公開日: 2026年5月8日 | カテゴリ: フィッシング詐欺解析 | 対象ブランド: ビューカード(JR東日本グループ)
⚠ この記事で取り上げるメールはフィッシング詐欺であることが確定しています。
ビューカード(JR東日本)を装い、「引き落とし日のお知らせ」を偽装して偽サイトへ誘導する手口です。
差出人アドレスの偽装、正規URLを表示しながら偽サイトへ遷移させるリンク偽装、URLパスへのUnicode文字埋め込みなど、複数の巧妙な手法が組み合わされています。
メール概要
見出し
| 項目 | 内容 |
|---|---|
| 件名 | ご確認:VIEW’s NETお引落日です |
| 差出人(表示名) | 株式会社ビュ ーカード ※「ビュ」と「ー」の間に不自然なスペースあり |
| 差出人(アドレス) | no-reply-BwPi[@]creema[.]jp |
| Return-Path | no-reply-BwPi[@]creema[.]jp |
| 送信日時 | 2026年5月7日 20:55:01 (JST) |
| SHA-256 | e30549a8fbd326953f44867ca239e1acc29c45369b6de442c0ec6c15fceee3f8 |
| 判定 | フィッシング(確定) |
差出人の偽装手口
観測事実
このメールの差出人アドレスは no-reply-BwPi[@]creema[.]jp です。表示名は「株式会社ビュ ーカード」ですが、「ビュ」と「ー」の間に不自然な半角スペースが挿入されています。Return-Pathも同じ no-reply-BwPi[@]creema[.]jp を指しています。
示唆
creema[.]jpは、ハンドメイドマーケットプレイス「Creema」のドメインとして一般に知られており、ビューカードとは一切関係がありません。ビューカードの正規ドメインは、公式サイトで確認できる viewcard[.]co[.]jp です。また、表示名に挿入されたスペースは、迷惑メールフィルタの文字列マッチングを回避する手法としてしばしば用いられます。
判断
差出人ドメインがビューカードの正規ドメインと完全に異なることから、ビューカードの正規送信元からのメールではないことが確認できます。
メール認証の検証結果
| 認証方式 | 結果 | 解説 |
|---|---|---|
| SPF | fail | 送信元IPがcreema[.]jpのSPFレコードで許可されていない |
| DKIM | 不明 | 検証結果が付与されていない |
| DMARC | 不明 | 検証結果が付与されていない |
SPF failの意味
観測事実: SPF(Sender Policy Framework)の検証結果は「fail」でした。smtp[.]mailfromは no-reply-BwPi[@]creema[.]jp です。
示唆: SPFは、ドメイン所有者がDNSレコードにより許可した送信元IPアドレスからのみメールを送信できる仕組みです。「fail」は、送信元IP(153[.]51[.]180[.]59)がcreema[.]jpのSPFレコードで許可されていないことを意味します。すなわち、仮にcreema[.]jpが正規の送信元であったとしても、このIPからの送信は許可されていません。
判断: SPF fail単独ではフィッシング確定の根拠とはなりませんが、差出人ドメインの不整合やその他の証拠と合わせて、不正送信を強く裏付ける指標です。
DKIM・DMARCについて
観測事実: DKIM(DomainKeys Identified Mail)およびDMARC(Domain-based Message Authentication, Reporting and Conformance)の検証結果はいずれも付与されていませんでした。
示唆: 正規の金融機関からのメールでは一般的にDKIM署名とDMARCポリシーが設定されています。検証結果が付与されていないことは、送信経路でこれらの検証が行われなかったか、署名自体が存在しなかった可能性を示唆します。
HTMLメール内のリンク構造(観測事実)
このメールのHTML本文(約3,280文字)には、合計4件のリンクが埋め込まれていることが確認されました。すべてのリンクの遷移先が同一のフィッシングドメイン jr-east[.]gfhtyhonline[.]com を指しています。
| # | 表示文言 | 遷移先(href) | 配置場所 | 特記事項 |
|---|---|---|---|---|
| 1 | (アンカーテキストなし) | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
ヘッダー領域(class: container header) | 直前文脈:「VIEW(ビューカード)VIEW’s NET ニュース」 |
| 2 | (アンカーテキストなし) | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
本文領域(class: container content) CTA・誘導ボタン候補 |
直前文脈:「▽ご請求金額とご利用明細の確認方法」付近 |
| 3 | hxxps://www[.]jreast[.]co[.]jp/card/guide/kouza_henkou/index[.]html |
hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
本文領域(class: container content) CTA・誘導ボタン候補 |
正規URLを表示しながらフィッシングサイトへ遷移 |
| 4 | 株式会社ビューカード | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
フッター領域(class: container footer) | 直前文脈:配信元表記の「株式会社ビューカード」 |
リンク#3の偽装手法(確認済み)
観測事実: 3番目のリンクは、テキストとしてJR東日本の正規URL(hxxps://www[.]jreast[.]co[.]jp/card/guide/kouza_henkou/index[.]html)を表示していますが、HTMLの href 属性は hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 に設定されています。
示唆: 利用者がこのリンクをクリックした場合、画面上は正規のJR東日本サイトへ遷移するように見えますが、実際にはフィッシングサイトに接続されます。これはHTMLメールにおける代表的なリンク偽装手法であり、利用者を欺く明確な意図を示しています。
判断: 表示URLと実際の遷移先の意図的な不一致は、フィッシングの確定的証拠です。
正規インフラの悪用(確認済み)
観測事実: このメールには、viewsnet[.]jpドメイン(VIEW’s NETのサービス名と一致)上の画像URL(hxxps://ig[.]mail[.]viewsnet[.]jp/...)やトラッキングURL(hxxps://tg[.]mail[.]viewsnet[.]jp/...)が埋め込まれており、いずれも稼働中でした。
示唆: 攻撃者がビューカードの正規メールからコンテンツをコピーし、画像やトラッキングURLをそのまま流用した可能性があります。正規インフラの画像が表示されることで、メールの見た目の信頼性が向上し、利用者が偽装に気づきにくくなります。
誘導先URLの技術解析
ドメインの偽装
観測事実: 全リンクの遷移先ドメインは jr-east[.]gfhtyhonline[.]com です。
示唆: jreast[.]co[.]jp はJR東日本の正規ドメインとして公式サイトで確認できます。攻撃者は「jr-east」というサブドメイン名を使い、JR東日本との関連を偽装していますが、実際のベースドメインは gfhtyhonline[.]com であり、JR東日本やビューカードとは無関係です。
URLパスのUnicode文字偽装(確認済み)
観測事実: URLのパス部分 𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 は、一見すると通常の「index[.]html」に見えますが、実際にはASCII文字ではなく、Unicode Mathematical Bold Small文字(例: 𝐢 = U+1D422、𝐧 = U+1D427 など)が使用されています。
示唆: 多くのフォントではこれらのUnicode文字は通常のアルファベットとほぼ同じ外見で表示されますが、文字コードが異なるため、「index[.]html」というASCII文字列に基づくURLフィルタやブラックリストをすり抜ける効果があります。これは検出回避を目的とした技術的偽装手法です。
リダイレクトチェーン
観測事実: フィッシングURLにアクセスすると、2回のリダイレクトを経て最終的に以下のURLに到達することが確認されました。
| 段階 | URL |
|---|---|
| 初期URL | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
| 最終URL(2 hop) | hxxps://jr-east[.]gfhtyhonline[.]com/%F0%9D%90%A2%F0%9D%90%A7%F0%9D%90%9D%F0%9D%90%9E%F0%9D%90%B1.%F0%9D%90%A1%F0%9D%90%AD%F0%9D%90%A6%F0%9D%90%A5/ |
| 状態 | 稼働中(2026年5月8日時点) |
最終URLのパスはUnicode文字がパーセントエンコードされた形式であり、同一ページへの遷移です。誘導先のサーバーソフトウェアは nginx/1[.]30[.]0、ページサイズは 1,447 bytes と確認されました。
送信元インフラの解析
| 項目 | 内容 |
|---|---|
| 送信元IP | 153[.]51[.]180[.]59 |
| RDAP登録国 | MD(モルドバ) |
| RDAP組織 | Abuse-C Role |
| CIDRブロック | 153[.]51[.]160[.]0/19 |
観測事実: このメールの送信元IPアドレスは153[.]51[.]180[.]59であり、RDAPの登録情報ではモルドバ(MD)に所在するIPとして記録されています。
示唆: ビューカードは日本国内の金融機関であり、公式メールがモルドバのサーバーから送信されることは一般的に想定されません。
判断: 送信元の地理的情報は、差出人偽装やSPF failの証拠と整合しており、このメールが正規のビューカードインフラから送信されたものではないことを裏付けています。
総合判断
判定: フィッシング詐欺(確定)
以下の複合的な根拠から、このメールはビューカード(JR東日本)を装ったフィッシング詐欺であると確定しました。
- 差出人偽装(確認済み): 送信元ドメイン(creema[.]jp)はビューカードとは無関係
- SPF fail(確認済み): 送信元IPはcreema[.]jpにも許可されていない
- DKIM・DMARC未付与(確認済み): 正規金融機関で一般的な認証結果が付与されていない
- 全リンクがフィッシングドメインへ遷移(確認済み): 4件すべてがjr-east[.]gfhtyhonline[.]comを指す
- 正規URL表示の偽装(確認済み): jreast[.]co[.]jpの正規URLを表示しつつフィッシングサイトに遷移
- URLパスのUnicode偽装(確認済み): フィルタ回避を目的としたMathematical Bold文字の使用
- 海外送信元(確認済み): モルドバのIPから送信されている
メール本文(全文引用)
以下は、受信したフィッシングメールの本文全文です。このメールを受信した場合は、本文内のリンクには絶対にアクセスしないでください。
VIEW(ビューカード)VIEW’s NET ニュース 《ビューカード会員の皆さまへ》 いつも「VIEW’s NET」をご利用いただき、誠にありがとうございます。 ―――――――――――――――― ▼【次回のお引き落とし日】 2026年05月20日(水) ―――――――――――――――― お引落日の前営業日(05月19日)までに、ご登録のお引落口座への残高のご準備をお願いいたします。 ※金融機関休業日の場合は、翌営業日のお引落となります。 ※金融機関休業日の場合は、その前営業日までにご登録口座への残高のご準備をお願いいたします。 ▽ご請求金額とご利用明細の確認方法 ※2020年12月11日以降にインターネットからお申込みのお客さまは、「会員専用WEBサービス」でのご確認となります。郵送をご希望の方は「会員専用WEBサービス」より変更のお続きをお願いいたします。 会員専用WEBサービス(登録無料) hxxps://www[.]jreast[.]co[.]jp/card/guide/kouza_henkou/index[.]html 【▼各種ご変更手続きのお願い】 お引越し等でご住所が変わられた場合やお届出いただいているメールアドレスをご変更された場合は、お早めに「会員専用WEBサービス」よりご変更のお手続きをお願いいたします。 お手続きがまだお済みでない場合、当行からの重要なお知らせ等が届かない場合もありますので、ご注意ください。 【▼お引落日にお引落ができなかった場合】 カードのご利用が制限され、また各種キャンペーン・特典の対象外となる場合があります。 すでに資金のご準備やお支払いがお済みのお客さまにつきましては、行き違いのご案内となりますが、何卒ご容赦くださいますようお願いいたします。 ※このメールアドレスは送信専用のため、ご返信はお受けしておりませんのでご了承ください。 ※なお、このメールにお心当たりのない場合は、下記のお問い合わせ先に記載のクレジットカードデスクまでご連絡ください。 配信元:株式会社ビューカード [住所]1号 大崎センタービル ※当社は「日本財団電話リレーサービス」にも対応しております。 Copyright(C) Viewcard Co.,Ltd. All Rights Reserved.
IOC(Indicator of Compromise)一覧
セキュリティ担当者向けに、このフィッシングメールに関連するIOCを以下にまとめます。
| 種別 | 値 | 備考 |
|---|---|---|
| SHA-256 | e30549a8fbd326953f44867ca239e1acc29c45369b6de442c0ec6c15fceee3f8 |
メールファイルのハッシュ値 |
| 送信元メールアドレス | no-reply-BwPi[@]creema[.]jp |
From / Return-Path |
| 送信元IP | 153[.]51[.]180[.]59 |
モルドバ(MD)、CIDR: 153[.]51[.]160[.]0/19 |
| フィッシングURL | hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
全リンクの遷移先、稼働中 |
| フィッシングドメイン | jr-east[.]gfhtyhonline[.]com |
ベースドメイン: gfhtyhonline[.]com |
| 画像URL | hxxps://ig[.]mail[.]viewsnet[.]jp/183/133726/9B90517ADCC0D52104EA67422B82DEB9[.]jpg |
メール内埋め込み画像、稼働中 |
| トラッキングURL | hxxps://tg[.]mail[.]viewsnet[.]jp/o/o292y_UxbWDrCftXiDblYZ1MJpOevhwvBP2lKw-MQuf3rN5shry1-YvN3zAvVzDA5M7s5Qv_8ZgEMv3tAdgXcX-CIAqxcMreHWQYR47YpLb_dLytHgvQfwOsJI54g3ZBDx7uB6MZuOyZ0A1mjVK4YXxQ |
2 hopで画像にリダイレクト、稼働中 |
| 偽装表示URL | hxxps://www[.]jreast[.]co[.]jp/card/guide/kouza_henkou/index[.]html |
リンク#3の表示テキスト(実際はフィッシングURLに遷移) |
PhishTank登録状況
2026年5月8日時点で、以下のURLがPhishTankに登録されています。
| URL | phish_id | 検証状態 |
|---|---|---|
hxxps://jr-east[.]gfhtyhonline[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
9418866 | 登録済み・未検証 |
hxxps://ig[.]mail[.]viewsnet[.]jp/183/133726/9B90517ADCC0D52104EA67422B82DEB9[.]jpg |
9418870 | 登録済み・未検証 |
hxxps://tg[.]mail[.]viewsnet[.]jp/o/o292y_Uxb...(省略) |
9418868 | 登録済み・未検証 |
この手口の見分け方
このフィッシングメールは、ビューカードの正規メールに酷似した本文と正規インフラの画像を組み合わせた巧妙な手口です。以下のポイントで見分けることができます。
- 差出人のメールアドレスを確認する
表示名は「株式会社ビューカード」ですが、実際のメールアドレスはcreema[.]jpドメインです。ビューカードの正規ドメイン(一般にviewcard[.]co[.]jpとして知られる)とは異なります。メーラーの設定によっては差出人の表示名しか見えない場合があるため、必ずメールアドレスを展開して確認してください。 - 表示名の不自然なスペースに注目する
「株式会社ビュ ーカード」のように、「ビュ」と「ー」の間に不自然な半角スペースが入っています。これはテキストフィルタの回避目的で挿入されたものと考えられ、正規メールには見られない特徴です。 - リンクにカーソルを合わせて遷移先を確認する
メール本文にはwww[.]jreast[.]co[.]jpの正規URLが表示されていますが、リンクの実際の遷移先はjr-east[.]gfhtyhonline[.]comという無関係なドメインです。リンクをクリックする前に、カーソルを合わせて(スマートフォンの場合は長押しして)実際のURLを確認してください。 - 「引き落とし日」の緊急性に焦らない
「次回のお引き落とし日」を案内することで、利用者に残高確認を急がせ、リンクをクリックさせる手口です。ビューカードの請求情報は、メール内のリンクではなく、公式アプリまたはブラウザから直接 VIEW’s NET(viewsnet[.]jp)にアクセスして確認してください。
このメールを受信した場合の対処法
- リンクをクリックしていない場合
メールを迷惑メール(フィッシング)として報告し、削除してください。それ以上の対応は不要です。 - リンクをクリックしてしまった場合
遷移先で情報を入力していなければ、ブラウザの履歴とCookieを削除してください。念のため、VIEW’s NETに公式サイトから直接アクセスし、パスワードを変更することを推奨します。 - 遷移先でログイン情報やカード情報を入力してしまった場合
- 直ちにビューカードに電話で連絡し、カードの利用停止・再発行を依頼してください
- VIEW’s NETのパスワードを公式サイトから変更してください
- 同じパスワードを他のサービスで使い回している場合は、それらも変更してください
- カードの利用明細を確認し、身に覚えのない取引がないか確認してください
- 被害の届出
フィッシング被害に遭った場合は、以下へ届出・相談してください。- フィッシング対策協議会(報告窓口)
- 警察庁サイバー犯罪相談窓口
- 消費生活センター(局番なし 188)
技術用語の解説
| 用語 | 解説 |
|---|---|
| SPF(Sender Policy Framework) | メールの送信元IPアドレスが、送信元ドメインの管理者によって許可されているかをDNSレコードで検証する仕組み。「fail」は許可されていないIPからの送信を意味する。 |
| DKIM(DomainKeys Identified Mail) | メールに電子署名を付与し、送信後に内容が改ざんされていないことを検証する仕組み。 |
| DMARC(Domain-based Message Authentication, Reporting and Conformance) | SPFとDKIMの結果に基づき、認証に失敗したメールの取り扱いポリシーをドメイン管理者が指定する仕組み。 |
| Return-Path | メールの配送エラーが返送される先のアドレス。Fromアドレスとは独立して設定できるため、偽装の検出指標となる。 |
| RDAP | IPアドレスやドメインの登録情報を照会するプロトコル。WHOISの後継として標準化されている。 |
| Unicode Mathematical Bold | 数学表記用に定義されたUnicode文字ブロック。通常のアルファベットと見た目がほぼ同じだが文字コードが異なるため、フィルタ回避に悪用されることがある。 |
| PhishTank | フィッシングURLの報告・検証・共有を行うコミュニティベースのデータベース。セキュリティ製品のブラックリスト生成にも活用されている。 |