【注意喚起】Mastercardセキュリティ認証手続きのご案内（認証手続き）— フィッシングメール解析レポート

概要

2026年3月31日（火）、Mastercardを名乗るフィッシングメールが確認されました。件名は
「Mastercardセキュリティ認証手続きのご案内（認証手続き）」で、
不審な取引が検出されたとして偽の確認リンクへの誘導を試みる手口です。
送信元ドメイン・誘導先URL・送信インフラの複合分析により、フィッシングと確定しています。

Mastercardの正規の連絡は、一般にmastercard[.]com またはmastercard[.]co[.]jpドメインから行われることが公式サイトで確認できます。
本メールの送信元はこれらとは無関係のドメインであり、正規の通信路を模倣した詐欺メールです。

メールヘッダー情報

メール本文（全文）

以下は受信したメールの本文全文です。手口の記録と被害防止を目的として引用します。

製品のお知らせ

【MasterCard】カードご利用確認のお願い

平素よりMasterCardをご利用いただき誠にありがとうございます。

不審な取引が検出されたため、カードの安全性を確認させていただく必要がございます。

下記リンクより、ご利用内容のご確認をお願いいたします。

確認が行われない場合、一部の機能に制限がかかる可能性がございます。

ご利用内容を確認する

■ 手続き期限：本メール受信後48時間以内にご対応ください。

※本メールは自動送信です。返信は受け付けておりません。

ご不明な点は公式サイトをご確認ください。

© 2026 MasterCard Japan. All rights reserved.

【手口の解説】「不審な取引が検出された」という偽の警告、「48時間以内」という期限による焦らせ、
そして「ご利用内容を確認する」という行動を促すリンクの組み合わせは、
フィッシングメールで広く使われる典型的な心理的誘導パターンです。
正規のカード会社が利用者に緊急操作を求める場合、公式アプリや公式サイトへの直接アクセスを案内するのが一般的であり、
メール内のリンクを直接クリックさせる形式は正規通信と大きく異なります。

メール認証解析

メール認証（SPF / DKIM / DMARC）は、送信元の正当性を検証するための仕組みです。
ただし、認証の「pass」は「正規の組織が送った」ことを意味しません。
詐欺師が自前のドメインにSPF/DKIMを正しく設定すれば、「自分のドメインから送った」という意味でpassになります。
判断は認証結果のみに依拠せず、送信元ドメインが正規組織のものかどうかと組み合わせて行う必要があります。

【総合判断】SPFとDKIMはいずれも攻撃者管理ドメイン（ladderivory[.]ypzfxee[.]cn）に対して評価されており、
Mastercardになりすましていることを否定しない。送信元ドメインがMastercardの正規ドメインと無関係であること、
送信IPが中国に帰属するインフラであること、誘導先URLが非公式ドメインであることを合わせた複合根拠から、
フィッシングと確定する。

送信元インフラ解析

差出人ドメイン（ladderivory[.]ypzfxee[.]cn）

【観測事実】メールのFromアドレスおよびReturn-PathはいずれもMastercardの正規ドメインとは無関係の
ladderivory[.]ypzfxee[.]cnドメインを使用している。
【示唆】表示名を「マスターカード」としながら、実際の送信元を正規ドメインとは異なる第三者ドメインに偽装しており、
視覚的なブランド詐称を意図していることが強く示唆される。
【判断】Mastercardの正規送信元がypzfxee[.]cnドメインを使用するとは考えられず、ブランド詐称の確認済み証拠とする。

送信元IPアドレス（122[.]188[.]26[.]103）

【観測事実】RDAP情報によると、送信IPアドレス122[.]188[.]26[.]103は
中国の組織IRT-CU-CNに帰属するCIDR 122[.]188[.]0[.]0/14に含まれる。
【示唆】Mastercardの正規メール送信インフラが中国ISP管理アドレスから送信を行うとは、
一般に考えられない。
【判断】送信インフラの地理的帰属は、正規Mastercardメールではないことを支持する補助証拠とする。

誘導先URL解析

検出URL

【観測事実】メール本文中の誘導リンクは hxxps://izzmoir[.]cn/u/dcnedkjigo を指しており、
このドメインはMastercardの正規ドメインとは一切無関係。解析時点ではサイトは停止またはエラー状態にある。
【示唆】非公式の.cnドメインを利用した誘導先は、クレジットカード情報や個人情報の詐取を目的としたフィッシングサイトである可能性が高い。
解析時点での停止は、運営者がアクセス解析に基づきサイトを断続的に切り替えている可能性、またはすでに別URLへ移行した可能性を示す。
【判断】Mastercardへのなりすましと非公式誘導先URLの組み合わせは、フィッシング確定の中核証拠。

IOC一覧（Indicators of Compromise）

以下は本インシデントに関連する技術的指標です。セキュリティ製品への登録や調査にご活用ください。

メール識別子

送信インフラ

誘導先

PhishTank登録状況

本記事公開時点で hxxps://izzmoir[.]cn/u/dcnedkjigo はPhishTankに未登録です。当社にて登録申請を行います。

対処方法

本メールの手口に応じた具体的な対処方法を示します。

このメールを受け取った場合

• リンクをクリックしない。
  本文中の「ご利用内容を確認する」リンクは hxxps://izzmoir[.]cn に誘導します。Mastercardの正規サイトへのリンクではありません。
  クリックした場合は、誘導先サイトでは絶対に情報を入力しないでください。
• カードの利用確認はアプリか公式サイトから直接行う。
  本当に不審な取引が発生していないか確認したい場合は、メール内リンクを経由せず、
  ブラウザのアドレスバーにMastercardの正規URLを直接入力してアクセスしてください。
  公式サイトはmastercard[.]co[.]jpで確認できます。
• カード番号・有効期限・CVVを入力してしまった場合は即座に発行元へ連絡。
  カード会社のカスタマーサポートに連絡し、不審取引の確認とカードの利用停止を依頼してください。

メールアドレスの確認方法

表示名が「マスターカード」であっても、送信元アドレスのドメイン部分を必ず確認してください。
本メールの場合、kitanomiho_higashimurayama[@]ladderivory[.]ypzfxee[.]cnであり、
Mastercardの正規ドメインとは無関係です。
多くのメールクライアントでは表示名だけが目立つように表示されるため、
アドレス全体を展開して確認する習慣が重要です。

組織・企業向け

• メールフィルタリングルールに ladderivory[.]ypzfxee[.]cn および izzmoir[.]cn を登録してください。
• 送信IPアドレス 122[.]188[.]26[.]103 のブロックを検討してください。
• DNSフィルタリング製品を利用している場合、izzmoir[.]cn をブロックリストに追加してください。
• 利用者向けに、Mastercard名義の偽メールが流通していることを周知してください。

記事情報