【実録】「APPLE COM BILL 38,480円」に身に覚えがない!UCカード利用速報を装った架空請求フィッシングの手口を解析
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆ (3/5) ※SPF None・送信ドメインDNS失効済み |
| 偽装工作精度 | ★★★★☆ (4/5) ※メール本文の完成度は高い |
■ メールヘッダー解析(送信者情報)
件名:[spam] UCカード(Visa)利用速報
送信者表示名:UCカード
送信元アドレス:no-reply@jp2.wZc2uccard.com
⚠️ タイポスクワッティング(typosquatting)に注意:本物のUCカードのドメインは uccard.co.jp です。今回使われた jp2.wZc2uccard.com は、「uccard」という文字列を含ませることで本物に見せかけた偽ドメインです。このような手口をタイポスクワッティング(正規ドメインに似せた偽ドメインで騙す手法)と呼びます。
送信元ドメインの状態:DNS失効(IP取得不可) — 既にドメインが機能停止しており使い捨てが確認済み
受信日時:2026年6月10日(水)22:55
SPF認証:None — SPFレコード(送信元を証明する設定)が存在しない
DKIM署名:なし
このメールは真っ赤な偽物です。「APPLE COM BILL」に心当たりがなくても、リンクをクリックしてIDとパスワードを入力しないでください。この情報を家族のLINEグループで共有してください。
詐欺メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
差出人:UCカード <no-reply@jp2.wZc2uccard.com> 件名:[spam] UCカード(Visa)利用速報 ━━━━━━━━━━━━━━━━━━━━━━━━ 🔵 UC CARD UCカード(Visa)利用速報 ━━━━━━━━━━━━━━━━━━━━━━━━ APPLE COM BILL 2026年6月10日 16:49 38,480円 【UCで取引履歴とポイントを確認 ›】← ※このボタンが偽サイトへの入口 この利用に心あたりがない場合、まずは解決方法をご確認ください ⚠️ お問い合わせ前に解決方法を確認する アプリのリンクを開くには、UCアプリが必要です。スマートフォンからご確認ください。 ・本メールの内容にお心あたりのない場合は、ヘルプをご確認ください ・このメールは送信専用メールアドレスより一部のお客様にお送りしています。 このメールに直接返信いただいても対応できませんのでご了承ください ・カードの利用でお困りの際は、お客様サポートからお問い合わせください 発行:UCカード株式会社 東京都新宿区四谷一丁目6番1号 © UC CARD CO., LTD.
🔍 このメールの「焦らせる」手口ポイント
- 「APPLE COM BILL 38,480円」という具体的な金額:Appleのサービスを使っているユーザーが「もしかして不正利用された?」と思うよう、実在するAppleの請求名称に似せた架空の請求です。
- 「心あたりがない場合は確認を」という誘導:不安を感じたユーザーをすぐにボタンへ誘導する巧妙な文言です。
- 本物そっくりのデザイン:UCカードのロゴ・配色・住所まで正確に再現されており、見た目だけでは本物と区別がつきません。送信元アドレスのドメインを確認することが唯一の見分け方です。
▼ 届いた詐欺メール。「APPLE COM BILL 38,480円」という架空の請求でユーザーの不安を煽る。デザインは本物そっくりだが、送信元は偽ドメイン
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※受信者側サーバー(非公表)の情報が含まれるため、Receivedヘッダーの全文掲載は控えています。
【注目】国内ケーブルテレビ回線からの送信——踏み台の疑い:
今回のフィッシングメールの実際の送信元IPアドレスは 2.59.152.115 で、逆引き結果は r57329-kanazawa234.kanazawa.mesh.ad.jp——石川県金沢市のケーブルテレビインターネット(kanazawa.mesh.ad.jp)の一般家庭回線と判明しました。海外サーバーや専用のスパム送信インフラではなく、国内の一般ユーザーの回線からメールが送信されているのは、そのユーザーのパソコンやルーターがマルウェア(ウイルス)に感染して攻撃者に遠隔操作され、踏み台(スパム送信の中継地点)として悪用されている可能性を示しています。
SPF認証:None(SPFレコードなし。メールサーバーの正規設定が存在しない)
DKIM署名:なし
発信元ロケーション解析:
石川県金沢市(kanazawa.mesh.ad.jp 一般回線)
緯度・経度:36.5613, 136.6562
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://ww2.uc-aa.bie-kuang[.]com/xRRsJTAN/
リンクドメイン:bie-kuang.com(「bie-kuang」は中国語で「別扛(やめろ)」に近い俗語)
サイトサーバーIP:195.86.16.135
インフラ:オランダ(easynet.nl)——中国系クラウドでも国内サーバーでもなく、欧州のISPを使用
ロケーション:オランダ(52.3676, 4.9041)
マップ:【Googleマップで表示】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
偽装対象:UCカード会員向けサービス「アットユーネット!」のログイン画面
【サイトの目的】:「不正利用かもしれない」と不安になったユーザーを偽ログイン画面に誘導し、UCカードのIDとパスワードを入力させて盗み取る。
▼ 誘導先の偽ログイン画面。「アットユーネット!」の本物そっくりのデザインだが、URLはオランダのサーバー上の全く無関係なドメイン
注意点と対処法
■ このメールが届いたら
- 「APPLE COM BILL」に心当たりがなくてもリンクをクリックしない:不安を感じたら、メール内のリンクではなく、ブックマークや公式アプリから直接UCカードのサイトにアクセスして確認してください。
- 送信元アドレスのドメインを確認する:本物のUCカードからのメールは
uccard.co.jpドメインから届きます。jp2.wZc2uccard.comのような見慣れないドメインは偽物です。 - もしIDとパスワードを入力してしまった場合:直ちに正規のアットユーネット(at-you.net)からパスワードを変更し、UCカードの公式カスタマーサポートに連絡してください。
- UCカード公式のフィッシング注意喚起を確認:UCカード:フィッシング詐欺にご注意ください
本レポートの結論
「APPLE COM BILL 38,480円」という架空の請求でユーザーを不安にさせ、偽のUCカードログイン画面へ誘導するフィッシングメールです。送信元は国内・金沢の一般家庭回線(踏み台の疑い)、フィッシングサイトはオランダのサーバーという珍しいルートが使われており、攻撃者が国内外のインフラを組み合わせて追跡を難しくしていることがうかがえます。UCカードからの利用通知が届いても、必ずメールアドレスのドメインを確認し、不審な場合はリンクをクリックせず公式アプリで確認してください。この記事を家族のLINEグループで共有して、「UCカードのメールも偽物がある」と伝えてあげてください。
調査日:2026年6月11日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
