このメールはフィッシング詐欺です(確定)
株式会社オリコ(eオリコカード)を装い、偽サイトへ誘導する不正メールが確認されました。メール内のリンクは絶対にクリックしないでください。SPF認証失敗・DMARC認証失敗・ブランド詐称の複合根拠により、フィッシングと判定しています。
メールの基本情報
見出し
| 件名 | e オ リ コ カ ー ド ご利用についてのご案内とご確認のお願い |
|---|---|
| 差出人 | O r i c o <harutakehara[.]moriya[@]rabbitfieldsnack[.]mgrdkou[.]cn> |
| Return-Path | katsuotanisawa1952[@]flash[.]wkjqcyu[.]shop |
| 送信日時 | 2026年5月18日 07:46:34 (JST) |
| 送信元IP | 27[.]25[.]65[.]235 |
| X-Mailer | UnifiedMailer/1[.]0 |
| SHA256 | 71a6b74d1c65aa418a331cce5f98f9fe2cf702923c9e551eabeba14650ccfb83 |
メール本文(全文引用)
以下はフィッシングメールの本文を全文引用したものです。検索で本記事にたどり着けるよう、原文のまま掲載しています。
ヸらエぱデぐユうぢ核ぷ姮揄ゃヰノガ墭礕ゖ eおオリコカード|ご利用明細の通知 日頃よりeオリコカードをご愛顧いただき誠にありがとうございます。 お客様のカードによるお引き落としが正常に完了いたしました。 下記のリンクより、詳細なご利用明細をご確認いただけます。 万が一、身に覚えのないご利用がございましたら、速やかに弊社までご連絡をお願いいたします。 顧客配信システムVer6[.]3 ORICO-2026-CARD-NOTICE ご利用明細の確認はこちら ※本メールは送信専用です。返信はお受けできません。 ご不明な点はeオリコカスタマーセンターまでお問い合わせください。 株式会社オリコ [郵便番号] [住所]地 © ORICO CORPORATION All Reserved 顧客サポート通知配信
技術的分析
1. 送信元の不審点
FromアドレスとReturn-Pathの不整合(確認済み)
観測事実:このメールのFromアドレスのドメインは rabbitfieldsnack[.]mgrdkou[.]cn ですが、Return-Path(エンベロープ送信者)のドメインは flash[.]wkjqcyu[.]shop です。Fromアドレスが [.]cn(中国のccTLD)、Return-Pathが [.]shop(gTLD)と、まったく異なるドメインが使い分けられています。
示唆:正規の企業メール配信では、Fromアドレスのドメインとエンベロープ送信者のドメインは通常一致するか、同一組織が管理するドメインが使用されます。2つの無関係なドメインが併用されていることは、このメールが正規のメール配信基盤から送信されたものではないことを示唆します。
補足:株式会社オリコの正規ドメインは、一般に orico[.]co[.]jp として知られています。Fromアドレス・Return-Pathのいずれも、この正規ドメインとは無関係です。
差出人表示名の偽装(確認済み)
観測事実:メールの差出人表示名が「O r i c o」と、文字間にスペースが挿入されています。
示唆:正規の企業メールでは、表示名にこのような不自然なスペースを挿入することはありません。この手法は、スパムフィルターのキーワード検知を回避するために使用されることが一般的に知られています。
2. メール認証の検証結果
| 認証 | 結果 | 意味 |
|---|---|---|
| SPF | fail | 送信元IPアドレス(27[.]25[.]65[.]235)が、エンベロープ送信者ドメイン(wkjqcyu[.]shop)のSPFレコードで許可されていない |
| DKIM | pass | メールに付与されたDKIM署名の暗号検証には成功 |
| DMARC | fail | Fromヘッダのドメインに対し、SPF・DKIMいずれのアライメント(整合性)も確認できなかった |
技術解説(SPF):SPF(Sender Policy Framework)は、メールの送信元IPアドレスが、そのドメインの管理者によって許可されているかを検証する仕組みです。このメールでは、エンベロープ送信者ドメイン wkjqcyu[.]shop のSPFレコードが送信元IP 27[.]25[.]65[.]235 を許可しておらず、fail となっています。
技術解説(DKIM / DMARC):DKIM(DomainKeys Identified Mail)は、メールの改ざん検知のための電子署名技術です。このメールではDKIM署名の検証自体には成功(pass)していますが、DMARC(Domain-based Message Authentication, Reporting and Conformance)は fail です。これはなぜでしょうか。DMARCは、SPFまたはDKIMの認証ドメインがFromヘッダのドメインと一致すること(アライメント)を要求します。DKIM署名が有効であっても、署名ドメインがFromヘッダのドメイン(mgrdkou[.]cn)と一致していなければ、DMARCのアライメントは成立しません。つまり、DKIM passはこのメールが「オリコからの正規メール」であることを証明するものではありません。
総合判断:SPF fail(送信元IPが未許可)、DMARC fail(ドメインアライメント不成立)、さらにFrom / Return-Pathの不整合を組み合わせると、このメールは株式会社オリコの正規インフラから送信されたものではないことが確認できます。
3. 件名のフィルター回避手法(確認済み)
観測事実:件名は「e オ リ コ カ ー ド ご利用についてのご案内とご確認のお願い」と、「eオリコカード」の部分に1文字ずつスペースが挿入されています。
示唆:この手法は、メールセキュリティ製品が「eオリコカード」というブランド名をキーワードマッチで検知することを回避する目的で使用されます。人間の目には問題なく読めますが、機械的なパターンマッチでは一致しなくなります。正規のオリコからのメールでは、件名にこのような不自然なスペースは挿入されません。
4. HTML本文の構造分析
ランダムUnicode文字列の挿入(確認済み)
観測事実:HTML本文の冒頭に「ヸらエぱデぐユうぢ核ぷ姮揄ゃヰノガ墭礕ゖ」という無意味な文字列が挿入されています。この中には、現代日本語ではほぼ使用されないカタカナ(ヸ:ワ行ヰの濁音、ゖ:小書きヶ)や、一般的でない漢字(姮、墭、礕、揄)が含まれています。
示唆:このような文字列を挿入する手法は「ハッシュバスター」として知られ、送信ごとにメール本文のハッシュ値を変化させることで、スパムフィルターの既知パターン照合を回避します。件名のスペース挿入と合わせ、このメールには複数のフィルター回避手法が組み込まれています。
偽のシステム識別子(確認済み)
観測事実:本文中に「顧客配信システムVer6[.]3 ORICO-2026-CARD-NOTICE」という文字列が記載されています。
示唆:このような内部システム名を装った文字列を挿入することで、受信者に「正規の配信システムから自動送信されたメール」であるかのような印象を与える効果があります。
誘導リンクの分析(確認済み)
観測事実:HTML本文内のリンクは1件のみで、以下の構造が確認されました。
| 表示文言 | ご利用明細の確認はこちら |
|---|---|
| リンク先URL | hxxps://xuesqj[.]cn/kaNyXslgm6[.]kyoto[.]com |
| 直前の文脈 | 「身に覚えのないご利用がございましたら、速やかに弊社までご連絡をお願いいたします。 顧客配信システムVer6[.]3 ORICO-2026-CARD-NOTICE」の直後に配置 |
| 用途 | CTA(誘導ボタン候補) |
示唆:「身に覚えのないご利用があれば連絡を」という不安を煽る文言の直後にリンクを配置することで、受信者の不安心理を利用し、冷静な判断をする前にクリックさせる構造になっています。リンク先ドメイン xuesqj[.]cn は株式会社オリコの正規ドメイン(一般に orico[.]co[.]jp として知られている)とは無関係です。
5. 誘導先URLの分析
URL構造の特徴(確認済み)
観測事実:誘導先URLは hxxps://xuesqj[.]cn/kaNyXslgm6[.]kyoto[.]com です。実際の接続先ドメインは xuesqj[.]cn(中国のccTLD)であり、URLパス部分に含まれる kyoto[.]com は単なるパス文字列であって接続先ではありません。
示唆:URLパス内に kyoto[.]com のようなドメイン名に見える文字列を含めることで、URLを一見したときに日本に関連するドメインであるかのような印象を与える効果があります。
リダイレクトチェーン(確認済み)
| 段階 | URL | 状態 |
|---|---|---|
| 初期URL | hxxps://xuesqj[.]cn/kaNyXslgm6[.]kyoto[.]com |
稼働中 |
| 最終到達先(2ホップ後) | hxxps://www[.]yahoo[.]co[.]jp/ |
— |
示唆:調査環境からのアクセスでYahoo! JAPANのトップページへリダイレクトされる挙動は、TDS(Traffic Distribution System)の特徴と一致します。TDSとは、アクセス元のIPアドレス・ブラウザ種別・地域などの条件に基づいて、表示するページを動的に振り分ける仕組みです。一般的に、セキュリティ調査環境からのアクセスには無害なサイトを表示し、標的となる一般ユーザーにはフィッシングページを表示するという使い分けが行われます。このため、現時点でYahoo! JAPANに転送されることは、このURLが安全であることを意味しません。
6. メール送信基盤の特徴
観測事実:X-Mailerヘッダに「UnifiedMailer/1[.]0」が設定されています。この名称は、一般的な商用メール配信サービスや主要なMTA(Mail Transfer Agent)としては知られていません。
示唆:独自のメーラー名称が使用されていることは、フィッシングメール配信のために構築された専用ツールが使用されている可能性を示しています。
フィッシング判定の総合根拠
以下の複合的な証拠を総合し、このメールをフィッシング詐欺と判定しています。いずれか単独ではなく、複数の証拠が相互に補強し合う形で結論を支えています。
- SPF fail(確認済み)— 送信元IPがエンベロープ送信者ドメインで許可されていない
- DMARC fail(確認済み)— FromドメインとのSPF・DKIMアライメントがいずれも不成立
- ブランド詐称(確認済み)— 株式会社オリコの名称・サービス名を使用しているが、送信元はオリコの正規ドメイン(
orico[.]co[.]jp)と無関係 - From / Return-Path不整合(確認済み)—
mgrdkou[.]cnとwkjqcyu[.]shopの2つの無関係なドメインが使い分けられている - 複数のフィルター回避手法(確認済み)— 件名のスペース挿入、差出人名のスペース挿入、本文冒頭のランダムUnicode文字列
- 不審な誘導先ドメイン(確認済み)—
xuesqj[.]cn(中国のccTLD)への誘導。TDSによる条件付きリダイレクトの挙動を確認
IOC(Indicators of Compromise:侵害指標)一覧
| 種別 | 値 | 備考 |
|---|---|---|
| メールアドレス | harutakehara[.]moriya[@]rabbitfieldsnack[.]mgrdkou[.]cn |
Fromアドレス |
| メールアドレス | katsuotanisawa1952[@]flash[.]wkjqcyu[.]shop |
Return-Path(エンベロープ送信者) |
| ドメイン | rabbitfieldsnack[.]mgrdkou[.]cn |
Fromドメイン |
| ドメイン | mgrdkou[.]cn |
From側 親ドメイン |
| ドメイン | flash[.]wkjqcyu[.]shop |
Return-Pathドメイン |
| ドメイン | wkjqcyu[.]shop |
Return-Path側 親ドメイン |
| ドメイン | xuesqj[.]cn |
誘導先ドメイン |
| URL | hxxps://xuesqj[.]cn/kaNyXslgm6[.]kyoto[.]com |
フィッシングURL(稼働中・TDS経由) |
| IPアドレス | 27[.]25[.]65[.]235 |
送信元IPアドレス |
| SHA256 | 71a6b74d1c65aa418a331cce5f98f9fe2cf702923c9e551eabeba14650ccfb83 |
メールファイルハッシュ |
PhishTank登録状況
hxxps://xuesqj[.]cn/kaNyXslgm6[.]kyoto[.]com は、本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処
メール内のリンクをクリックしていない場合
- メールを開いただけでは被害は発生しません。このメールを削除してください。
- 件名に不自然なスペースがあるメール(「e オ リ コ カ ー ド」のように1文字ずつ区切られている)は、フィッシングの典型的な特徴です。今後も同様の手口に注意してください。
- 差出人のメールアドレスを確認する習慣をつけてください。表示名が「Orico」であっても、実際のメールアドレスが
orico[.]co[.]jp以外のドメインであれば、偽メールの可能性があります。
リンクをクリックしてしまった場合
- カード番号・暗証番号・パスワード等を入力した場合は、直ちに株式会社オリコのカスタマーセンター(公式サイト
orico[.]co[.]jpに記載の電話番号)に連絡し、カードの利用停止を依頼してください。 - ID・パスワードを入力した場合は、eオリコの公式サイトから直接ログインし、パスワードを変更してください。同じパスワードを他のサービスでも使用している場合は、それらも変更してください。
- カードの利用明細を確認し、身に覚えのない請求がないか確認してください。
見分け方のポイント(この手口固有の特徴)
- 件名のスペース挿入:「e オ リ コ カ ー ド」のようにブランド名が1文字ずつスペースで区切られている
- 差出人アドレスの確認:正規のオリコからのメールは
orico[.]co[.]jpドメインから送信されます。[.]cnや[.]shopドメインからのメールは偽物です - 本文冒頭の文字化け風文字列:「ヸらエぱデぐユうぢ…」のような意味不明な文字列がメール冒頭に表示される
- 「引き落とし完了」で不安を煽る手法:身に覚えのない引き落とし通知で焦らせ、偽サイトへ誘導する典型的な手口です
- リンク先URLの確認:リンクにマウスを合わせ(タップ長押し)、表示されるURLが
orico[.]co[.]jpでなければクリックしないでください
オリコの利用明細を確認したい場合は、メール内のリンクは使わず、ブラウザから直接 eオリコの公式サイトにアクセスしてログインしてください。