[解析] 三菱カード年会費優遇キャンペーン詐欺メール調査
【調査報告】最新の詐欺メール解析レポート メールの解析結果:三菱UFJニコスを騙るフィッシング詐欺の構造分析 | 最近のスパム動向
今回ご紹介するのは「三菱UFJニコス」を騙るメールですが、その前に最近のスパムの動向について解説します。現在、新年度を控えた3月という時期を狙い、クレジットカードの「年会費」や「更新」にまつわる詐欺が激増しています。特に本事例のように、実在するキャンペーンを装い、数千円程度の「具体的な還元額」を提示して信憑性を持たせる手口が巧妙化しています。
| 拡散が確認されている類似件名のリスト 今回の調査個体以外にも、同一の詐欺本文を用いて以下の件名で拡散されていることが確認されています。これらはすべて同一の攻撃グループによるものと推測されます。 | ・【三菱】年会費特典のご案内 | | ・【三菱】年会費優遇について | | ・【三菱カード】年会費優遇キャンペーンのご案内 | | ・【三菱カード】いつもありがとうございます。年会費優遇のお知らせ | | ・【三菱カード会員様限定】特別年会費優遇のご案内 | | ・三菱カード 年会費無料キャンペーン実施中 | | ・【MUFG】年会費減免の対象となりました | 解析メモ: 件名に「特典」「減免」「無料」といった射幸心を煽るワードが含まれるのが特徴です。特に「MUFG」や「三菱」といった短縮表記を混ぜることで、正規の通知を装う傾向があります。 | 今回のメール基本情報 | 件名 | [spam] 三菱カード年会費優遇キャンペーン | | 件名の見出し([spam]) | サーバー側のフィルタリングにより、送信ドメインの認証失敗や不審な語彙パターンが検知されたため自動付与されています。 | | 送信者 | “三菱UFJニコス” <noreply@hint.be4free.com> | | 受信日時 | 2026-03-01 16:07 | | メール本文の忠実な再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。リンクは伏せ字・無効化済みです。
お客様カードご利用によるキャッシュバックキャンペーンの詳細 三菱UFJ銀行カードご利用による年会費充当キャンペーンの詳細 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ カード名称:三菱UFJ銀行カード
◆ 対象会員:三菱UFJ銀行カードをお持ちのすべての会員様
◆ お申込締切時間:72時間以内
◆ キャンペーン適用条件:カード利用回数が3回以上
◆ 年会費減免金額:2,750円
◆ キャンペーン参加入口:
→ hXXps://www.cr.mu***g.jp/index.html ご不明な点がございましたら、カスタマーサービスまでお問合せください。
→ hXXps://www.bk.mu***g.jp/index.html 今後とも「MUFG」のご利用をよろしくお願いいたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※本メールは送信専用です。
※本メールは「MUFG」にメールアドレスをご登録いただいており、「MUFG」で各種お申し込みをされた方にお送りしています。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ | | 専門的な技術解析と感想 【犯人の目的】
最大の目的は、三菱UFJニコスの偽ログイン画面へ誘導し、ID・パスワード、およびクレジットカード番号一式を盗み取ることです。取得された情報は即座に不正利用、または闇サイトで転売されるリスクがあります。
【メールのデザインと欠陥】
公式を模した体裁ですが、フォントの不自然な間隔や、特定の個人名を出さない「お客様」という呼びかけが稚拙です。また、三菱UFJニコスを名乗りながら送信元ドメインが「be4free.com」である点は致命的な矛盾です。非常に素っ気ない文面ですが、それゆえに事務的な連絡と誤認させようとする意図が透けて見えます。
→ 三菱UFJニコス公式の注意喚起を確認する | Received:送信経路解析データ 以下は送信に利用された物理サーバーの情報であり、カッコ内のIPアドレスは信頼できる送信元情報です。 | 送信元ホスト | from hint.be4free.com (5.6.118.34.bc.googleusercontent.com) | | 送信元IPアドレス | 34.118.6.5 | | ホスティング社名 | Google Cloud Platform | | 国名 | アメリカ合衆国 (United States) | | ドメイン解析 | bc.googleusercontent.comが含まれるため、Googleのクラウドサービスが悪用されています。正規ドメインと完全に不一致です。 | → 送信元IP 34.118.6.5 の詳細解析(ip-sc.net) | リンク先ドメイン・回線解析レポート | 表示上のURL | hXXps://www.cr.mu***g.jp/index.html (偽装) | | 実際の誘導先URL | hXXps://hzqbcy.com/verification/ (一部伏せ字) | | ブロック検知 | ウイルスバスターおよびCloudflareにより危険サイトとして即座にブロックされました。 | | リンク先IPアドレス | 172.67.147.164 (Cloudflare経由) | | 設置国 / ホスト | アメリカ合衆国 / Cloudflare, Inc. | | ドメイン登録日 | 最近取得されたドメインです。使い捨て前提でキャンペーン直前に取得されており、信頼性は皆無です。 | | サイト稼働状況 | 稼働中ですが、セキュリティフィルタによりアクセスが遮断されています。 | → リンク先IP 172.67.147.164 の詳細解析(ip-sc.net) | 詐欺サイト(リンク先)の状態 アクセスを試みた際、以下のタイムアウトエラーが表示されました。これは攻撃者がサーバーを停止させたか、セキュリティ対策により接続が遮断されたことを示しています。 
“Sorry, your request timed out. Please try again…” と表示されるエラーページ | まとめ:過去事例との比較
今回の事例は、昨年末に流行した「三井住友カード」の詐欺手法を「三菱UFJニコス」にそのままスライドさせたような構造です。URLの伏せ字(mu***g.jp)を使い、一見公式に見せる手口は非常に卑劣です。今後も年度末にかけて同様のメールが送信されることが予想されます。
→ 改めて、公式サイトでの注意喚起を確認してください | |