【調査報告】最新の詐欺メール解析レポート 本レポートは、楽天証券を装ったフィッシングメールの構造と、背後に潜む攻撃者のインフラを技術的に解析したものです。 | 最近のスパム動向
今回ご紹介するのは「楽天証券」を騙るメールですが、その前に最近のスパムの動向を解説します。4月の新年度開始に伴い、金融機関の「優待特典」や「ポイント付与」を装う手口が急増しています。特に「期限が明日まで」といった差し迫った条件を提示し、ユーザーにスマートフォンの操作を急がせる傾向が強まっています。
| メール受信情報 | | 件名 | [spam] 【ご案内】特典進呈のためのログイン確認をお願いいたします No.38775392 | | 件名の見出し | 件名冒頭に[spam]とあるのは、サーバー側で機械的に迷惑メール判定された結果です。管理IDのような番号(No.38775392)を付与し、正規の事務通知を装うのが昨今のテンプレートです。 | | 送信者 | 楽天証券 <info@converse.co.jp> | | 受信日時 | 2026-04-07 8:34 | Received(送信者情報)
Received: from mycommunityexchange.com (mycommunityexchange.com [34.130.141.71])
※これは送信に直接利用されたサーバー情報であり、カッコ内のIPアドレスは偽装不可能な「信頼できる送信者情報」です。
| 送信ドメイン | mycommunityexchange.com | | IPアドレス | 34.130.141.71 | | ホスティング | Google Cloud (bc.googleusercontent.com) | | 国名 | アメリカ合衆国 (USA) |
送信元IPがGoogle Cloudのインフラを利用していることから、攻撃者がクラウドサービスを悪用して大量送信していることが分かります。ドメイン「converse.co.jp」はアパレル関連の正規ドメインを盗用している可能性が高く、楽天証券とは一切無関係です。
https://ip-sc.net/ja/r/34.130.141.71 | 本文紹介(精密再現) できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
楽天証券からのお知らせ
━━━━━━━━━━━━━━━━━━━━━━━━━━ 平素より楽天証券をご利用いただき、誠にありがとうございます。
「秋の特別プレゼントキャンペーン」に関して、
お客様の特典進呈手続きが一部未完了の状態となっております。 特典を確定するためには、ログインによる最終確認が必要です。
下記よりアクセスのうえ、手続きを完了させてください。 ◆ 手続きページはこちら
━━━━━━━━━━━━━━━━━━━━━━━━━━ hXXps://www.rakuten-sec.co.jp/IXX/V_ACT_Login.html ◆ 特典内容
━━━━━━━━━━━━━━━━━━━━━━━━━━
・楽天ポイント 6,000pt(1pt=1円相当)
・オリジナル投資ノート(限定デザイン)
・無料オンライン個別相談(資産運用専門スタッフ対応) 特典はお客様の楽天証券口座と連動しております。
ログイン後すぐに内容を確認・確定できます。 ◆ 受取期限
━━━━━━━━━━━━━━━━━━━━━━━━━━
2026年4月8日(水) 9:59まで この期間を過ぎると特典の進呈対象外となります。
ご不明な点がある場合は、楽天証券ウェブサイトをご確認ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━
このメールは自動配信されています。
ご返信いただいても対応いたしかねますのでご了承ください。 発行元:楽天証券株式会社
(C) Rakuten Securities, Inc
DIOT3F
| | メールの目的及び解説
犯人の目的:楽天証券のID、パスワード、および二要素認証情報を奪取し、資産を不正に送金することです。
専門的な解説:
このメールの最大のおかしな点は、「季節の不一致」です。現在は4月(春)であるにも関わらず、本文では「秋の特別プレゼントキャンペーン」と記載されています。これは以前使用した詐欺テンプレートを使い回している証拠です。
また、メール末尾にある「DIOT3F」という無意味なアルファベットは、スパムフィルターを回避するために挿入される「ユニークな文字列」の典型例です。署名欄に電話番号が記載されていませんが、これも追及を逃れるための手法です。
| サイト回線関連情報(リンク先解析) メール内のURLは公式サイトを装っていますが、実際の飛び先は以下の通りです。 | 誘導先URL | hXXps://login.walmartgoftcard.com/?V_ACT_Login=… | | IPアドレス | 172.67.164.120 | | ホスト名 | Cloudflare, Inc. | | 国名 | アメリカ合衆国 (USA) | | ドメイン登録日 | 2026年4月初旬(取得から数日以内) |
ドメイン登録日に関する考察:登録日が最近である理由は、古い詐欺ドメインがセキュリティ各社にブロックされたため、攻撃者が新しく取得した「使い捨て」のドメインだからです。
https://ip-sc.net/ja/r/172.67.164.120 | リンク先サイトの状態
現在、このサイトにアクセスすると以下の「アクセス拒否」画面が表示されます。これはサイト自体が停止したのではなく、特定の地域やクローラーからのアクセスをファイアウォールで制限している、あるいは既に当局によってブロックされている状態を指します。
×
アクセス拒否
リクエストがブロックされました。後ほどお試しください。
⌂ ファイアウォールで保護されています | | 偽者を見抜くポイントと対処法
1. 送信元ドメインの不一致: 楽天証券が「converse.co.jp」というドメインを使うことは100%ありません。
2. 季節の矛盾: 4月に「秋のキャンペーン」を告知するのは、ずさんな詐欺師のミスです。
3. URLの確認: 見かけのURLではなく、実際にブラウザのアドレスバーに表示されるドメインを必ず確認してください。
もし情報を入力してしまった場合は、即座に楽天証券のカスタマーセンターへ連絡し、アカウントの停止措置を行ってください。 | まとめ
過去の事例と比較しても、今回のメールは使い回しのテンプレートによるミスが目立ちますが、デザイン自体は非常にシンプルで、公式の通知と勘違いしやすい構造です。金融機関からの「特典」「制限」に関するメールは、メール内のリンクを使わず、常にブックマークや公式アプリからログインする習慣をつけましょう。
| |