【詐欺メール検知】三菱UFJモルガン・スタンレー証券を騙る「緊急ログイン確認」の分析

2026年4月10日

【調査レポート】[spam] 【重要】お客様の口座保護に向けた緊急ログイン確認のお知らせ
REPORT ID: MUMSS-20260410 / ANALYST: YMG SECURITY SECTION

■ 最近のスパム動向 / Threat Landscape
今回ご紹介するのは「三菱ＵＦＪモルガン・スタンレー証券」を騙るメールですが、その前に最近のスパムの動向を。2026年に入り、クラウドサービスの脆弱性や正規プラットフォーム（Google Cloud等）を悪用した送信元偽装が一般化しています。特に金融機関を装い「不正アクセス検知」を口実にする手口は、正規のデザインテンプレートを流用しており、視覚的な判断が困難な「高精細フィッシング」へと進化しています。

■ メール基本情報 / Basic Intelligence

件名	[spam] 【重要】お客様の口座保護に向けた緊急ログイン確認のお知らせ
見出し[spam]の理由	送信ドメインのSPF認証失敗、および送信元IP（34.77.219.124）が国際的なスパムリストに登録されているため自動付与されました。
送信者	“三菱ＵＦＪ証券” <office@bk.mufg.jp>
受信日時	2026-04-10 10:28

■ メールの再現 / Content Replication
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

三菱ＵＦＪモルガン・スタンレー証券

●●● 様

弊社セキュリティシステムにおいて、お客様のアカウントへの不審なアクセスが検知されました。

【警告】第三者による不正利用を防止するため、現在、出金および一部の取引機能を一時的に制限しております。

お客様ご自身によるアクセスであるかを確認するため、至急、以下のボタンよりオンラインサービスへログインし、本人確認を完了させてください。

ログインして制限を解除する

※本通知後、24時間以内にご確認がない場合は、セキュリティ維持のためアカウントの全機能を凍結させていただきます。

配信停止・登録情報の変更はこちら

三菱ＵＦＪモルガン・スタンレー証券株式会社
〒113-8411 東京都文京区本郷3-33-5
Copyright(C) Mitsubishi UFJ Morgan-Stanley Securities Co.,Ltd.
All Rights Reserved.

EWSKQN

■ 犯人の目的と解析 / Analysis

犯人の目的： 証券口座のログインID、パスワード、および二要素認証情報の窃取。最終的には不正送金による資産強奪を目的としています。

専門的解説： 本メールは「白背景＋末尾数行が水色背景」のテンプレートを使用しており、これは近年のフィッシングメールで極めて多く使われている典型的な構造です。
署名欄の住所（東京都文京区本郷3-33-5）は実在しますが、本来の三菱UFJモルガン・スタンレー証券の本社所在地（千代田区大手町）とは異なります。また電話番号の記載がありませんが、偽メールでは正しい番号を載せて信憑性を高める場合と、一切載せずにサイトへ誘導させる場合があります。末尾の「EWSKQN」は、スパムフィルタを混乱させるための動的文字列です。

■ 受信ヘッダー解析 / Received Analysis
Received: from yourcoolgadgets.com (yourcoolgadgets.com [34.77.219.124])
※カッコ内のIPアドレスは送信に利用された「信頼できる送信者情報」です。

送信元ドメイン	yourcoolgadgets.com (なりすまし確定)
送信元IPアドレス	34.77.219.124
ホスティング/国	Google Cloud / ベルギー (Belgium) ※bc.googleusercontent.com経由
ドメイン登録日	取得：最近 (攻撃直前に取得された使い捨てドメインのため)
メール回線情報	https://ip-sc.net/ja/r/34.77.219.124

■ サイト回線関連情報 / URL & Server Data

リンク箇所	「ログインして制限を解除する」に設置
リンク先URL	hXXps://www.zh-a8l●●e.com/?security=n3vM… (伏字を含む)
IP Address	104.21.31.222
ホスティング/国	Cloudflare / アメリカ合衆国 (United States)
ドメイン登録日	2026-03-末〜04-初頭 (攻撃キャンペーンに合わせて急造)
サイト回線情報	https://ip-sc.net/ja/r/104.21.31.222

■ 詐欺サイトの状態 / Site Screenshot
ブロックの有無：現在、Google等により「アクセス拒否」が確認されています。

■ 注意点と対処法 / Safe Practices

偽物を見抜くポイント：
1. 送信者アドレスの偽装（表示は mufg.jp だが、中身は Google Cloud）。
2. 本文内のリンク先URLが公式サイト（sc.mufg.jp）ではない。
3. 「24時間以内」といった期限を設け、冷静な判断を妨げようとする。

公式サイトによる注意喚起：
【重要】当社名を騙った偽メールに十分ご注意ください
 フィッシング詐欺に強い「パスキー認証」の導入について