【詐欺】マネックス証券「優待特典の確認」偽メール解析レポート
【調査報告】最新の詐欺メール解析レポート
メールの解析結果:マネックス証券を騙るフィッシング詐欺 | 最近のスパム動向
今回ご紹介するのは「マネックス証券」を騙るメールですが、その前に最近のスパムの動向について触れておきます。2026年4月の新年度開始に伴い、金融機関の「優待特典更新」や「ポイント失効」を装う手口が急増しています。特に本件のように「プライベート・インビテーション」という限定感を演出し、利用者の射幸心を煽って偽サイトへ誘導する手法は、最新のトレンドとして警戒が必要です。 | 基本情報
| 件名 | [spam] 【最終通知】優遇特典の確認がまだ完了していません|期限前にお手続きください N o.22175807 | | 件名の見出し | 「[spam]」が付与されているのは、送信ドメイン認証(SPF/DKIM)の失敗や、送信元IPアドレスがブラックリストに登録されているためです。末尾のランダムな数字は、スパムフィルタの重複検知を回避するための工作です。 | | 送信者 | “マネックス証券” <service@monex.com> | | 受信日時 | 2026-04-07 10:25 | | 送信者に関する情報
送信アドレスは正規の「service@monex.com」を表示していますが、これは「Fromヘッダー」を改ざんしたなりすましです。実際の送信経路を辿ると、マネックス証券とは一切無関係なベルギーのサーバーを経由していることが確認されました。 | メール本文(画像再現)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
◆ 優遇特典最終確認のお願い
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 平素よりマネックス証券をご利用いただき、誠にありがとうございます。 「プライベート・インビテーション2026」優遇プログラムに関し、
今期の特典確認がまだ完了していないお客様がいらっしゃいます。 確認を行わない場合、今期分の優遇枠および現金還元が
無効となる可能性がございます。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
▼ 今すぐ確認する https://mst.monex.co.jp/pc/ITS/login/Lo*** (伏せ字を含む。リンク無効化) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
ログイン後、現金還元額・優遇ステータス・付与状況が表示されます。
確認完了をもって特典が確定いたします。 ■ 実施期間
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
2026年4月1日~2026年4月10日
※ 期間終了後は受付を終了いたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
マネックス証券株式会社
金融商品取引業者 関東財務局長(金商)第165号
monex.co.jp
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Copyright(C) Monex, Inc. All Rights Reserved. K9TLR9 | | メールの目的及び感想
【犯人の目的】
このメールの目的は、マネックス証券のログイン情報(ID・パスワード)の窃取です。優待特典という「餌」で誘い込み、偽のログインページで認証情報を入力させるフィッシング詐欺です。
【専門的解説】
デザイン面では、公式サイトに近いフォント使いや「関東財務局長(金商)第165号」といった法的表記を記載することで信頼性を高めています。しかし、末尾の「K9TLR9」というランダム文字列や、公式が絶対に送らないような「期限付きの現金還元」という内容は、典型的な詐欺の手口です。署名欄には電話番号の記載すらなく、正規のサポート体制を隠匿しようとする意図が見て取れます。 | Received(送信者情報)解析
Received: from sonoramidiadigital.com (sonoramidiadigital.com [34.154.218.65])
※これは送信に利用した情報であり、カッコ内のIPアドレスは信頼できる送信元解析エビデンスです。 | 送信元ドメイン | sonoramidiadigital.com | | 送信者IPアドレス | 34.154.218.65 | | ホスティング社名 | Google Cloud (bc.googleusercontent.comが含まれており、Googleのインフラが悪用されています) | | 国名 | Belgium (ベルギー) | | ドメイン登録日 | 最近取得されており、攻撃のために準備された使い捨てドメインと推測されます。 | ■ メール回線関連情報(詳細解析)
https://ip-sc.net/ja/r/34.154.218.65 解析ページを表示 | 誘導先リンクの解析
本文には「mst.monex.co.jp」と正規URLが書かれていますが、実際の遷移先は以下のドメインです。 リンク先URL: https://login.dreture.com/?login=*** (伏せ字を含む) | リンクドメイン | login.dreture.com | | IPアドレス | 104.21.31.203 / 172.67.189.13 | | ホスティング社名 | Cloudflare, Inc. | | 国名 | United States (アメリカ合衆国) | | ドメイン登録日 | 2026-03-25(調査時点からわずか13日前)。この短期間での稼働は詐欺サイト特有の傾向です。 | ■ サイト回線関連情報(詳細解析)
https://ip-sc.net/ja/r/104.21.31.203 で解析エビデンスを表示 | リンク先サイトの状態(詐欺サイト画像)
現在、このURLにアクセスすると以下の「アクセス拒否」画面が表示されます。 【URLが危険と判断できるポイント】
1. 取得から1ヶ月未満の極めて新しいドメインであること。
2. 正規のマネックス証券(monex.co.jp)とは無関係な「dreture.com」を使用していること。
3. 特定の地域やIP帯域のみをターゲットにするため、ファイアウォールでアクセスを制限(画像2枚目の状態)していること。これはクローラーや調査機関の目を盗む典型的な工作です。 | まとめ・推奨される対応
本件は過去の「セゾンカード」や「JCB」を騙る手法と酷似しており、同じ攻撃グループによるものと推測されます。新年度の忙しい時期に「重要通知」として届くため、ついクリックしてしまいがちですが、身に覚えのない優待案内はすべて無視してください。 マネックス証券公式サイトでも「不審なメールや偽サイト」に関する注意喚起が強く出されています。ログインの際は必ず公式サイトをブックマークから開くようにしてください。 ⇒ マネックス証券:不審なメール・SMSに対する注意喚起を確認する | |
