調査報告】三菱UFJ証券を騙る「多要素認証未・定」詐欺メール解析
■ 最近のスパム動向
今回ご紹介するのは「三菱UFJ証券」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年3月現在、新生活の準備や確定申告、年度末の事務手続きが重なる時期を狙い、金融機関を装った「本人確認」や「多要素認証の強制設定」を促すフィッシングメールが爆発的に増えています。犯行グループは、実在するセキュリティ強化のニュース(パスキー導入など)を悪用し、本物の公式サイトから盗用したロゴやデザインを流用することで、利用者を巧みに偽サイトへ誘導しようとしています。
|
■ 【調査報告】最新の詐欺メール解析レポート | 件名 | [spam] 【重要】多要素認証未・定の最終通知(3月15日まで) No.7827659 | | 件名の見出し | 冒頭に「[spam]」とあるのは、サーバー側で不審な配信元であると判定された証拠です。また「未・定」という不自然な記号使いや誤字も、機械的な一括送信を示唆しています。 | | 送信者 | “三菱UFJカード株式会社” <servere@sc.mufg.jp> | | 受信日時 | 2026-03-10 12:13 |
【送信者に関する情報】
送信者名は「三菱UFJカード」となっていますが、宛先ドメイン「sc.mufg.jp」は証券会社のドメインであり、組織名とアドレスの整合性が取れていません。また、後述する解析データの通り、このアドレスは偽装されたものです。 |
■ メール本文(再現)
三菱UFJ証券お客様各位 平素より三菱UFJ証券をご利用いただき、誠にありがとうございます。 ■セキュリティ強化のご協力のお願い お客様の大切な資産を不正アクセスから保護するため、「多要素認証(MFA)」の設定が必須となりました。 設定期限:2026年3月15日(日)17時30分 期限までに設定が完了しない場合、セキュリティ保護の観点から、お取引の一部を制限させていただく場合がございます。 1. 多要素認証(MFA) 導入の背景 昨今のセキュリティ環境の変化に対応し、お客様により安全にサービスをご利用いただくため、多要素認証を導入いたします。 - ID・パスワードに加え、スマートフォンなどを用いた追加認証を行います
- 第三者による不正ログインを防止し、口座のセキュリティが大幅に向上します
- 設定は一度完了すれば、以降のログインがよりスムーズになります
2. 設定手続きの流れ お手数をおかけしますが、以下のリンクよりログイン後、「セキュリティ設定」内の「多要素認証設定」からお手続きください。 https://entry.sc.mufg.jp/wps/SC0001/WPLETmgrR001C●ntrol/L●ginP●ge 手続きの所要時間:約3分 ■設定が未完了の場合 2026年3月15日 17時30分までに設定が確認できない場合、金融庁のガイドラインに基づき、口座からの出金や一部取引を制限させていただく可能性がございます。 制限解除には、本人確認書類のご提出など、所定の手続きが必要となります。 ※ご注意ください※ - 本設定はオンラインですべて完了します
- 設定時には、ご登録のメールアドレス宛に確認コードが送信されます
- 当社が電話やメールでパスワードをお伺いすることは絶対にございません。不審な連絡には十分ご注意ください
|
本通知は、三菱UFJ証券のオンライン取引サービスをご利用の全お客様にお送りしております。本件に関するお問い合わせ、または既に設定がお済みの方は、下記までご連絡ください。 三菱UFJ証券 カスタマーサポートセンター 電話:0120-123-456(受付時間:平日 8:00~17:00) ※3月15日(日)は13時まで電話対応を延長しております。 © 2026 Mitsubishi UFJ Securities Co., Ltd. 配信を停止する MUFJ-MFA-0326 |
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
|
■ メールの目的及び感想
【犯人の目的】
このメールの目的は、三菱UFJ証券の利用者から「口座番号」「ログインパスワード」を盗み取ることです。盗まれた情報は、不正送金や有価証券の不正売却による現金化に悪用されます。 【専門的な解説】 メール末尾の署名にある電話番号「0120-123-456」は、三菱UFJモルガン・スタンレー証券の正規のカスタマーセンター番号(0120-862-251など)とは全く異なる架空の番号です。このような細部の確認で偽物と断定できます。 また、本文の背景が白で、末尾の注意書き部分だけが水色になっているデザインは、フィッシング詐欺で多用される「信頼感を演出するためのテンプレート」です。 |
■ 送信元回線関連情報(Received解析) これは送信に利用した情報であり、カッコ内のIPアドレスは信頼できる送信者情報であることを明記します。 | Received | from mail20.zhun-qiyiguosport.com (8.92.110.136.bc.googleusercontent.com [136.110.92.8]) | | 送信者利用IP | 136.110.92.8 | | 送信者利用ホスト | 8.92.110.136.bc.googleusercontent.com | | ホスティング社 | Google LLC (Google Cloud) | | 国 | アメリカ合衆国 (United States) | | ドメイン登録日 | 2026-03-02 |
【解析コメント】
ホスト名に含まれる「bc.googleusercontent.com」は、Google Cloud上の汎用サーバーであることを示します。送信ドメインの登録日が送信のわずか数日前であることから、攻撃用に取得された使い捨てドメインであることは明白です。送信ドメインと表示アドレスが完全に乖離しており、高度な偽装が行われています。 ≫ 解析元データ:https://ip-sc.net/ja/r/136.110.92.8 |
■ リンク先(詐欺サイト)解析 メール内の誘導ボタンや直書きURLから飛ばされる先の詳細データです。 | リンク先URL | https://www.autobioluminesc●nt.cfd/0vv●lt(※伏せ字を含む) | | サイトの状態 | 稼働中(三菱UFJモルガン・スタンレー証券のそっくりページ) | | ブロック有無 | Googleおよび各セキュリティソフトにより「危険なサイト」としてブロック中 | ■ サイト回線関連情報 | リンク先IP | 104.21.24.185 | | ホスト名 | www.autobioluminescent.cfd | | ホスティング社 | Cloudflare, Inc. | | 国 | アメリカ合衆国 (United States) | | ドメイン取得日 | 2026-03-05 |
【危険なポイント】
ドメイン登録日が2026年3月5日と極めて最近です。これは攻撃者がセキュリティソフトのブラックリストに載る前に、短期間で情報を盗み取るために用意した「作りたて」のドメインであることを示しています。証券会社がこのような新興の「.cfd」ドメインを使用することは絶対にありません。
≫ リンク先の解析データ:[https://ip-sc.net/ja/r/104.21.24.185](https://ip-sc.net/ja/r/104.21.24.185) |
■ 詐欺サイトの画像 
【偽物を見抜くポイント】 このログイン画面は本物からソースコードをコピーして作られていますが、ブラウザのアドレスバーを確認すると正規の「sc.mufg.jp」ではなく、全く関係のない英単語のドメインが表示されています。また、過去の事例と比較しても、フッターの著作権表記(Copyright)の年号が最新に更新されているなど、騙すための努力が払われています。 |
■ まとめと対処法
三菱UFJ証券(三菱UFJモルガン・スタンレー証券)を装う今回のメールは、期限を設けて不安を煽る典型的なフィッシング詐欺です。
【注意点と対処方法】・メール内のリンクは絶対にクリックせず、公式サイトを直接検索してください。 ・差出人のメールアドレスと署名の電話番号が正規のものか、公式サイトで照合しましょう。 ・万が一入力してしまった場合は、直ちに証券会社の緊急連絡先へ電話し、口座を停止してください。 |
公式サイトでも同様のフィッシング詐欺について注意喚起が出ています。必ず確認するようにしてください。
三菱UFJモルガン・スタンレー証券:セキュリティへの取り組み(公式) |