【解析】SBI証券を騙る「春の資産応援3大特典」詐欺メールの正体

2026年4月10日

【調査報告】最新の詐欺メール解析レポート
解析項目：SBI証券を装ったフィッシング詐欺 / 判定：極めて危険

1. ■ 最近のスパム動向と前書き
2. ■ メールの基本属性
3. ■ 送信者に関する情報
4. ■ メール本文の精密再現
5. ■ 解析：メールの目的及び感想
6. ■ 危険なポイントと対処法
7. ■ 送信元（Received）ネットワーク解析
8. ■ リンク先（詐欺サイト）解析情報
9. ■ リンク先サイトの状態と画像
10. ■ まとめと最終警告

■ 最近のスパム動向と前書き

今回ご紹介するのは「SBI証券」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年春、新生活の資産形成ブームに便乗し、大手証券会社を装った「優待特典」や「ポイント進呈」を餌にする手口が急増しています。特に週末や深夜に配信し、サポートが薄い時間帯を狙う傾向が見られます。

■ メールの基本属性

件名	[spam] 【見逃し厳禁】SBI証券からのお知らせ｜春の資産応援3大特典を確認してください No.38927197
件名の見出し	[spam]が付与されている理由は、送信ドメイン認証の失敗や、過去の通報データに基づくフィルタリングによるものです。
送信者	“SBI証券” <hello@sbigroup.co.jp>
受信日時	2026-04-09 16:53

■ 送信者に関する情報

送信者のドメイン「sbigroup.co.jp」は一見正規に見えますが、実際のSBI証券のメールドメインは「sbisec.co.jp」が主流です。また、送信元IPがGoogle Cloudであることから、正規サーバーを介さない「なりすまし送信」であることが判明しました。

■ メール本文の精密再現

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

日頃よりSBI証券をご利用いただきありがとうございます。資産形成を積極的に進める皆さまへの支援策として、
この春、3つの特別な優待特典をご提供しております。
━━━━━
■ 本メールの対象者について
━━━━━
・前月に対象取引を実施されたお客様
・SBIポイントサービスにご登録済みのお客様

対象となったお客様には、すでに特典が付与済みです。
以下のページから、内容をご確認ください。

▼ 特典内容と利用方法の確認はこちら

hXXps://login.sbisec.co.jp/lo***
━━━━━
■ 主な特典内容
━━━━━
・3,000円相当のSBIポイント進呈
・ノートや資料の送付特典（先着順）
・無料の運用相談会ご招待（事前予約制）

特典の受け取りには期限がございます。
この機会に、ぜひお早めにご対応ください。

株式会社SBI証券
カスタマーサポートセンター

3DI15F02

■ 解析：メールの目的及び感想

【犯人の目的】 SBI証券のログインID、パスワード、および第2認証情報の窃取です。3,000円相当のポイントという現実味のある特典で釣る非常に悪質な手法です。
【感想】 デザインは非常にモノトーンで事務的です。公式ロゴをあえて使わずテキスト主体にすることで、セキュリティソフトの画像解析を回避しようとする意図が見て取れます。

■ 危険なポイントと対処法

・送信元不一致: 本来のSBI証券アドレスとはドメインが異なります。
・署名の不備: 本文に電話番号の記載がありません。正規のカスタマーサポート通知であれば、必ずフリーダイヤル等の連絡先が明記されます。連絡先を隠すのは、折り返し電話による発覚を恐れているためです。
・対処法: リンクは絶対に踏まず、公式サイトのブックマークからログインしてキャンペーンの有無を確認してください。

■ 送信元（Received）ネットワーク解析

※カッコ内のIPアドレスは信頼できる送信者情報です
送信ドメイン	spkj09.cn
送信IPアドレス	34.116.176.235
ホスティング	Google Cloud (bc.googleusercontent.com)
国名	United States (米国)
ドメイン登録日	取得直後（使い捨ての攻撃用ドメインです）

≫ ip-sc.netで送信元回線情報を詳細解析

■ リンク先（詐欺サイト）解析情報

表示URL	hXXps://login.sbisec.co.jp/lo***
実際の接続先	hXXps://login.happybulb.com/5tg***（伏字含む）
IPアドレス	104.21.31.229
ホスティング	Cloudflare, Inc.
国名	United States (米国)
ブロック状況	Googleセーフブラウジングおよびウイルスバスターでブロック検知済み

≫ ip-sc.netでリンク先IP：104.21.31.229 を解析

■ リンク先サイトの状態と画像

現在、このサイトは稼働していますが、ブラウザの保護機能により「404 Error」や「ページが見つかりません」といったエラー画面が表示されます。これはサイトが削除されたわけではなく、攻撃者が特定の条件（正しいリファラや追跡ID）を持たないアクセスを遮断しているか、セキュリティ製品にブロックされている状態を示します。