フィッシング

【注意喚起】ポケットカード本人認証サービスに関するご案内 ― 3Dセキュア登録を装ったフィッシング詐欺を確認

2026年4月6日、ポケットカード株式会社を騙った不審メールが流通していることを確認しました。本人認証サービス(3Dセキュア)の未登録を口実にカード利用停止を示唆し、フィッシングサイトへ誘導する手口です。当該メールはフィッシング詐欺であることが確定しています。受信した場合はリンクをクリックせず、直ちに削除してください。

フィッシングメール本文のスクリーンショット
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません)
フィッシングサイトのスクリーンショット
誘導先サイトのスクリーンショット(解析時点)

目次

  1. メール概要
  2. メール本文(全文)
  3. メール認証解析
  4. 送信元インフラ解析
  5. 誘導先URL・サイト解析
  6. 中国系インフラの痕跡
  7. 総合判定と根拠
  8. IOC一覧
  9. 対処方法

メール概要

項目
件名 ポケットカード本人認証サービスに関するご案内
差出人(表示名) ポケットカード <dm[.]srqtcegii[@]pjairiv[.]cn>
Return-Path <dm[.]srqtcegii[@]pjairiv[.]cn>
送受信日時 2026年4月6日(月)16:34:05 +0800
SHA-256 a4ee46163fb9e7d32a4c9b156357d9b4431293daa8d5aac62554e2f036080e3e
なりすましブランド ポケットカード株式会社
フィッシング判定 確定

ポケットカード株式会社の公式サイトは一般に pocketcard[.]co[.]jp として知られています。本メールの差出人ドメインは pjairiv[.]cn(中国系TLD)であり、公式ドメインとは一致しません(確認済み)。

メール本文(全文)

平素よりポケットカードをご利用いただき誠にありがとうございます。

安心・安全にご利用いただくために、不正な利用を防止するため日頃から対策を強化しております。

ポケットカードは本人認証(3Dセキュア)サービスを開通していないカードについて、カードの使用機能を停止する予定です。

本人認証サービス(3Dセキュア)のご登録がお済みでない会員さまへのご案内

本人認証サービス(3Dセキュア)とは、お客さまのネットショッピングを安全にお楽しみいただくためのサービスです。

本人認証サービス(3Dセキュア)のご登録がお済みでない会員さまは、本人認証サービスが必須化されているお店で、カード決済をご利用いただけない場合がございます。

ご回答をいただけない場合、カードのご利用制限が継続されることもございますので、予めご了承ください。

【今すぐ認証する】

【手続き方法】
• ログインいただくと「ご本人さま確認」の画面が表示されます
• 内容を確認のうえ、「送信」ボタンを押下してください。

※このメールは送信専用アドレスから配信されています
ご返信いただいてもお答えできませんのでご了承ください。

ポケットカード株式会社。

文面の危険ポイント

  • 「カードの使用機能を停止する予定」:緊急性を煽り、冷静な判断を妨げる典型的な手口
  • 「ご回答をいただけない場合、カードのご利用制限が継続される」:不安を継続させて行動を強制する圧力表現
  • 「送信専用アドレス」:返信によるドメイン確認を防ぐ意図がある可能性
  • 「ポケットカード株式会社。」(句点付き):正規メールでは一般的に使われない不自然な文末表記(補助指標)

メール認証解析

認証項目 結果 解説
SPF pass 送信元IP 150[.]5[.]131[.]181 は pjairiv[.]cn のSPFレコードで明示的に許可されている(確認済み)
DKIM pass 攻撃者が管理するドメイン pjairiv[.]cn の秘密鍵で署名されており、署名としては有効
DMARC pass FromヘッダのドメインとDKIM署名ドメインが一致するため通過

「全認証pass」が意味することと落とし穴

観測事実:SPF・DKIM・DMARCはいずれもpassを示している。

示唆:これらの認証は「pjairiv[.]cn というドメインが正規に設定されたインフラから送信された」ことを保証するに過ぎない。SPF/DKIM/DMARCは、そのドメインがポケットカード株式会社の公式ドメインかどうかは一切検証しない。

総合判断:攻撃者は pjairiv[.]cn というドメインを取得し、自らSPFレコード・DKIM鍵・DMARCポリシーを設定した上で送信している。このため全認証がpassとなるが、これは「ポケットカードを名乗る資格がある」ことを意味しない。メールの正当性は認証結果だけで判断できず、差出人ドメインが公式かどうかを確認することが重要。

技術解説:SPF/DKIM/DMARCとは
SPFは「このIPからメールを送っていいか」を宣言するDNSレコードです。DKIMは送信メールに電子署名を付与し、改ざんがないことを証明します。DMARCはSPFやDKIMと表示名(Fromヘッダ)の一致を検証し、不正利用を防ぐポリシーです。しかしいずれも「ドメインの所有者が正規の企業かどうか」は検証しません。攻撃者が架空ドメインを登録してすべてを設定すれば、全認証passのフィッシングメールは作成可能です。

送信元インフラ解析

項目
送信元IP 150[.]5[.]131[.]181
所在国 HK(香港)
ネットワーク組織 IRT-BYTEPLUS-SG
CIDR 150[.]5[.]128[.]0/18
差出人ドメイン pjairiv[.]cn(中国系TLD)

観測事実:送信元IPは香港に所在し、BytePlus(ByteDanceの法人向けクラウドサービス)が管理するIPレンジに属する。差出人ドメインは .cn TLDを使用している。

示唆:ポケットカード株式会社は日本の企業であり、一般に公式メール配信インフラは日本国内または信頼できる国内メール配信サービスを利用することが多い。香港所在・中国系クラウドインフラからの送信は、正規送信元としての整合性に疑問を呈する。

総合判断:送信インフラの地理的・組織的帰属が公式ドメインと乖離していることは、他の証拠と合わせてフィッシング判定を支持する補助証拠となる(単独では断定しない)。

誘導先URL・サイト解析

フィッシングURL

項目
誘導URL hxxps://dmwmztgi[.]nynrfba[.]cn/netsgvice/logyino/
サーバー nginx/1[.]28[.]2
ソースサイズ 1,780 bytes(非常に軽量)
稼働状況 稼働中(確認済み)
ドメインTLD .cn(中国系)

URLの偽装手法

URLのパス構造 /netsgvice/logyino/ は「netservice」「login」を意図的に文字入れ替えした可能性が高い(補助指標)。正規ドメイン pocketcard[.]co[.]jp とは無関係の第三者ドメインが使用されている(確認済み)。

ソースサイズが1,780バイトと極めて小さいことは、ページ本体がJavaScriptや外部リソースの動的読み込みで構成されているか、TDS(Traffic Distribution System)による振り分けが行われている可能性を示唆する。TDSとは、アクセス元のIPアドレス・ユーザーエージェント・地域などに基づいてトラフィックを動的に誘導するシステムであり、セキュリティ研究者や自動クローラーからのアクセスに対しては無害なページを返し、標的ユーザーにのみフィッシングページを表示させる手口に悪用される。

中国系インフラの痕跡

本メールには複数の中国系インフラ利用を示唆する指標が含まれています。これらは推定であり、断定的な帰属を示すものではありません。

  • X-Mailer: Foxmail 6, 13, 102, 15 [cn](確認済み):Foxmailは中国・テンセント(Tencent)が開発するメールクライアント。ヘッダの [cn] は中国語ロケール設定を示唆
  • 中国語フォント指定: 微软雅黑(Microsoft YaHei)(確認済み):HTMLメール本文内に中国語フォントが埋め込まれている
  • 差出人・誘導先ドメインに .cn TLDを使用(確認済み)
  • 送信元IPが香港(HK)所在のByteplus管理ネットワーク(確認済み)
  • タイムゾーン +0800(確認済み):中国標準時(CST)と一致

総合判定と根拠

判定:フィッシング(確定)

以下の複合証拠に基づき、本メールをフィッシング詐欺と確定判定します。

  1. 差出人ドメインの詐称(確認済み):メール表示名に「ポケットカード」と記載しているが、実際の差出人ドメインは pjairiv[.]cn であり、公式ドメイン pocketcard[.]co[.]jp とは完全に異なる(根拠:Fromヘッダ、Return-Path)
  2. 非公式ドメインへの誘導(確認済み):リンク先は dmwmztgi[.]nynrfba[.]cn であり、正規ドメインと一切関係のない第三者ドメイン(根拠:URL解析結果)
  3. 送信インフラの海外帰属(確認済み):送信元IPが香港・BytePlus管理ネットワークに属し、公式日本国内インフラとの整合性がない(根拠:RDAP/IPWhois情報)
  4. 中国系メーラー・フォントの痕跡(確認済み):Foxmail(中国語ロケール)使用、中国語フォント「微软雅黑」埋め込み(根拠:メールヘッダ・HTMLソース)
  5. 恐怖を利用した誘導(確認済み):「カード使用機能を停止」「ご利用制限が継続」という脅し文句でユーザーを焦らせ、リンクへ誘導する典型的なソーシャルエンジニアリング手法(根拠:メール本文)

なお、SPF/DKIM/DMARCが全passとなっているのは、攻撃者が pjairiv[.]cn ドメインに対して認証設定を正しく行っているためです。これは「正規メール」であることの証明にはならず、むしろ巧妙に認証をすり抜ける手口として評価されます。

IOC一覧

メール識別情報

種別
SHA-256 a4ee46163fb9e7d32a4c9b156357d9b4431293daa8d5aac62554e2f036080e3e
件名 ポケットカード本人認証サービスに関するご案内
差出人メールアドレス dm[.]srqtcegii[@]pjairiv[.]cn
差出人ドメイン pjairiv[.]cn

送信元インフラ

種別
送信元IP 150[.]5[.]131[.]181
CIDR 150[.]5[.]128[.]0/18
ネットワーク組織 IRT-BYTEPLUS-SG
所在国 HK(香港)

フィッシングURL・ドメイン

種別
フィッシングURL hxxps://dmwmztgi[.]nynrfba[.]cn/netsgvice/logyino/
フィッシングドメイン dmwmztgi[.]nynrfba[.]cn
上位ドメイン nynrfba[.]cn

PhishTank登録状況

本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
dmwmztgi[.]nynrfba[.]cn 入口URL 稼働中 メール本文

対処方法

このメールを受信した場合

  1. リンクをクリックしない:メール内の「今すぐ認証する」などのリンクは絶対にクリックしないでください。すでにクリックした場合は次のステップへ進んでください
  2. 情報を入力しない:誘導先ページが表示されても、カード番号・有効期限・セキュリティコード・ログインパスワードなどの入力は行わないでください
  3. ブラウザ履歴・キャッシュを削除:フィッシングサイトにアクセスした場合、ブラウザの閲覧履歴とキャッシュを削除してください
  4. 情報を入力してしまった場合は即座にカード停止:ポケットカードの公式サイト(pocketcard[.]co[.]jp)またはカード裏面の電話番号へ連絡し、カードの利用停止を依頼してください。URLは必ず自分で入力するかブックマークから開き、メールのリンクからは絶対に開かないでください
  5. パスワードを変更:フィッシングサイトでログイン情報を入力した可能性がある場合、ポケットカードのアカウントパスワードを変更してください。同じパスワードを他サービスでも使用している場合はそちらも変更を

3Dセキュア登録の正しい確認方法

3Dセキュアの登録状況を確認・変更したい場合は、メール内のリンクからではなく、ブラウザのアドレスバーに直接 pocketcard[.]co[.]jp と入力するか、公式アプリからログインして確認してください。正規のカード会社は「メール内リンクからのみ手続き可能」という案内を行いません。

今後の見分け方

  • 差出人メールアドレスの「@」より後ろのドメイン部分を確認する(表示名ではなく実際のアドレス)
  • リンクをクリックする前にマウスオーバーで実際のURLを確認し、公式ドメインかどうか確かめる
  • 「カードを停止する」「今すぐ手続き」などの緊急性を煽る表現には冷静に対処する
  • メールアドレスに見慣れないドメイン(特に .cn など)が含まれる場合は警戒する

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,