセキュリティフィルタに検知される前に使い捨てるための典型的な手法です。
サイト回線関連情報:
https://ip-sc.net/ja/r/172.67.147.195
|
■ 誘導先詐欺サイトの外観
以下は実際に誘導されるフィッシングサイトのログイン画面です。
|
[解析結果]:公式サイトのデザインを完全に模倣しています。 |
【危険と判断できるポイント】
サイトは現在も稼働中(解析時)であり、ウイルスバスターやGoogleによるブロックが追いついていない可能性があります。URLが公式の「moomoo.com」であることを必ず確認してください。
|
■ まとめ・推奨される対応
今回のような「税務情報の更新」を騙るメールは、過去のネット銀行詐欺などと同じく、一度情報を入力すると取り返しのつかない被害に繋がります。宛名の不自然さや、送信元ドメインの違和感に気づくことが重要です。
「不審なリンクは踏まず、公式アプリから確認を」
⇒ 再確認:moomoo証券公式の注意喚起ページ
|