【解析】東洋証券を騙る「ポイント失効救済」詐欺メールと偽サイトの矛盾点

 

【調査報告】最新の詐欺メール解析レポート
分析対象:東洋証券を騙るフィッシング詐欺メールと偽サイトの構造

 

■ 最近のスパム動向


今回ご紹介するのは「東洋証券」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年現在、金融機関を騙るフィッシング詐欺は「季節性」を重視する傾向にあります。3月の年度末に向けた「ポイント失効」や「救済措置」という文言は、利用者の焦りを誘発する典型的なソーシャルエンジニアリングの手法です。

 

■ メール解析結果

件名 [spam]【特別対応】東洋証券ポイント失効前の救済措置について
件名の見出し 「[spam]」という判定は、送信元ドメインの信頼性(SPF/DKIM)が欠如していることを示します。
送信者 “トウヨウ” <txKKVqhGYk@pqjbcguh.cn>
受信日時 2026-03-06 12:14

 

▼ 送信者に関する情報の解析


送信者のドメイン「pqjbcguh.cn」は中国のトップレベルドメインであり、日本の国内証券会社が使用することは絶対にありません。また、送信者名が「トウヨウ」と片仮名である点も、公式なビジネスメールとしては著しく不自然です。

 

■ メール本文の再現

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。


◆ 有効期限を迎えるポイントに関するご案内
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

平素より東洋証券をご愛顧いただき誠にありがとうございます。

お客様が現在お持ちの東洋証券ポイントのうち、
一部が 2026年3月4日(水)をもって有効期限を迎える 予定です。

ただし今回、期限内に移行・交換が完了しなかった場合でも、
一部条件を満たすお客様を対象に 救済措置(延長申請)を実施いたします。

▼ 救済申請・移行手続きを行う
hXXps://www.barbarawalterfInear__s.com/?login=i1dVJw1mpG8Jr2fOHQp6A4vX

ログイン後、該当ポイント数および申請可能期間をご確認ください。
延長が認められた場合、即時に再有効化が行われます。

■ 救済申請受付期間
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2026年2月27日(金)~3月8日(日)

■ 救済対象条件(例)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・過去6ヶ月以内に取引実績のあるお客様
・投信積立または定期取引を継続中のお客様

※救済申請は1回限りとなります。失効後の再延長はできません。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
東洋証券株式会社
金融商品取引業者 関東財務局長(金商)第165号
monex . co . jp

Copyright(C) Monex, Inc. All Rights Reserved.

 

■ メールの目的と専門的見解


犯人の目的:
東洋証券の顧客を対象に、偽のログイン画面を通じて「部店コード」「口座番号」「パスワード」を盗み取ることです。取得された情報は即座に不正送金や資産の奪取に悪用されます。

このメール特有の怪しい点:
このメールの最大の矛盾は、ヘッダーで「東洋証券」を名乗りながら、署名が「monex.co.jp(マネックス証券)」になっている点です。これは犯人がマネックス証券を標的にした別の詐欺メールのテンプレートを流用し、編集をミスした動かぬ証拠です。また、金融機関の重要メールに必須の「宛名(氏名)」がありません。

 

■ メール回線関連情報(Received解析)

カッコ内のIPアドレスは、送信元を特定する信頼できる技術情報です。

Received(送信元) from pqjbcguh.cn (pqjbcguh.cn [34.102.86.128])
IPアドレス 34.102.86.128
ホスト名 128.86.102.34.bc.googleusercontent.com
ホスティング/国名 Google Cloud Platform / アメリカ合衆国 (USA)
ドメイン登録日 2026-03-02(攻撃開始のわずか4日前に取得されています)

 

[ip-sc.net:送信元IP解析エビデンスを確認]

 

■ リンク先フィッシングサイト解析

リンク箇所 本文中の「救済申請・移行手続きを行う」
リンク先URL hXXps://www.barbarawalterfInear__s.com/?login=… (伏字を含む)
直書きURL hXXps://www.agninfover.com/login (伏字を含む)
ブロック状況 現在、主要なブラウザやセキュリティソフトで順次ブロックされています。

▼ リンク先ドメイン・回線情報

IPアドレス 104.21.31.202
ホスト名 www.barbarawalterfinearts.com
ホスティング/国名 Cloudflare, Inc. / アメリカ合衆国 (USA)
ドメイン登録日 2026-02-22(攻撃キャンペーンに合わせて直近で取得)
サイトの状態 稼働中(非常に危険な状態です)

 

[ip-sc.net:リンク先IP解析エビデンスを確認]

 

■ 詐欺サイトの画像と偽者を見抜くポイント

ここに詐欺サイトの画像を挿入してください

【危険】偽サイトの指摘ポイント
1. URLが全く無関係:東洋証券の正当なドメイン(toyo-sec.co.jp)ではありません。
2. 不必要な「お気に入り」推奨:偽サイトに誘導し続けるため、ブラウザ登録を促します。
3. 誤記の修正:メールではマネックスの署名でしたが、サイト上では東洋証券のロゴとコピーライトに「修正」されています。しかし細部の不自然さは拭えません。

 

■ まとめと推奨対応


今回のケースは過去の事例と比較しても、異なる証券会社の情報を混同した非常にズサンな作りですが、サイト自体の見た目は精巧に作られています。メールのリンクからは絶対にログインしないでください。

公式サイトによる注意喚起:
東洋証券:セキュリティに関する重要なお知らせ(不審メールにご注意ください)

 

専門データ解析:ip-sc.net / テクニカル分析支援:Gemini 3 Flash

詐欺メール,証券・銀行関連、ネットワーク調査データサイバー犯罪対策,セキュリティレポート,なりすまし,フィッシング詐欺,ポイント失効,救済措置,東洋証券,解析データ,詐欺メール,迷惑メール

Posted by heart