りそなカードを装うフィッシング詐欺「3月お支払金額のお知らせ」徹底検証

2026年3月3日

【調査報告】最新の詐欺メール解析レポート
解析結果：りそなカードを騙るフィッシング詐欺（2026年3月発生検体）

■ 最近のスパム動向

今回ご紹介するのは「りそなカード」を騙るメールですが、その前に最近のスパムの動向について解説します。現在、年度末の決済集中時期（3月）を狙い、クレジットカードの利用確認を装う攻撃が急増しています。特に「確定申告」や「新生活準備」に伴う高額決済への不安を突く内容が主流となっており、本検体もその典型例と言えます。

■ メール基本データ

件名	[spam] 3月お支払金額のお知らせ
見出しの分析	件名の先頭にある「[spam]」の表記は、受信サーバーのセキュリティ機能が、送信ドメイン認証（SPF等）の失敗やブラックリスト登録を検知して自動付与した警告タグです。
送信者	りそなカード <information-wqAa@hotpepper.jp>
受信日時	2026-03-03 11:08

■ 送信元インフラ解析

送信元アドレスは「hotpepper.jp」となっており、りそなカードとは一切関係のないドメインから送信されています。これは攻撃者が正規サービスの脆弱なアカウントやサーバーを悪用して一斉送信を行っていることを示唆しています。

■ メールの本文構成（再現）

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

2026年3月14日
請求金額のお知らせ

2026年3月請求金額

確定	96,269円

・利用カード　りそなカード（VISA）
・支払い日　2026年03月14日
・支払い方法　口座振替

※ 請求金額の確定前にキャンセルされたり、お支払いいただくことにより、請求金額が0円となった方にも、ご利用内容をご確認いただくためにお送りしております。
※ お支払日までに、お手元に郵送された「振込依頼書」で金融機関からのお振込み、もしくはコンビニエンスストアでのお支払いをお願いいたします。
※ 複数のカードをお持ちの場合は、カードごとに請求金額のお知らせをメールでお送りしております。また、請求明細画面でも確認できます。

アプリで請求明細を確認する＞

アプリを利用できない方はウェブで請求明細を確認する

来月のポイント付与率を確認する

■ メールの目的と専門的考察

【犯人の目的】

このメールの目的は、受信者に「96,269円」という具体的な高額請求を突きつけることで、身に覚えのない支払いを止めなければならないという心理的パニックを誘発し、偽のログインサイトへ誘導することです。最終的には「カード番号」「有効期限」「セキュリティコード」「暗証番号」を盗み取ることが目的です。

【メールデザインの評価】

りそなグループのブランドカラーであるグリーン（#008542）に近い配色を使い、ロゴも正規のものを流用しています。一見すると非常に本物らしく見えますが、文中に受信者の氏名（宛名）が一切ないことが決定的なおかしな点です。

■ 危険なポイントと対処法

1. 送信ドメインの不整合
正規のりそなカードであれば、ドメインは必ず「resonacard.co.jp」です。今回の「hotpepper.jp」は明らかに偽物です。

2. 誘導先URLの不審点
公式サイトで現在、フィッシングメールに関する強い注意喚起が出ています。
≫ りそなカード公式サイトの注意喚起を確認する

■ 送信元（Received）の回線解析情報

以下のIPアドレスは、メールヘッダーより抽出された信頼できる送信元情報です。

送信経路ヘッダー: from C202602261842882.local (unknown [167.148.186.104])
送信IPアドレス: 167.148.186.104
ホスト名: bc.googleusercontent.com
ホスティング会社: Google Cloud
設置国: United States (アメリカ合衆国)

Google Cloudのインフラを利用して配信されています。これは攻撃者がクラウドサービスを一時的に契約し、使い捨てている可能性を示しています。

≫ [ip-sc.net] 167.148.186.104 の詳細解析データ

■ 誘導先リンクの技術解析

ボタン箇所: 「アプリで請求明細を確認する＞」に埋め込まれています。
誘導URL: hxxps://risona.zvfdf[.]com/auth/co.jp/
※安全性のため一部を伏字（[.]）にし、リンクを無効化しています。

ブロック検知: Google Safe Browsing およびウイルスバスターにより「フィッシング詐欺サイト」として遮断されています。

■ リンク先ドメイン・サーバー詳細

whois.domaintools.com および ip-sc.net より取得した根拠データです。

対象ドメイン: risona.zvfdf.com
IPアドレス: 104.21.31.221 (解析時点)
ホスト名: cloudflare.com
ホスティング会社: Cloudflare, Inc.
設置国: United States (アメリカ合衆国)
ドメイン登録日: 2026-02-26
登録者国名: China (CN)

【重要】ドメイン登録日に関する考察:
ドメインの登録日が「2026-02-26」と、メール送信のわずか数日前です。これはフィッシング攻撃を開始するためだけに新規取得された「使い捨てドメイン」であることを証明しています。

≫ [ip-sc.net] 取得したIPアドレス 104.21.31.221 の解析情報

■ リンク先サイトの状態

URLが危険と判断できるポイントは、公式サイトの構成（resonacard.co.jp）とは全く異なる不審な文字列「zvfdf.com」を含んでいる点です。

稼働状況: 解析時点では稼働中でしたが、現在は各ブラウザの警告により閲覧制限がかかっています。

■ リンク先サイトの画像（エラー画面）

We apologize, but your request has timed out. Please try again or check your internet connection. For further assistance, contact our support.

※誘導先のページは現在タイムアウトエラーを表示し、痕跡を隠蔽している可能性があります。

■ まとめ

今回の検体は、2026年3月の年度末を狙った非常に悪質なフィッシング詐欺です。過去の事例と比較しても、ドメインの取得から実行までのスピードが極めて速く、組織的な攻撃体制が伺えます。

心当たりのない請求メールを受け取った際は、メール内のリンクは一切触れず、ブックマークした公式サイトや公式アプリから状況を確認することを徹底してください。

公式サイトでの注意喚起を再度確認してください:
≫ フィッシングメールや不審なサイトへの注意について

Posted by heart