判定:フィッシング詐欺(確定)
検出日:2026年5月19日
なりすまし対象:三菱UFJ銀行(金融機関)
SHA256:bdc4cc621702171cfa228e6c5d0be6eb2c081fd2f6ccb617150b67c2dccd5df5
三菱UFJ銀行を装い、「Pontaポイントの有効期限が迫っている」として偽サイトへ誘導するフィッシングメールを確認しました。メール上には三菱UFJ銀行の正規URLに見える文字列が表示されていますが、HTML解析の結果、実際のリンク先は全く無関係のドメインに設定されていました。本記事では、メールヘッダとHTML構造の技術解析を通じて、この手口と見分け方を解説します。
メール本文(全文引用)
見出し
以下は、実際に受信されたフィッシングメールの本文全文です。リンクは安全のため無効化しています。
【三菱UFJ銀行】Pontaポイント通知
三菱UFJ銀行をご利用いただき、誠にありがとうございます。
お客様の口座に積算されているPontaポイントの中に、まもなく有効期限を迎えるポイントがございます。
有効期限を過ぎますとポイントは失効し、ご利用いただけなくなりますのでご注意ください。━━━━━━━━━━━━━━━━━━━━
[番号] 1D2-EC5BE2A52CC7
失効予定ポイント数:8, 089
有効期限:2026年5月30日
━━━━━━━━━━━━━━━━━━━━■ ポイント残高を確認する
hxxps://debit[.]bk[.]mufg[.]jp/p/login/merber━━━━━━━━━━━━━━━━━━━━
・Pontaポイントは、1ポイント=1円として全国の提携店舗やサービスでご利用いただけます。
・本日中にご利用いただくことで、無駄なくポイントを活用いただけます。
・詳細なポイント残高や履歴は、以下のリンクより「三菱UFJダイレクト」にログインしてご確認ください。━━━━━━━━━━━━━━━━━━━━
本メールは送信専用アドレスより配信しております。
ご返信いただきましてもお答えできませんのでご了承ください。株式会社三菱UFJ銀行
[住所] 0VD8MT
技術解析
差出人情報の不整合
| 項目 | 値 |
|---|---|
| From(表示上の差出人) | 三菱UFJ銀行 <no-reply[@]bk[.]mufg[.]jp> |
| Return-Path(実際の送信元) | norep14-[受信者アドレス][@]norep14[.]aisklabel[.]com |
| 送信日時 | 2026年5月19日 11:23:06 +0800 |
観測事実:Fromヘッダにはbk[.]mufg[.]jpが設定されていますが、Return-Path(実際のエンベロープ送信者)はnorep14[.]aisklabel[.]comという全く異なるドメインです。
示唆:bk[.]mufg[.]jpは一般に三菱UFJ銀行の正規ドメインとして知られています。正規の送信であれば、FromとReturn-Pathのドメインは一致するか、同一組織が管理するドメインであることが一般的です。aisklabel[.]comは三菱UFJ銀行との関連が確認できないドメインであり、この不整合は第三者がFromヘッダを詐称していることを示唆します。
また、送信日時のタイムゾーンが+0800(UTC+8)となっています。日本標準時は+0900(UTC+9)であり、日本の金融機関が日本国外のタイムゾーン設定で送信する合理的な理由は通常考えにくいため、これも不審な点として挙げられます。
メール認証結果
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | softfail | 送信元IPがReturn-Pathドメインの許可リストに含まれていない |
| DKIM | permerror | 恒久的な検証エラー(署名の検証処理が完了できない状態) |
| DMARC | fail | Fromドメインの送信ポリシーに適合していない |
観測事実:SPFはsoftfail、DKIMはpermerror(恒久的検証エラー)、DMARCはfailという結果が観測されました。
示唆:SPF softfailは、送信元IPアドレスがReturn-Pathドメイン(norep14[.]aisklabel[.]com)のSPFレコードで明示的に許可されていないことを意味します。DKIM permerrorは、署名の検証処理が正常に完了できなかった状態を示します。DMARC failは、Fromヘッダのドメイン(bk[.]mufg[.]jp)が定めるポリシーに対して、SPF・DKIMいずれの認証も整合しなかったことを意味します。
補足 — SPF・DKIM・DMARCとは:これらはメールの送信元を検証するための仕組みです。SPFは「このドメインからのメールを送信してよいサーバーはどれか」を定義し、DKIMは「このメールが送信後に改変されていないか」を電子署名で検証し、DMARCは「SPFとDKIMの結果を組み合わせて、Fromドメインの正当性を判定する」上位のポリシーです。これら3つがすべて不合格である場合、そのメールが正規の送信元から送られたものではない可能性が高まります。
HTMLリンクの偽装(確認済み)
HTML構造を解析した結果、メール本文中に1件のリンクが確認されました。
| 項目 | 内容 |
|---|---|
| 表示文言 | hxxps://debit[.]bk[.]mufg[.]jp/p/login/merber |
| 実際の遷移先(href) | hxxps://roadcodereportcard[.]com/?type=verify&key=ynsgzduccz |
| 直前の文脈 | 「■ ポイント残高を確認する」 |
観測事実:メール上ではリンクの表示文言が hxxps://debit[.]bk[.]mufg[.]jp/p/login/merber と表示されていますが、HTMLのhref属性(実際にクリックした際の遷移先)は hxxps://roadcodereportcard[.]com/?type=verify&key=ynsgzduccz という全く異なるURLに設定されていました。
示唆:これはHTMLメールにおける典型的なリンク偽装の手法です。HTMLでは、表示されるテキストとリンク先URLを別々に指定できるため、表示上は正規URLに見えるテキストを見せながら、実際には攻撃者の管理するサーバーへ誘導することが可能です。debit[.]bk[.]mufg[.]jpは一般に三菱UFJデビットの正規ドメインとして知られていますが、実際の遷移先であるroadcodereportcard[.]comは三菱UFJ銀行との関連が確認できません。
さらに、表示文言中のURL末尾が「merber」となっている点にも注目してください。正規の三菱UFJダイレクトのログインURLでは一般的に「member」が使われると考えられますが、このメールでは「merber」と誤記されています。これは攻撃者側のテンプレート作成時の誤りである可能性が高く、偽装を見抜く手掛かりのひとつになります。
補足 — HTMLメールのリンク偽装とは:HTMLメールでは<a href="実際のURL">表示テキスト</a>という構造でリンクを作成できます。この仕組みを悪用すると、表示テキストに正規サイトのURLを書きつつ、実際にはフィッシングサイトに誘導できます。メール内のリンクをクリックする前に、リンクにカーソルを合わせて(スマートフォンの場合は長押しして)実際の遷移先URLを確認する習慣が重要です。
送信元インフラ
| 項目 | 内容 |
|---|---|
| 送信元IP | 35[.]187[.]220[.]222 |
| 管理組織 | Google LLC |
| CIDR | 35[.]184[.]0[.]0/13 |
観測事実:メールの送信元IPは35[.]187[.]220[.]222であり、Google LLCが管理するIPアドレス帯域(35[.]184[.]0[.]0/13)に属しています。
示唆:Google Cloud Platform等のクラウドインフラは誰でも利用可能なサービスであり、正規企業だけでなく攻撃者も利用できます。IPアドレスがGoogle管理下であること自体は正規・不正いずれの証拠にもなりませんが、三菱UFJ銀行が自行のメール送信にこのIP帯域を使用しているかは、SPFの結果(softfail)と合わせて判断する必要があります。
誘導先URLの状態
観測事実:誘導先URL hxxps://roadcodereportcard[.]com/ にアクセスを試みたところ、停止またはエラーの状態でした。
示唆:フィッシングサイトは発覚後やキャンペーン終了後に停止されることがありますが、一時的に停止した後に再稼働するケースも確認されています。現時点で停止していることは、今後の安全を保証するものではありません。
総合判断
以下の複合的な証拠から、本メールは三菱UFJ銀行になりすましたフィッシング詐欺と判断されます。
- 差出人の詐称(確認済み):Fromヘッダに三菱UFJ銀行の正規ドメイン(bk[.]mufg[.]jp)を設定しながら、実際の送信元(Return-Path)は無関係のドメイン(norep14[.]aisklabel[.]com)
- メール認証の全項目不合格(確認済み):SPF softfail、DKIM permerror、DMARC failの三重の認証不合格
- HTMLリンクの偽装(確認済み):表示上は三菱UFJ銀行の正規URLに見せかけながら、実際の遷移先は無関係のドメイン(roadcodereportcard[.]com)
これらの事実を個別ではなく総合的に評価した結果、三菱UFJ銀行になりすましたフィッシングメールであると確定しています。
メール構成上の特徴
このフィッシングメールには、受信者を急がせて判断力を低下させるための複数の心理的テクニックが使われています。
- ポイント失効の期限提示:「有効期限:2026年5月30日」と具体的な日付を提示し、さらに「本日中にご利用いただくことで」と緊急性を重ねて強調しています
- 具体的なポイント数の提示:「失効予定ポイント数:8, 089」と具体的な数字を挙げ、失うことへの損失回避心理を刺激しています
- 管理番号の付与:「[番号] 1D2-EC5BE2A52CC7」というランダムな英数字の管理番号を表示し、正規の事務連絡であるかのような印象を演出しています
- 署名欄の不備:メール末尾の「株式会社三菱UFJ銀行 [住所] 0VD8MT」は、住所が「[住所]」というプレースホルダのまま残されており、「0VD8MT」という意味不明の文字列が付随しています。テンプレート変数が正しく置換されていない痕跡と考えられます
- HTML専用メール:テキスト形式(text/plain)の本文が存在せず、HTML形式のみで送信されています。これはリンク偽装(表示テキストと実際のURLの乖離)を成立させるために必要な構成です
IOC一覧(侵害指標)
| 種別 | 値 | 備考 |
|---|---|---|
| 差出人(詐称) | no-reply[@]bk[.]mufg[.]jp | Fromヘッダに設定された詐称アドレス |
| Return-Path | norep14-[受信者アドレス][@]norep14[.]aisklabel[.]com | 実際の送信元 |
| Return-Pathドメイン | norep14[.]aisklabel[.]com | 送信インフラのドメイン |
| 送信元IP | 35[.]187[.]220[.]222 | Google LLC(35[.]184[.]0[.]0/13) |
| 誘導先URL | hxxps://roadcodereportcard[.]com/?type=verify&key=ynsgzduccz | 解析時点で停止/エラー |
| 誘導先ドメイン | roadcodereportcard[.]com | フィッシングサイト |
| SHA256 | bdc4cc621702171cfa228e6c5d0be6eb2c081fd2f6ccb617150b67c2dccd5df5 | EMLファイルハッシュ |
PhishTank登録状況
誘導先URL hxxps://roadcodereportcard[.]com/ は、本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受信した場合の対処
このフィッシングメール特有の手口を踏まえた対処方法です。
メールを受信しただけで、リンクをクリックしていない場合
- メールを削除してください。Pontaポイントの状態が気になる場合は、メール内のリンクではなく、三菱UFJ銀行の公式サイトまたは公式アプリから直接ログインして確認してください
- 「Pontaポイントの有効期限」という名目の通知は、正規の案内として届く場合もあり得ます。真偽を確認したい場合は、必ずブックマークや公式アプリからアクセスしてください
リンクをクリックしたが、情報は入力していない場合
- ブラウザを閉じ、閲覧履歴からアクセス先のページを削除してください
- 現時点で誘導先サイト(roadcodereportcard[.]com)は停止状態ですが、再稼働する可能性もあるため、同じURLに再度アクセスしないでください
ログイン情報やカード情報を入力してしまった場合
- 三菱UFJダイレクトのパスワード変更:公式サイトまたは公式アプリから直接ログインし、速やかにパスワードを変更してください
- 三菱UFJ銀行への連絡:三菱UFJ銀行の問い合わせ窓口に電話し、フィッシングメールで情報を入力した旨を伝えてください
- 口座の監視:不審な取引がないか、口座の入出金明細を確認してください
- 他サービスのパスワード変更:同じパスワードを他のサービスでも使い回している場合は、そちらも速やかに変更してください
見分けるためのポイント
このメールの手口から学べる、フィッシングメールを見分けるための具体的なポイントです。
- リンクの実際の遷移先を確認する:メール本文に表示されているURLが正規に見えても、HTMLメールでは表示テキストと実際のリンク先が異なる場合があります。PCではリンクにカーソルを合わせて、スマートフォンでは長押しして、実際のURLを確認してください
- URLの綴りを確認する:このメールでは正規URLの「member」が「merber」と誤記されていました。正規サービスの通知でこのような綴り間違いが含まれることは通常考えにくく、偽装を見抜く手掛かりになります
- 緊急性を煽る文面に注意する:「本日中に」「有効期限が迫っている」「失効する」といった表現で焦らせ、冷静な判断を妨げるのはフィッシングの常套手段です
- 署名欄の不自然さを確認する:このメールでは末尾に「[住所] 0VD8MT」と意味不明の文字列が記載されていました。正規の銀行からの通知にこのような不備はありません
- メール内のリンクではなく公式サイトで確認する:ポイントや口座の状況が本当に気になる場合は、メールのリンクは一切使わず、ブックマークや公式アプリから直接ログインしてください