au PAY カード「お支払日のご案内」詐欺メール解析レポート(2026年3月版)
【調査報告】最新の詐欺メール解析レポート
メールの解析結果:au PAY カードを装ったフィッシング詐欺 | ■ 最近のスパム動向
今回ご紹介するのは「au PAY カード」を騙るメールですが、その前に最近のスパムの動向について解説します。現在、3月の年度末および4月の新生活に向けた決算・支払い時期を狙い、クレジットカードの利用確認を装う攻撃が激増しています。特に支払日(10日)の数日前に「支払金額」を具体的に提示して受信者を動揺させ、偽サイトへ誘導する手口が目立っており、本件はその典型例です。
| ■ メールの基本情報 | 件名: | [spam] 【au PAY カード】お支払日のご案内 | | 件名の見出し: | 冒頭に [spam] というタグが付与されています。これは送信ドメイン認証(SPF/DKIM)の失敗や、メールサーバーが過去の通報データに基づいて「迷惑メール」と自動判定した結果であり、この時点で詐欺である可能性が極めて濃厚です。 | | 送信者: | auかんたん決済 <no-reply-OJ2v@ar.em-net.ne.jp> | | 送信者情報: | 表示名は正規サービスを装っていますが、アドレスのドメイン(ar.em-net.ne.jp)はau公式のものではなく、全く無関係なプロバイダ回線が利用されています。 | | 受信日時: | 2026-03-08 12:40 | | ■ メール本文の再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
お客さまへ いつもau PAY カードをご利用いただき、ありがとうございます。 2026年3月のお支払日をご案内いたします。
ご登録口座への残高のご準備はお支払日の前営業日までにお願いします。 ▼カード情報
au PAY ゴールドカード(Mastercard) ————————-
▼お支払日
2026年3月10日(火) ▼お支払金額
26,930円 ▼お引落金融機関
**銀行 ▼ご利用明細のご確認はこちら
https://www.kddi-fs.com/rdr/110.***(URLの一部を伏せ字にしてリンクを無効化しています)
※メール到着後数日はお電話が大変込み合いますので、
24時間ご利用可能な会員さま専用サイトをご利用ください。 ▼住所変更はこちら
https://www.kddi-fs.com/rd.php?aid=m_170***(URLの一部を伏せ字) ■お問い合わせの前に
▼「ご請求額・ご利用明細」についてよくあるご質問はこちら
https://www.kddi-fs.com/rd.php?aid=cs17***(URLの一部を伏せ字) ※本メールにお心当たりのない場合やご不明な点がございましたら以下URLをご確認ください。
https://www.kddi-fs.com/rd.php?aid=cs17***(URLの一部を伏せ字)
※本メールは送信専用のため返信はお受けしておりません。
※「お支払日のご案内メール」を受信しない場合は以下URLよりお手続きください。
https://www.kddi-fs.com/rdr/104***(URLの一部を伏せ字) ────
auフィナンシャルサービス株式会社
https://www.kddi-fs.***(URLの一部を伏せ字)
—–
Copyright All Rights Reserved.
au Financial Service Corporation
s
| | ■ メールの目的及び専門的解析
【犯人の目的】
受信者に具体的な「支払金額(26,930円)」を提示して焦らせ、記載されたリンクをクリックさせて偽のログイン画面に誘導し、au IDやパスワード、クレジットカード情報を直接盗み取ることが目的です。 【解析レポート】
このメールは、ロゴ画像を使用せず文字情報だけで構成されています。署名部分を確認すると、会社名は記載されていますが、本来あるべき電話番号や所在地、公式な問い合わせ先が完全に欠落しており、ビジネスメールとしての体裁を成していません。また、本文中のURLは本物のドメイン(kddi-fs.com)を装っていますが、実際のリンク先は全く別の詐欺ドメインへとリダイレクトされる巧妙な作りになっています。
| ■ メールの送信元情報(Receivedヘッダー)
[送信経路データ]
解析結果:from C202603071853990.local (unknown [77.90.181.168])
※このカッコ内のIPアドレスは、偽装不可能な送信者の「生の情報」であり、信頼できる証拠データです。 [メール回線関連情報]
・送信元IPアドレス:77.90.181.168
・送信元ホスト名:unknown
・ホスティング社:M247 Europe SRL
・設置国:ルーマニア (Romania)
・ドメイン登録日:em-net.ne.jp(国内プロバイダの悪用、または踏み台にされた可能性) [本レポートの根拠データ]
送信元IPの完全解析:https://ip-sc.net/ja/r/77.90.181.168
| | ■ 誘導先サイトの技術解析
[偽装リンクの解析]
・リンクが付けられている箇所:本文内の全URL(すべて詐欺サイトへ誘導)
・実際のリンク先URL:https://tokyo-uc.auppay.sh**/index/jp/(一部伏せ字)
・セキュリティ検知:Google Safe Browsingにより「危険」と判定されています。 [サイト回線関連情報]
・リンクドメイン:tokyo-uc.auppay.shop
・リンク先IPアドレス:172.217.161.81(Google Cloud Platform)
・ホスティング社:Google LLC (bc.googleusercontent.com 経由)
・設置国:アメリカ合衆国 (United States) [ドメイン登録日・登録者]
・Whois取得結果:2026-03-05(送信日のわずか3日前に取得)
・コメント:登録日が極端に最近であることは、使い捨てのフィッシング詐欺ドメインである決定的な証拠です。 [解析の根拠データ]
サイト情報の詳細:https://ip-sc.net/ja/r/tokyo-uc.auppay.shop
| | ■ リンク先サイトの状態
現在、このリンク先は稼働していません。アクセスすると以下のエラーメッセージが表示されます。 【詐欺サイトのエラー表示画像】
 |
タイムアウトを装ったエラーページを表示させることで、セキュリティソフトの自動巡回を回避したり、被害者が何度もアクセスを試みる隙にデータを盗み取ろうとする意図が見られます。
| ■ まとめと推奨対応
過去の事例と比較しても、本件は「実在する支払日に合わせた攻撃」であり、非常に悪質です。送信元が海外回線(ルーマニア)であり、リンク先が数日前に取得されたばかりのドメインであるという事実を重く見てください。 【対処法】
・メール本文のリンクは絶対にタップしないでください。
・偽サイトに入力してしまった場合は、即座にカード会社へ連絡し、カードを停止してください。 au PAY カードの公式サイトでもフィッシング詐欺への注意喚起が行われています。必ず一次情報を確認するようにしてください。
フィッシングメールへの注意喚起(au PAY カード公式サイト):
| |