【解析】「auかんたん決済」を騙る詐欺メールを解剖:オランダ経由の不審な配信元と偽サイトの実態

【調査報告】最新の詐欺メール解析レポート
メールの解析結果:フィッシング詐欺(au PAY カードを偽装)

 

最近のスパム動向と前書き


今回ご紹介するのは「au PAY カード」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年3月に入り、新生活の準備や決済機会の増加に便乗し、実在する「支払日(10日)」や「引き落とし金額」を具体的に提示して受信者を動揺させる手法が急増しています。特にMastercardブランドを名指しすることで、対象者を絞り込み、情報の信頼性を誤認させる高度な心理作戦が展開されています。

 

解析対象メール基本情報


件名: [spam] 【au PAY カード】お支払日のご案内
件名の見出し: スパム警告([spam])が付与されている理由として、送信元サーバーのIPアドレスが国際的なブラックリストに登録されている、またはSPF等の送信元認証に失敗していることが挙げられます。
送信者: “auかんたん決済” <no-reply-Rmyh@mycolor.jp>
受信日時: 2026-03-08 13:37
送信者に関する情報: 送信元のアドレスは「mycolor.jp」という無関係なドメインです。もし送信者が「受信者のアドレス」と同じだった場合は、アドレス盗用による「なりすまし」が疑われますが、本件は全く別の無関係なドメインをそのまま使用しています。

 

メール本文の完全再現

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。


お客さまへ

いつもau PAY カードをご利用いただき、ありがとうございます。

2026年3月のお支払日をご案内いたします。
ご登録口座への残高のご準備はお支払日の前営業日までにお願いします。

▼カード情報
au PAY ゴールドカード(Mastercard)

——————
▼お支払日
2026年3月10日(火)

▼お支払金額
26,930円

▼お引落金融機関
**銀行

▼ご利用明細のご確認はこちら
https://www.kddi-fs.com/rdr/1[伏字].php
※メール到着後数日はお電話が大変込み合いますので、
24時間ご利用可能な会員さま専用サイトをご利用ください。

▼住所変更はこちら
https://www.kddi-fs.com/rd.php?aid=m_[伏字]

■お問い合わせの前に
▼「ご請求額・ご利用明細」についてよくあるご質問はこちら
https://www.kddi-fs.com/rd.php?aid=cs[伏字]

※本メールにお心当たりのない場合やご不明な点がございましたら以下URLをご確認ください。
https://www.kddi-fs.com/rd.php?aid=cs[伏字]
※本メールは送信専用のため返信はお受けしておりません。
※「お支払日のご案内メール」を受信しない場合は以下URLよりお手続きください。
https://www.kddi-fs.com/rdr/10[伏字].php

——————
auフィナンシャルサービス株式会社
https://www.kddi-fs.com/

Copyright All Rights Reserved.
au Financial Service Corporation
s

 

メールの目的及び感想


犯人の目的: 受信者を偽のログイン画面(フィッシングサイト)へ誘導し、au ID、パスワード、クレジットカード番号、有効期限、セキュリティコードを盗み出すことです。

メールのデザイン: 公式ロゴが一切使われておらず、非常に簡素なテキストベースの構成です。特におかしな点として、「署名に電話番号の記載がない」ことが挙げられます。正規の金融機関であれば、必ずサポート窓口の電話番号が明記されますが、このメールには文字ばかりで具体的な連絡先がありません。これは、電話で確認されることを避ける犯人側の意図が透けて見えます。

 

Received:送信元回線解析データ


以下のデータは送信に利用された情報であり、カッコ内のIPアドレスは信頼できる送信者情報の指標です。

送信元ドメイン C202603071827605.local (偽装の可能性大)
送信IPアドレス 77.90.181.107
ホスティング社 Hostkey B.V.(レンタルサーバー)
設置国 オランダ (Netherlands)


送信元ドメインとIPアドレスの所在が全く一致しておらず、オランダのレンタルサーバーを中継して送信されています。
≫ ip-sc.net で送信元回線情報を解析

 

リンク関連およびサイト解析


リンク箇所: 「ご利用明細のご確認はこちら」等のボタン部分。
リンク先URL: https://tokyo-uc.auppay.s[伏字]/index/jp/(※伏字を含む)
ブロック有無: Google Safe Browsing および ウイルスバスターにより現在ブロックされています。

リンクドメイン tokyo-uc.auppay.shop
IPアドレス 172.67.147.18
ホスティング社 Cloudflare, Inc.
設置国 アメリカ合衆国 (United States)
ドメイン登録日 2026-03-05(※3日前に新規取得)


ドメイン登録日が事件発生の直前であることは、フィッシング詐欺サイトの典型的な特徴です。短期間の使い捨て目的で用意されたドメインです。
≫ ip-sc.net でリンク先サイト回線を解析

 

リンク先サイトの状態と画像


現在、リンク先は稼働していません。アクセスすると「We apologize, but your request has timed out.」というタイムアウトエラーが表示されます。これは通報によりサーバーが停止したか、犯人が足跡を消すために遮断した可能性があります。

【詐欺サイトの画像(エラー画面)】

 

まとめ:メールの注意点と対処方法


今回の「au PAY カード」を装うメールは、送信者のドメイン、署名の不備(電話番号なし)、そして急造されたドメインへの誘導という、偽物を見抜くポイントが多岐にわたります。過去の事例と比較しても、特定の支払額を提示する「焦り」の演出が際立っています。

公式サイトでも同様のフィッシング詐欺に対する強い注意喚起が出ています。必ず以下のリンクから、正規の情報を確認するようにしてください。

公式サイト:フィッシング詐欺に関するご注意
https://www.kddi-fs.com/security/tips/phishing/

デジタルauPAYカード,クレジットカード詐欺,スパムメール,セキュリティレポート,なりすまし,フィッシング詐欺,個人情報流出,支払日のご案内,注意喚起,詐欺メール

Posted by heart