【詐欺判定】楽天アカウント登録情報の更新について｜送信元IPと偽サイトを特定

【調査報告】楽天を騙るフィッシングメール及び偽サイトの解析

本レポートは、配信されたスパムメールのヘッダー情報および、誘導先となっている詐欺サイトの通信ログを基にした技術検証資料です。

■ 最近のスパム動向

現在、大手ECサイトを標榜した「アカウント制限」や「支払い情報の更新」を騙る攻撃が恒常化しています。特に本検体のように、一見して正規の自動送信メールを模倣したデザインを採用し、ユーザーの焦りを誘う手法が主流です。これらは「フィッシング・アズ・ア・サービス（PHaaS）」等の基盤を悪用し、短期間に大量の使い捨てドメインを生成して攻撃を仕掛ける特徴があります。

■ 受信メール詳細

件名： [spam]【楽天会員】変更された会員情報が保存されませんでした（自動送信メール）
送信者： “Rakuten” <tanimotoyuka-0124@hat.tgbsypo.cn>
受信日時： 2026-03-07 13:00

【送信者情報の異常性】
送信元アドレスのドメインが「.cn（中国）」となっており、楽天の正規ドメイン（rakuten.co.jp）とは一切関係がありません。表示名だけを偽装する典型的ななりすましです。

■ メール本文の忠実な再現

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

【専門的見解】
本メールには正規の署名（住所・電話番号・配信停止リンク等）が一切存在しません。公式な自動送信メールにおいて、連絡先情報が欠落している点は決定的な偽装の証拠です。文字のみの構成は、HTMLメールによる検知を避ける意図が見て取れます。

■ 送信元（Received）解析データ

解析対象ホスト： hat.tgbsypo.cn
送信元IPアドレス： 102.129.75.250（※信頼できる送信元識別情報）
ホスティング社名： Hostinger International Ltd.
国名： Cyprus (キプロス)
ドメイン登録日： 2026年直近取得

【メール回線関連情報】
本メールの送信ルートおよびIPレピュテーションの詳細は以下のリンクから動的に参照可能です。本レポートの技術的根拠となります。
https://ip-sc.net/ja/r/102.129.75.250

■ 誘導先詐欺サイトの通信解析

誘導URL： https://uabrrdv.cn/●●/●●/（伏字処理済み）
リンク先IPアドレス： 104.21.31.218
ホスティング社名： Cloudflare, Inc.
国名： United States (アメリカ合衆国)
ドメイン登録日： 2026年直近取得

【登録日に関する分析】
ドメインの取得日が極めて最近である理由は、フィッシング詐欺グループがセキュリティ対策ソフトのブラックリスト登録を回避するために、新しいドメインを次々と使い捨てているためです。

▼ サイト回線関連情報（詳細）

IPアドレスに基づくネットワーク構成の解析データです。
https://ip-sc.net/ja/r/104.21.31.218

■ 詐欺サイト（偽ログイン画面）の検証

※ログインIDとパスワードの入力を促す偽画面を確認。

稼働状況： 現在稼働中、または一部環境でエラー（Timed out）を返しており、特定のターゲットのみを判別して表示させるクローキング手法が使われている可能性があります。
危険なポイント： 画面デザインは正規の楽天ログインページを完全にコピーしていますが、ブラウザのURLバーが「uabrrdv.cn」となっており、公式の「rakuten.co.jp」とは全く異なります。

■ セキュリティ対策まとめ

このメールの目的は、あなたの「楽天ログイン情報」および「クレジットカード詳細」を盗み出すことです。過去の事例と比較しても、誘導先のドメイン名が全く無関係な英数字であることから、自動生成ツールによる組織的な攻撃と推測されます。

対処法：
・受信したメールから直接リンクを踏まない。
・公式ウェブサイト（https://www.rakuten.co.jp/）を必ず手入力またはブックマークから開く。
・不審なメールは即座に削除、または迷惑メール報告を行う。

楽天公式による注意喚起：
【楽天公式】不審メールにご注意ください