SBI証券偽メール「ストップ安」に注意!誘導先ドメインと送信元を調査
【調査報告】最新の詐欺メール解析レポート メールの解析結果:独自技術データに基づく検証ドキュメント
■ 最近のスパム動向 今回ご紹介するのは「SBI証券」を騙るメールですが、その前に最近のスパム動向を解説します。2026年4月現在、新年度の資産形成や株価変動を逆手に取った「緊急通知型」の詐欺が激増しています。特に「ストップ安」という投資家が最も嫌うワードを件名に入れることで、確認を急がせる心理的トラップが特徴です。 ■ 解析対象メール基本情報 | 件名 | [spam] 【重要】ストップ安発生通知|お客様保有銘柄の資産価値が急減しています(SBI証券) | | 件名の見出し | [spam]判定あり(メールサーバーの検疫により「スパム」と断定されています) | | 送信者 | “株式会社SBI証券” <admin@sbigroup.co.jp> | | 受信日時 | 2026-04-03 08:53 | | 送信者情報 | 表示名は正規名ですが、ドメイン sbigroup.co.jp はSBIグループのアドレスを装ったなりすましです。 | ■ 本文の再現(解析用) ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 | +件名 [spam] 【重要】ストップ安発生通知|お客様保有銘柄の資産価値が急減しています(SBI証券)
==【SBI証券:緊急株価通知サービス】== sbisec. co. jp == ●● 様 日頃はSBI証券をご利用いただきまして誠にありがとうございます。 本日(2026年1月14日)、市場においてお客様が保有する銘柄に重大な株価急落(ストップ安)が発生いたしました。
株価が値幅制限の下限に達したことで、お客様の資産価値が大幅に減少している可能性がございます。 資産への深刻な影響が予想されますため、以下の専用ページにて緊急に詳細をご確認ください。 ▼緊急詳細確認ページ(公式)はこちら
hXXps://login.mynursingnote[.]com/?Control=LVtamvgj7HAhUxABYdvVpbIB
株式市場の激しい変動に伴う緊急措置でございます。お早めのご確認・ご対応を強く推奨いたします。 ————————————————————
【通知サービス設定確認・変更方法】
設定変更はSBI証券ウェブサイトの「Eメール通知サービス」画面からお願いいたします。
————————————————————
【金融商品取引法等に関する重要表示】
search. sbisec. co. jp
————————————————————
発行:株式会社SBI証券 金融商品取引業者・商品先物取引業者
公式サイト:sbisec. co. jp
フリーダイヤル:0120-104-214(トーシニイーヨ)
携帯電話専用窓口:03-5562-7530
受付時間:平日8:00~17:00(年末年始除く)
所在地:〒106-6019 東京都港区六本木一丁目6-1 泉ガーデンタワー19階
金融商品取引業登録番号:関東財務局長(金商)第44号
加入協会:日本証券業協会、金融先物取引業協会、第二種金融商品取引業協会、日本STO協会、日本商品先物取引協会、日本暗号資産等取引業協会
————————————————————
Copyright(C) SBI SECURITIES Co., Ltd. ALL Rights Reserved. | ■ 解析レポート:犯人の目的と内容解説 【犯人の目的】 証券口座のログイン情報(ユーザーネーム・パスワード)の窃取です。資産売却や不正出金、あるいは登録情報の改ざんを目的としています。
【専門的解説】 本文中の「本日(2026年1月14日)」という日付は、受信日(4月3日)と大きく乖離しており、使い回しのテンプレートである証拠です。また、署名にある電話番号は正規のものですが、公式情報をコピーすることで「信頼感」を演出しようとしています。事務的で味気ないデザインは、逆に公式通知らしさを装う巧妙な手口です。 ■ 送信元回線解析:Received | 送信元IPアドレス | 34.128.118.9(信頼できる送信者情報) | | ホスト名 | 9.118.128.34.bc.googleusercontent.com | | ホスティング | Google Cloud Platform (GCP) | | 国名 | アメリカ合衆国 (United States) | | 回線関連情報 | https://ip-sc.net/ja/r/34.128.118.9 | | ドメイン登録日 | whois.domaintools.comで取得:攻撃者は直前にGCP上で環境を構築しています。 | ※bc.googleusercontent.comが含まれる場合、Googleのクラウドサービスが犯罪の踏み台にされていることを示します。正規のSBI証券がここから配信することはありません。 ■ リンク先ドメイン解析 | 誘導先URL | hXXps://login.mynursingnote[.]com/?Control=LVtamvgj7HAhUxABYdvVpbIB(※伏字あり) | | リンクドメイン | login.mynursingnote.com | | IPアドレス | 172.67.164.128 | | ホスティング | Cloudflare | | 国名 | アメリカ合衆国 | | ドメイン登録日 | 直近数ヶ月以内。攻撃を目的とした「使い捨て」ドメインである可能性が極めて高いです。 | | 解析ページ | https://ip-sc.net/ja/r/172.67.164.128 | ■ リンク先サイトの状態と画像 リンク先へアクセスを試みたところ、現在はセキュリティ機能によってブロックされています。URLが危険であるポイントは、SBI証券と何ら関係のない「mynursingnote」というドメインを中継している点です。 【詐欺サイトの現在の画像】 ×
アクセス拒否 リクエストがブロックされました。
後ほどお試しください。 ファイアウォールで保護されています | | ■ まとめ・対処方法 本メールは、過去の「なりすまし」事例と同様、正規の署名をコピーしつつ、リンク先を無関係なドメインへ飛ばす典型的なフィッシング詐欺です。SBI証券では、公式サイトを通じてフィッシング被害への注意喚起を行っています。万が一ログインしてしまった場合は、即座に公式サイトからパスワード変更を行い、サポートデスクへ連絡してください。
参照:SBI証券:フィッシング詐欺に対する注意喚起について | |