【解析】[spam] Visaカード登録に係る情報の確認…詐欺メール調査報告
【調査報告】最新の詐欺メール解析レポート
レポート識別番号:VISA-SPAM-20260301
|
最近のスパム動向
今回ご紹介するのは「Visaカード」を騙るメールですが、その前に最近のスパム動向を解説します。2026年現在、クレジットカード会社を装ったフィッシング詐欺は、AIによる自然な日本語生成と、短期間で使い捨てられる新興ドメイン(.cnや.top等)を組み合わせた「高頻度・短寿命型」に移行しています。特に国際ブランドは利用者が多いため常に標的となっており、アカウント制限を口実に心理的な焦りを誘発させる手口が主流です。 |
メール受信情報と解析結果
| 件名 |
[spam] Visaカード登録に係る情報の確認をお願い申し上げます。 |
| 件名の見出し |
冒頭の「[spam]」は、サーバーのスパムフィルターがメールヘッダーや送信元IPの評判(レピュテーション)に基づき、自動的に危険と判断した際に付与される警告タグです。 |
| 送信者 |
“Visaカード" <yoichiujikawa1956@service6.qefrmdm.cn> |
| 受信日時 |
2026-03-01 3:38 |
|
メール本文の完全再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。リンクはすべて無効化済みです。
aaa@bbb.co.jpVisaカードを日頃からご利用いただき、感謝申し上げます。
お客様のアカウントにおいて、確認が必要な取引が発見されました。
これにより、一時的にサービスを制限させていただいております。
登録された電話番号に連絡できなかったため、メールにてお知らせしています。
ご返信がない場合、制限が続くことがありますのでご注意ください。
認証手続きを進める
ご不明な点がございましたら、VISAカスタマーサービスまでお問い合わせください。
皆さまに安心してカードをご利用いただくため、ご理解とご協力をお願い申し上げます。 |
|
専門的解析:犯人の目的と不審点
■ 犯人の目的:
このメールの最終的な目的は、偽の認証ページ(フィッシングサイト)へ誘導し、クレジットカード番号、有効期限、セキュリティコード、およびVpass等のログイン情報を窃取することです。盗まれた情報は即座に不正決済や闇市場での売買に利用されます。
■ メールデザインの怪しい点:
公式ロゴの使用がなく、全体的に素っ気ないテキストベースの構成です。また、公式サイトでは「お客様の氏名を含まないメールでカード情報の入力を求めることはない」と強く注意喚起されています。送信元ドメインが「.cn(中国)」である点は、国際ブランドのVisaカードとしては決定的な矛盾です。 |
Received:送信元回線の技術解析
以下のIPアドレスは、メールヘッダーから抽出された「信頼できる送信者情報」です。
| 送信元ドメイン |
service6.qefrmdm.cn |
| 送信元IPアドレス |
212.108.115.228 |
| ホスト・回線情報 |
G-Core Labs S.A. (ルクセンブルク) |
| ドメイン登録日 |
2026-02-15(調査時点から約2週間前) |
| 登録情報の所感 |
登録から日が浅いのは、通報によるドメイン凍結を前提とした「使い捨て攻撃」である典型的な証拠です。 |
| 回線詳細解析 |
https://ip-sc.net/ja/r/212.108.115.228 |
|
リンク先サイト(詐欺サイト)の稼働状況
本文内の「認証手続きを進める」には、以下の危険なURLが仕込まれていました。
| 誘導先URL |
hXXps://tjwltil.cn/n2/d2/f1/sa=visas/
(※伏字を含む。直接リンクは無効化済み) |
| サイトIPアドレス |
104.21.31.22 |
| ホスト名 |
Cloudflare, Inc. (米国) |
| ドメイン登録日 |
2026-02-28(受信の前日に急造) |
| サイト回線情報 |
https://ip-sc.net/ja/r/104.21.31.22 |
【詐欺サイトの現在の状態:エラー表示により潜伏中】
| We apologize, but your request has timed out. Please try again or check your internet connection. For further assistance, contact our support. |
現在、ウイルスバスター等のセキュリティソフトでは「タイムアウトエラー」として処理され、直接的なフィッシング画面は表示されませんが、これは法執行機関や調査からの「逃げ」または特定の環境(スマホ等)のみを狙うための挙動である可能性があります。 |
まとめと推奨対応
今回の事例は、ドメイン登録からわずか数日で攻撃を開始する「ヒット・アンド・アウェイ」型の典型です。過去の事例と比較しても、公式サイトからの注意喚起が既に出されているパターンと酷似しています。
■ 注意点と対処法:
・送信元のアドレスが「.cn」など海外ドメインでないか確認する。
・不審なリンクは絶対にクリックせず、ブックマークした公式サイトからログインする。
Visa公式サイトによるフィッシング注意喚起を確認する
|
|