分類:フィッシング詐欺(確定)|検知日:2026年5月7日|なりすましブランド:ビューカード(VIEW’s NET)|カテゴリ:金融
JR東日本グループのビューカード(VIEW’s NET)を騙り、「次回お引き落とし日のお知らせ」と偽って偽サイトに誘導するフィッシングメールの流通が確認されました。本件の特徴は、正規のビューカード通知メールを精巧に模倣し、正規URLの文字列を「表示文言」として見せながら、実際のリンク先はすべて攻撃者のドメインに差し替えている点です。さらに、誘導先URLのパスにUnicode数学用太字文字(Mathematical Bold Small)を使用し、一見すると通常の英字に見えるが実際には異なる文字コードである偽装が施されています。このメールはフィッシング詐欺であることが確定しています。記載のリンクには絶対にアクセスしないでください。
メール概要
| 項目 | 内容 |
|---|---|
| 件名 | ご確認:VIEW’s NETお引落日です |
| 差出人(表示名) | 株式会社ビュ ーカード |
| 差出人アドレス | no-reply-BwPi[@]creema[.]jp |
| Return-Path | no-reply-BwPi[@]creema[.]jp |
| 送信日時 | Thu, 07 May 2026 20:55:01 +0900 |
| 送信元IP | 153[.]51[.]180[.]59 |
| 送信元IP所在国 | MD(モルドバ) |
| SHA-256 | e30549a8fbd326953f44867ca239e1acc29c45369b6de442c0ec6c15fceee3f8 |
| 分類 | フィッシング(確定) |
メール本文(全文引用)
以下は当該フィッシングメールの全文です。同じ文面を受信した方は、記載されたリンクを絶対にクリックせず、メールを削除してください。
VIEW(ビューカード)VIEW’s NET ニュース 《ビューカード会員の皆さまへ》 いつも「VIEW’s NET」をご利用いただき、誠にありがとうございます。 ―――――――――――――――― ▼【次回のお引き落とし日】 2026年05月20日(水) ―――――――――――――――― お引落日の前営業日(05月19日)までに、ご登録のお引落口座への残高のご準備をお願いいたします。 ※金融機関休業日の場合は、翌営業日のお引落となります。 ※金融機関休業日の場合は、その前営業日までにご登録口座への残高のご準備をお願いいたします。 ▽ご請求金額とご利用明細の確認方法 ※2020年12月11日以降にインターネットからお申込みのお客さまは、「会員専用WEBサービス」でのご確認となります。郵送をご希望の方は「会員専用WEBサービス」より変更のお続きをお願いいたします。 会員専用WEBサービス(登録無料) hxxps://www[.]jreast[.]co[.]jp/card/guide/kouza_henkou/index[.]html 【▼各種ご変更手続きのお願い】 お引越し等でご住所が変わられた場合やお届出いただいているメールアドレスをご変更された場合は、お早めに「会員専用WEBサービス」よりご変更のお手続きをお願いいたします。 お手続きがまだお済みでない場合、当行からの重要なお知らせ等が届かない場合もありますので、ご注意ください。 【▼お引落日にお引落ができなかった場合】 カードのご利用が制限され、また各種キャンペーン・特典の対象外となる場合があります。 すでに資金のご準備やお支払いがお済みのお客さまにつきましては、行き違いのご案内となりますが、何卒ご容赦くださいますようお願いいたします。 ※このメールアドレスは送信専用のため、ご返信はお受けしておりませんのでご了承ください。 ※なお、このメールにお心当たりのない場合は、下記のお問い合わせ先に記載のクレジットカードデスクまでご連絡ください。 配信元:株式会社ビューカード [住所]1号 大崎センタービル ※当社は「日本財団電話リレーサービス」にも対応しております。 Copyright(C) Viewcard Co.,Ltd. All Rights Reserved.
⚠ 同じ文面のメールを受信した方は、記載のリンクをクリックせず、メールを削除してください。
このフィッシングメールの手口と特徴
1. 正規URLの「表示文言偽装」による誘導
【観測事実】HTML内のリンク4件はすべて同一の誘導先 hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 に向けられています。このうち1件は、表示文言として hxxps://www[.]jreast[.]co[.]jp/card/guide/kouza_henkou/index[.]html という正規のビューカードURLを表示しながら、実際のリンク先(href)は攻撃者のドメイン jr-east[.]gfhtyhonline[.]com に差し替えられています。このリンクは「会員専用WEBサービス(登録無料)」の案内文の直後に配置されており、CTA(行動喚起)として機能するボタン候補です。
【示唆】HTMLメールでは、ユーザーに表示される文字列(アンカーテキスト)と、実際の遷移先URL(href属性)を別々に設定できます。本件では、正規のビューカードURL文字列を「見せかけ」として表示し、クリックすると全く異なるドメインに誘導される仕組みです。テキスト表示のURLだけを見て安全と判断することは危険です。
2. 正規ブランドを模した偽ドメイン
【観測事実】誘導先ドメイン jr-east[.]gfhtyhonline[.]com は「jr-east」というJR東日本の英語名称を含んでいます。ビューカードはJR東日本グループのサービスであり、正規ドメインは一般に jreast[.]co[.]jp や viewsnet[.]jp として知られています。
【示唆】攻撃者はドメイン名の先頭に「jr-east」を含めることで、URLの冒頭部分だけを確認するユーザーを正規サイトと誤認させようとしています。しかし、実際のドメインは gfhtyhonline[.]com であり、JR東日本やビューカードとは無関係です。ドメインの判別には、トップレベルドメイン(.comや.co[.]jp)の直前にある文字列(第二レベルドメイン)を確認することが重要です。
3. Unicode数学用太字文字によるURL偽装
【観測事実】誘導先URLのパス部分 𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 は、通常のASCII英字(index[.]html)ではなく、Unicode数学用太字小文字(Mathematical Bold Small、U+1D422等)で構成されています。人間の目には通常の「index[.]html」と区別がつきませんが、コンピュータにとっては全く異なる文字列です。実際のリダイレクトでは、これらのUnicode文字がパーセントエンコードされた形式(%F0%9D%90%A2%F0%9D%90%A7...)に変換されて処理されています。
【示唆】この手法には複数の目的があると考えられます。第一に、URLフィルターやセキュリティ製品が「index[.]html」というパターンでマッチングを行う場合、Unicode文字で構成されたパスは検知を回避できる可能性があります。第二に、ブラウザのアドレスバーやセキュリティ警告でURLが表示された際、一見すると正常なパスに見えるため、ユーザーの警戒心を低下させる効果があります。
4. メール全体に仕込まれた複数の誘導導線
【観測事実】HTML内のリンク4件の配置は以下の通りです。
- ヘッダー部(container header):アンカーテキストなしのリンク。「VIEW(ビューカード)VIEW’s NET ニュース」の直後に配置
- 本文内CTA(container content):アンカーテキストなしのリンク。「▽ご請求金額とご利用明細の確認方法」の案内文に続くCTA・誘導ボタン候補
- 正規URL偽装リンク(container content):正規URL文字列
hxxps://www[.]jreast[.]co[.]jp/card/guide/kouza_henkou/index[.]htmlを表示文言としたCTA・誘導ボタン候補。「会員専用WEBサービス(登録無料)」の直後に配置 - フッター部(container footer):表示文言「株式会社ビューカード」のリンク。配信元の社名表記に設定
4件すべてが同一の誘導先 hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 に向けられています。
【示唆】ヘッダーのロゴ画像領域、本文中の明細確認ボタン、正規URLに見せかけたテキストリンク、フッターの社名表記と、メール内のどの箇所をクリックしても同一のフィッシングサイトに誘導される設計です。正規のビューカード通知メールの構造を模倣しつつ、すべてのリンク先を攻撃者のドメインに差し替えるという、組織的な手口が見て取れます。
5. creema[.]jpドメインからの送信(ブランド詐称)
【観測事実】差出人の表示名は「株式会社ビュ ーカード」(「ビュ」と「ー」の間に不自然な空白あり)ですが、実際の送信元アドレスは no-reply-BwPi[@]creema[.]jp です。creema[.]jp は、一般にハンドメイドマーケットプレイスとして知られているドメインであり、ビューカードとは無関係です。
【示唆】差出人の「表示名」はメール送信者が任意に設定できるフィールドであり、実際の送信元アドレスとは無関係です。表示名に含まれる「ビュ ーカード」の不自然な空白は、自動検知やフィルタリングを回避するための意図的な加工である可能性があります。送信元ドメイン creema[.]jp が侵害されて悪用されているのか、あるいはヘッダが偽装されているのかは本解析からは断定できませんが、ビューカードの公式メールインフラではないことは確認済みです。
6. 正規メール通知の完全な模倣
【観測事実】メール本文は「次回のお引き落とし日」「お引落口座への残高のご準備」「各種ご変更手続き」「お引落日にお引落ができなかった場合」など、ビューカードの定期通知メールに含まれる定型的な案内事項を網羅しています。文末には「大崎センタービル」という実際のビューカード本社所在地、「日本財団電話リレーサービス」への対応表記、著作権表記「Copyright(C) Viewcard Co.,Ltd.」が含まれています。
【示唆】このメールは、正規のVIEW’s NET引落日通知メールの文面を高い精度で模倣しています。実在する住所、正規サービスへの言及、正式な著作権表記を含むことで、受信者が正規メールと区別することを困難にしています。「引き落とし日」という日常的な事務連絡を装うことで、緊急性を煽る手口とは異なるアプローチで受信者の警戒心を低下させています。
技術解析
送信元の分析
| 項目 | 観測値 | 評価 |
|---|---|---|
| From(表示名) | 株式会社ビュ ーカード | 「ビュ」と「ー」の間に不自然な空白。フィルター回避の可能性 |
| From(アドレス) | no-reply-BwPi[@]creema[.]jp | ビューカードの正規ドメインではない |
| Return-Path | no-reply-BwPi[@]creema[.]jp | Fromアドレスと一致 |
| 送信元IP | 153[.]51[.]180[.]59 | モルドバ(MD)所在 |
| IP所属組織 | Abuse-C Role | CIDR: 153[.]51[.]160[.]0/19 |
| ビューカード正規ドメイン(参考) | viewsnet[.]jp / jreast[.]co[.]jp | 一般に知られている正規ドメイン |
【観測事実】送信元IPアドレス 153[.]51[.]180[.]59 のRDAP情報によると、この IP はモルドバ(MD)に所在し、組織名は「Abuse-C Role」、CIDR は 153[.]51[.]160[.]0/19 です。
【示唆】ビューカードは日本国内の企業であり、公式メールが東欧(モルドバ)のIPアドレスから送信されることは通常考えられません。送信元IPの国情報は送信者の物理的な所在地を直接示すものではありませんが、日本国内のメール配信基盤ではない外部インフラから送信されていることを示しています。
メール認証結果(SPF / DKIM / DMARC)
| 認証方式 | 結果 | 解説 |
|---|---|---|
| SPF | fail | 送信元IP(153[.]51[.]180[.]59)が creema[.]jp のSPFレコードで許可されていない |
| DKIM | 不明 | 検証結果がメールヘッダに付与されていない |
| DMARC | 不明 | 検証結果がメールヘッダに付与されていない |
【観測事実】SPF認証は「fail」となっており、送信元IP 153[.]51[.]180[.]59 が creema[.]jp ドメインのSPFレコードで許可された送信元ではないことが確認されています。DKIM・DMARCについては検証結果がメールヘッダに付与されていません。
【示唆】SPF failは、このメールが creema[.]jp ドメインの正規のメール送信インフラから送信されたものではないことを意味します。つまり、Fromアドレスの creema[.]jp ドメインが詐称されている可能性を示しています。DKIM・DMARCの検証結果が付与されていない原因は受信側メールサーバーの処理にも依存するため、これらの不在が単独でフィッシングの根拠となるものではありません。
なお、SPF・DKIM・DMARCは「送信元ドメインの認証」を行う技術であり、メール内容がビューカードからの正当な通知であることを保証するものではありません。本件ではそもそも送信元ドメインがビューカードの正規ドメインではないため、仮にSPFがpassであったとしても、ビューカードからのメールであることの証明にはなりません。
HTMLメール構造(観測事実)
| 項目 | 観測値 |
|---|---|
| HTML本文 | あり(3,280文字) |
| text/plain本文 | あり |
| HTML内リンク数 | 4件 |
| 共通の誘導先 | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
| 件名エンコーディング | utf-8 |
HTML内リンク詳細
| # | 表示文言 | リンク先(href) | 配置箇所 | 種別 |
|---|---|---|---|---|
| 1 | (アンカーテキストなし) | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
ヘッダー(container header) | ロゴ・ヘッダーリンク |
| 2 | (アンカーテキストなし) | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
本文(container content) | CTA・誘導ボタン候補 |
| 3 | hxxps://www[.]jreast[.]co[.]jp/card/guide/kouza_henkou/index[.]html |
hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
本文(container content) | CTA・誘導ボタン候補(正規URL偽装) |
| 4 | 株式会社ビューカード | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
フッター(container footer) | 社名リンク |
【注目点】リンク#3は特に巧妙です。表示文言に正規のビューカードURL(hxxps://www[.]jreast[.]co[.]jp/card/guide/kouza_henkou/index[.]html)を使用していますが、実際のリンク先は hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 です。メール内で正規URLの文字列が「テキストとして」表示されているだけであり、クリック時の遷移先は攻撃者のドメインです。
誘導先URL解析
| 項目 | 内容 |
|---|---|
| 誘導先URL | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
| リダイレクト | 2 hop → hxxps://jr-east[.]gfhtyhonline[.]com/%F0%9D%90%A2%F0%9D%90%A7%F0%9D%90%9D%F0%9D%90%9E%F0%9D%90%B1.%F0%9D%90%A1%F0%9D%90%AD%F0%9D%90%A6%F0%9D%90%A5/ |
| サーバー | nginx/1[.]30[.]0 |
| ソースサイズ | 1,447 bytes |
| 状態 | 稼働中 |
【解説】リダイレクト後のURLでは、パス部分のUnicode数学用太字文字がパーセントエンコードされた形式(%F0%9D%90%A2...)で表示されています。最終到達ページのソースサイズは1,447バイトと極めて小さく、認証情報の入力フォームを含む単純な構造のフィッシングページ、またはさらなるリダイレクト先へのゲートページである可能性があります。なお、誘導先サイトはTDS(Traffic Direction System)/アクセス制御が導入されている可能性があり、アクセス環境によって表示内容が変化する場合があります。
メール内で参照されている正規ドメインの画像リソース
| URL | 種別 | 状態 |
|---|---|---|
hxxps://ig[.]mail[.]viewsnet[.]jp/183/133726/9B90517ADCC0D52104EA67422B82DEB9[.]jpg |
画像リソース | 稼働中 |
hxxps://tg[.]mail[.]viewsnet[.]jp/o/o292y_UxbWDr... |
トラッキングピクセル → 画像リソースへリダイレクト | 稼働中 |
【観測事実】メール内では ig[.]mail[.]viewsnet[.]jp および tg[.]mail[.]viewsnet[.]jp 上の画像リソースが参照されています。viewsnet[.]jp は、一般にビューカードのVIEW’s NETサービスの正規ドメインとして知られています。
【示唆】攻撃者は正規のビューカードメールから画像リソースのURLを流用し、メールの見た目の信憑性を高めています。これらの画像自体は正規サーバー上にあるため、画像の表示だけでは正規メールか偽メールかの判別が困難です。特に tg[.]mail[.]viewsnet[.]jp のURLはビューカードの正規メール開封トラッキングシステムと考えられ、このフィッシングメールの開封によって正規のトラッキングサーバーにアクセスが記録される可能性があります。
フィッシング判定の総合根拠
以下の複数の証拠を総合的に評価し、本メールをフィッシング詐欺と判定しました。いずれか単独の根拠ではなく、複合的な証拠に基づく確定判断です。
- 【確認済み】送信元ドメインの不一致:差出人アドレスのドメイン
creema[.]jpは、ビューカードの正規ドメイン(一般にviewsnet[.]jp、jreast[.]co[.]jpとして知られる)ではなく、ハンドメイドマーケットプレイスのドメインです - 【確認済み】SPF認証の失敗:SPF結果が「fail」であり、送信元IP(153[.]51[.]180[.]59、モルドバ所在)が
creema[.]jpの許可された送信元ではないことが確認されています - 【確認済み】送信元IPの国情報:RDAP情報により送信元IPがモルドバ(MD)に所在することが確認されており、日本国内企業であるビューカードの正規メールインフラとは一致しません
- 【確認済み】表示URL偽装:HTML内のリンク#3で、表示文言に正規のビューカードURL文字列を表示しながら、href属性は攻撃者のドメイン
jr-east[.]gfhtyhonline[.]comに差し替えられています - 【確認済み】Unicode文字によるパス偽装:誘導先URLのパスにUnicode数学用太字小文字が使用されており、通常のASCII文字と異なる文字コードで構成されています
- 【確認済み】全リンクの同一偽ドメインへの集約:メール内の4件のリンクすべてが、ビューカード・JR東日本とは無関係の単一ドメイン
jr-east[.]gfhtyhonline[.]comに向けられています
IOC(侵害指標)一覧
| 種別 | 値 | 備考 |
|---|---|---|
| SHA-256 | e30549a8fbd326953f44867ca239e1acc29c45369b6de442c0ec6c15fceee3f8 |
メールファイルのハッシュ値 |
| 送信元アドレス | no-reply-BwPi[@]creema[.]jp |
From / Return-Path |
| 送信元ドメイン | creema[.]jp |
ハンドメイドマーケットプレイスのドメイン(詐称) |
| 送信元IP | 153[.]51[.]180[.]59 |
MD(モルドバ)/ Abuse-C Role / CIDR: 153[.]51[.]160[.]0/19 |
| 誘導先URL | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
フィッシングサイト(稼働中) |
| 誘導先ドメイン | jr-east[.]gfhtyhonline[.]com |
JR東日本を模した偽ドメイン |
| 画像参照URL | hxxps://ig[.]mail[.]viewsnet[.]jp/183/133726/9B90517ADCC0D52104EA67422B82DEB9[.]jpg |
正規ビューカードサーバー上の画像(悪用) |
| トラッキングURL | hxxps://tg[.]mail[.]viewsnet[.]jp/o/o292y_UxbWDr... |
正規ビューカードトラッキングサーバー(悪用) |
PhishTank登録状況
hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥:本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。hxxps://ig[.]mail[.]viewsnet[.]jp/183/133726/9B90517ADCC0D52104EA67422B82DEB9[.]jpg:本記事公開時点でPhishTankには未登録です。hxxps://tg[.]mail[.]viewsnet[.]jp/o/o292y_UxbWDr...:本記事公開時点でPhishTankには未登録です。
この手口への具体的な対処方法
このメールを受信した場合
- メール内のリンクを絶対にクリックしないでください。ヘッダーのロゴ部分、本文中のボタン、テキストのURL表記、フッターの社名表記を含む、メール内のすべてのリンクがフィッシングサイトに誘導されます
- 表示されているURLの文字列を信頼しないでください。本件では正規のビューカードURLが「表示文言」として表示されていますが、クリックすると攻撃者のサイトに遷移します。HTMLメールではテキストの見た目とリンク先が異なる場合があります
- 引き落とし情報を確認したい場合は、メールのリンクを使わず、ブラウザのブックマークやGoogle検索から直接VIEW’s NETの公式サイトにアクセスしてください
- 差出人アドレスを確認してください。メールの差出人表示名ではなく、実際の送信元アドレス(@の右側のドメイン)を確認することが重要です。本件では
creema[.]jpという、ビューカードとは無関係のドメインから送信されています - このメールを迷惑メールとして報告し、削除してください
リンクをクリックしてしまった場合
- 情報を入力していない場合は、ブラウザをすぐに閉じてください。ページを開いただけであれば、通常は直接的な被害はありません
- VIEW’s NETのID・パスワード等を入力してしまった場合は、速やかに以下の対応を行ってください:
- VIEW’s NET公式サイトに直接アクセスし、パスワードを即座に変更
- ビューカードの公式問い合わせ窓口(公式サイトに記載の電話番号)に連絡し、状況を報告
- クレジットカードの利用明細を確認し、身に覚えのない取引がないか確認
- 他のサービスで同一のパスワードを使用している場合は、それらも速やかに変更
- クレジットカード番号・セキュリティコードを入力してしまった場合は、ビューカードに連絡してカードの利用停止・再発行を依頼してください
- 警察への相談(最寄りの警察署、またはサイバー犯罪相談窓口 #9110)も推奨します
本物のビューカード通知メールとの見分け方
- 送信元アドレスの確認:ビューカードからの正規メールは、一般に
viewsnet[.]jpドメインから送信されます。creema[.]jpやその他の無関係なドメインから送信されることはありません - リンク先の確認:PCの場合、リンクにマウスカーソルを合わせる(クリックしない)と、ブラウザ下部に実際のリンク先URLが表示されます。
jreast[.]co[.]jpやviewsnet[.]jpではないドメインが表示された場合は偽物です - 表示名の不自然さ:本件では「株式会社ビュ ーカード」と、「ビュ」と「ー」の間に不自然な空白が含まれています。こうした微妙な違いは詐欺メールの指標となります
まとめ
本件は、ビューカード(VIEW’s NET)の引き落とし日通知メールを精巧に模倣し、メール内の全リンクを攻撃者のフィッシングサイトに差し替えたフィッシングメールです。正規URLの文字列を「表示文言」として見せかけながら実際には偽ドメインに誘導する手口、誘導先URLのパスにUnicode数学用太字文字を使用する検知回避手法、正規ビューカードサーバー上の画像リソースを流用して見た目の信憑性を高める手法など、複数の巧妙な技術が組み合わされています。
送信元は creema[.]jp ドメインを詐称し、モルドバ(MD)所在のIPアドレスから送信されており、SPF認証もfailとなっています。
ビューカードからの通知メールを受信した際は、メール内のリンクを使わず、必ずブックマークやブラウザの直接入力からVIEW’s NET公式サイトにアクセスして情報を確認してください。
本記事は受信したフィッシングメールの技術解析に基づく注意喚起を目的としています。記事中のURL・ドメイン・IPアドレスは安全のため難読化処理を施しています。