【注意喚起】「カードの不正利用被害を防止するため、緊急停止措置を行いました」Vpassを装うフィッシングメールの解析
解析データに基づいてフィッシング注意喚起記事をHTML形式で作成します。
公開日: 2026年4月17日
分類: フィッシング詐欺(確定)
なりすましブランド: Vpass(VJAグループ)
このメールはフィッシング詐欺です
本記事で解説するメールは、Vpass(VJAグループ)を装ったフィッシング詐欺メールであることが確定しています。メール内のリンクを絶対にクリックしないでください。カード情報やログイン情報を入力した場合は、直ちにカード会社へ連絡してください。
解析時点でフィッシングサイトの稼働が確認されています。
概要
見出し
2026年4月16日、Vpass(VJAグループ)のカード管理事務局を装い、「カードの不正利用被害を防止するため、緊急停止措置を行いました」という件名のフィッシングメールが確認されました。
このメールは、カードの不正利用を検知したと偽り、48時間以内にVpassへログインして本人確認を行うよう促す内容です。しかし、メール内のリンク先はVpassの正規サイトではなく、巧妙に偽装されたフィッシングサイトです。
本記事では、このフィッシングメールの手口を技術的に解説し、見分け方と対処法をお伝えします。
メール概要
| 項目 | 内容 |
|---|---|
| 件名 | カードの不正利用被害を防止するため、緊急停止措置を行いました |
| 差出人(表示名) | Vpass【JAカード管理事務局】 |
| 差出人(実際) | no-reply[@]vpass-vja-card-server-c9v8b7n6m5d7f7h6g5h4k5g7u6t3e6-a9[.]zpfgrshakgr[.]top |
| Return-Path | no-reply[@]vpass-vja-card-server-c9v8b7n6m5d7f7h6g5h4k5g7u6t3e6-a9[.]zpfgrshakgr[.]top |
| 送信日時 | 2026年4月16日 22:06:35(JST) |
| 送信元IP | 34[.]6[.]18[.]94(Google LLC) |
| X-Mailer | 9o3bb |
| SHA-256 | 6fa63cedaf29185dda4514aba0be7e920a0627c1f57fce3aca7d9a076a07b0cf |
メール本文
以下は、受信者に表示されるメール本文の内容です(後述するランダム文字列挿入を除去した可読テキスト)。
[受信者] 様
【重要】第三者による不正利用の可能性に関するお知らせ
いつもVpassおよびVJAグループ加盟各社のカードをご利用いただき、誠にありがとうございます。
弊社独自のシステムにより、お客様のカードに通常とは異なるログインおよび決済を検知したため、現在カードのご利用を一時的に制限しております。
■ 検知日時 2026/04/16 22:06:35
■ 接続地域 東京都内 (IP: 121[.]198[.]250[.]75)
■ 利用端末 Chrome 123 5[.]0[.]6312[.]122 (Windows)
■ 決済金額 148,500円本利用にお心当たりがない場合、不正利用防止のため、本メール送信から48時間以内にVpassへログインし、本人確認および利用照会をお願いいたします。
※お手続き完了後、不審な注文は自動的にキャンセルされ、制限も解除されます。
Vpassで本人確認を行う(※このリンクはフィッシングサイトへの誘導です)
VJAグループ カスタマーサポートセンター
TEL:03-5643-0011
〒103-0016 東京都中央区日本橋小網町14-1※本メールは送信専用です。48時間以内に手続きがない場合、カードは自動的に再発行(停止)対象となります。
(C) 2026 VJA. All Rights Reserved.
技術解析
1. URL偽装:Unicode DIVISION SLASHを悪用した巧妙な手口
このフィッシングメールで最も注目すべき技術的特徴は、URLの偽装にUnicode文字を悪用している点です。
【観測事実】 メール内の誘導先URLは以下の構造をしています。
|
1 |
hxxps://www3[.]vpass[.]ne[.]jp<span style="color: #d32f2f; font-weight: bold;">%E2%88%95</span>n8n4yzz<span style="color: #d32f2f; font-weight: bold;">%E2%88%95</span>smkysmn2xz4agtek29pp2kdvrwtsrtu6slmo1eaqllwpxplf13qepwx5<span style="color: #d32f2f; font-weight: bold;">[@]</span>ctrl-9game[.]com/DncO1P |
一見すると www3[.]vpass[.]ne[.]jp で始まる正規のVpass URLに見えますが、URL中の「/」に見える文字は実際にはU+2215(DIVISION SLASH: ∕)というUnicode文字です。これはRFC 3986で定義されるパス区切り文字(U+002F: /)とは異なる文字です。
【示唆】 URLの仕様上、@ の前はすべて「ユーザー情報(userinfo)」として扱われます。Unicode偽装スラッシュはパス区切りとして機能しないため、@ より前の部分(www3[.]vpass[.]ne[.]jp∕...)はすべてユーザー情報として無視され、ブラウザが実際に接続するのは @ の右側にある ctrl-9game[.]com です。
| 要素 | 内容 |
|---|---|
| 見かけのドメイン | www3[.]vpass[.]ne[.]jp(正規Vpassに見える) |
| 実際の接続先 | ctrl-9game[.]com(フィッシングサイト) |
| 偽装手法 | U+2215(DIVISION SLASH)をURLパス区切りに偽装 |
【総合判断】 この手法は、URLを注意深く確認するユーザーさえも欺くことを意図した高度な偽装です。一般的なフィッシングメールではURLを短縮したり、似たドメイン名を使用しますが、本件ではUnicode文字の視覚的類似性を悪用することで、正規ドメインそのものがURL内に含まれているように見せかけています。
正規のVpass URLとの比較
| 正規 | 本件フィッシング | |
|---|---|---|
| ドメイン | 一般にVpassの正規ドメインは vpass[.]ne[.]jp として知られています | ctrl-9game[.]com |
| URLパス区切り | U+002F(通常のスラッシュ /) | U+2215(DIVISION SLASH ∕) |
| @記号 | 通常のURLには含まれない | ドメイン偽装に使用 |
2. メール認証結果(SPF / DKIM / DMARC)
| 認証方式 | 結果 | 解説 |
|---|---|---|
| SPF | none | 送信ドメイン zpfgrshakgr[.]top のSPFレコードが確認できない状態 |
| DKIM | pass | DKIM署名の検証に成功 |
| DMARC | pass | DMARCポリシーの検証に成功(DKIM alignmentによる) |
【観測事実】 SPFはnone(SPFレコードが確認できない状態)ですが、DKIMとDMARCはpassとなっています。
【示唆】 DKIM passおよびDMARC passは、あくまで送信元ドメイン zpfgrshakgr[.]top 自身の認証が成功していることを意味します。攻撃者がこのドメインに対してDKIM署名を正しく設定し、DMARC alignmentを通過させていると考えられます。これはVpassの正規ドメインから送信されたことを示すものでは一切ありません。
【総合判断】 攻撃者は自身の管理下にあるドメインでメール認証を適切に設定することで、メールセキュリティゲートウェイの認証チェックをすり抜けることを意図しています。「DKIM pass = 正規メール」ではないことに注意が必要です。認証結果は「誰がそのドメインを管理しているか」を証明するものであり、「そのドメインが信頼できるか」を保証するものではありません。
一般の方向けの解説:SPF・DKIM・DMARCとは
SPFは、メールの送信元IPアドレスが、そのドメインの管理者によって許可されたサーバーかどうかを検証する仕組みです。DKIMは、メールに付与された電子署名が正しいかを検証します。DMARCは、SPFとDKIMの結果を組み合わせて、メールの正当性を総合的に判断するポリシーです。
ただし、これらはすべて「メールの送信元ドメインが本物か」を確認する仕組みであり、「そのドメインが信頼できるか」を判断するものではありません。攻撃者が自分で取得したドメインにこれらを正しく設定すれば、認証は通過します。
3. ランダム文字列挿入によるスパムフィルター回避
【観測事実(確認済み)】 メール本文のソースコードには、日本語テキストの文字間にランダムな英数字の文字列が大量に挿入されています。以下はその一部です。
|
1 |
i836f 4zfxn7zf [受信者] wjd7 様 【 dq4nz5h 重 ms0b 要】 62zu 第 cygbvsm 三 2rbczpg3 者 e2z5kc に ci6q よ 4g423 る不 y55ju 正 9s39e 利 2r6dk5p 用 dr4fwp の rdfxmxb 可 8lii72y 能 nck8b54 性 v79y94 に jv429 関 y7q9mkyf す g6urn8y る ... |
【示唆】 この手法は一般に、テキストベースのスパムフィルターを回避する目的で使用されます。フィルターは「不正利用」「緊急」などのフィッシング特有のキーワードを検知しますが、文字間にランダム文字列を挿入することで、キーワードマッチングを妨害します。メールクライアント上ではHTML/CSSの制御により、これらのランダム文字列は非表示となり、受信者には通常の日本語文として表示されると考えられます。
【総合判断】 ランダム文字列の挿入は、正規の企業メールでは使用されない手法です。メール認証の偽装(DKIM/DMARCの設定)と組み合わせることで、自動検知の複数の防御層を同時にすり抜けることを狙った、組織的な攻撃であることが示唆されます。
4. 送信インフラストラクチャ
【観測事実(確認済み)】
| 項目 | 値 |
|---|---|
| 送信元IP | 34[.]6[.]18[.]94 |
| IP管理組織 | Google LLC |
| 送信ドメイン | zpfgrshakgr[.]top |
| X-Mailer | 9o3bb |
【示唆】 送信元IPはGoogle Cloud(GCP)のインフラストラクチャに属しています。攻撃者がクラウドサービスを利用してフィッシングメールを送信していることが示唆されます。クラウドインフラは正規の企業も広く利用しているため、IP帯域だけでフィッシングを判別することは困難です。
送信ドメイン zpfgrshakgr[.]top はランダムな文字列で構成されており、一般にVpassの正規ドメインとして知られている vpass[.]ne[.]jp とは一切関係がありません。.top TLDは一般的にフィッシングでの悪用が多いことが報告されているドメインです。
X-Mailerヘッダの値 9o3bb はランダムな文字列であり、正規のメール配信システムが使用する識別子とは異なります。カスタムまたは改造されたメール送信ツールの使用が示唆されます。
5. 誘導先ドメイン・サイトの調査
【観測事実(確認済み)】
| 項目 | 値 |
|---|---|
| 誘導先ドメイン | ctrl-9game[.]com |
| レジストラ | Metaregistrar BV |
| 登録日 | 2025年6月5日 |
| ドメイン年齢 | 約316日(解析時点) |
| ネームサーバー | a7[.]share-dns[.]com / b7[.]share-dns[.]net |
| フィッシングページタイトル | VJA一覧:Welcome to Vpass |
| ページサイズ | 654 bytes |
| サイト状態 | 稼働中(解析時点) |
【示唆】 ドメイン ctrl-9game[.]com は登録からおよそ10か月しか経過しておらず、比較的新しいドメインです。Vpassとは無関係な名称であることから、フィッシング専用に取得されたドメインであると考えられます。
フィッシングページのタイトルが「VJA一覧:Welcome to Vpass」となっており、正規のVpassログインページを模倣しています。一方、ページサイズがわずか654バイトと極めて小さく、リダイレクトページまたは最小限のフォームで構成されている可能性があります。
一般の方向けの解説:ドメイン年齢の見方
ドメイン年齢とは、そのドメイン名がインターネット上に登録されてからの経過期間です。正規の企業サイトは通常、数年以上前に登録された長い実績のあるドメインを使用しています。フィッシングに使われるドメインは、使い捨てを前提として新しく取得されることが多いため、ドメインの登録日が新しいことは注意すべきサインの一つです。ただし、ドメイン年齢だけでフィッシングと断定することはできません。
6. 正規リソースの悪用
【観測事実(確認済み)】 メール内には、正規のVpassサーバーからロゴ画像を読み込むURLが含まれています。
|
1 |
hxxps://www3[.]vpass[.]ne[.]jp/responsive/img/vpass_main_logo[.]jpg |
【示唆】 攻撃者は正規のVpassサーバーに置かれたロゴ画像を直接参照(ホットリンク)することで、メールの見た目の信頼性を高めています。ロゴ画像自体は正規のものであるため、画像の見た目からフィッシングを判別することは困難です。
フィッシング判定の総合根拠
本メールがフィッシングであると判定した根拠は、以下の複合的な証拠に基づいています。単一の証拠ではなく、複数の異常が同時に確認されたことにより確定判断としています。
- 送信ドメインの不一致(確認済み): 表示名は「Vpass【JAカード管理事務局】」ですが、実際の送信ドメインは
zpfgrshakgr[.]topであり、一般にVpassの正規ドメインとして知られているvpass[.]ne[.]jpとは無関係です - Unicode偽装URLの使用(確認済み): U+2215(DIVISION SLASH)を悪用し、正規ドメインに見せかけたURLでフィッシングサイト
ctrl-9game[.]comへ誘導しています - ランダム文字列の挿入(確認済み): メール本文にスパムフィルター回避用のランダム文字列が挿入されており、正規の企業メールでは使用されない手法です
- 不審なX-Mailer(確認済み): X-Mailerが「9o3bb」というランダム文字列であり、正規のメール配信システムの識別子ではありません
- 誘導先ドメインの不審性(確認済み):
ctrl-9game[.]comは登録から約316日の新しいドメインで、Vpassとの関連性がありません
このフィッシングメールの見分け方
本件の手口に基づいた、具体的な見分けポイントを解説します。
1. 送信元メールアドレスを確認する
表示名が「Vpass」であっても、実際の送信元アドレスを確認してください。本件では @vpass-vja-card-server-...zpfgrshakgr[.]top という、一般にVpassの正規ドメインとして知られているものとは全く異なるアドレスから送信されています。正規のVpassからのメールは、一般に vpass[.]ne[.]jp ドメインから送信されると知られています。
2. リンク先URLを慎重に確認する
リンクにマウスカーソルを合わせ(クリックはしない)、表示されるURLを確認してください。本件のように www3[.]vpass[.]ne[.]jp で始まるように見えても、URLの中に @ 記号がある場合は偽装の疑いがあります。正規のWebサイトのURLに @ 記号が含まれることは通常ありません。
3. 緊急性を煽る文面に注意する
「48時間以内に手続きがない場合、カードは自動的に再発行(停止)対象となります」など、時間制限を設けて焦らせる文面はフィッシングの典型的な手口です。正規のカード会社が、メール1通の返答がないだけでカードを停止することは一般的ではありません。
4. メールからではなく公式サイトから直接アクセスする
不正利用の通知メールを受け取った場合は、メール内のリンクを使わず、ブラウザのブックマークや検索エンジンからVpassの公式サイトに直接アクセスして確認してください。
IOC(Indicators of Compromise)一覧
以下は本フィッシングメールに関連するIOC(侵害指標)です。セキュリティ製品へのブロックリスト登録等にご活用ください。
| 種別 | 値 | 備考 |
|---|---|---|
| 送信ドメイン | zpfgrshakgr[.]top |
フィッシングメール送信元 |
| 送信元IP | 34[.]6[.]18[.]94 |
Google LLC |
| Return-Path | no-reply[@]vpass-vja-card-server-c9v8b7n6m5d7f7h6g5h4k5g7u6t3e6-a9[.]zpfgrshakgr[.]top |
|
| 誘導先ドメイン | ctrl-9game[.]com |
フィッシングサイト |
| 誘導先URL | hxxps://www3[.]vpass[.]ne[.]jp%E2%88%95n8n4yzz%E2%88%95smkysmn2xz4agtek29pp2kdvrwtsrtu6slmo1eaqllwpxplf13qepwx5[@]ctrl-9game[.]com/DncO1P |
Unicode偽装URL |
| 正規リソース悪用 | hxxps://www3[.]vpass[.]ne[.]jp/responsive/img/vpass_main_logo[.]jpg |
ロゴ画像ホットリンク |
| ネームサーバー | a7[.]share-dns[.]com / b7[.]share-dns[.]net |
ctrl-9game[.]com のNS |
| SHA-256 | 6fa63cedaf29185dda4514aba0be7e920a0627c1f57fce3aca7d9a076a07b0cf |
メールファイルハッシュ |
PhishTank登録状況
| URL | 状態 |
|---|---|
hxxps://www3[.]vpass[.]ne[.]jp%E2%88%95...[@]ctrl-9game[.]com/DncO1P |
未登録 |
hxxps://www3[.]vpass[.]ne[.]jp/responsive/img/vpass_main_logo[.]jpg |
未登録 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処
リンクをクリックしていない場合
- メールを削除してください
- 同様のメールを今後受信した場合に備え、送信元ドメイン
zpfgrshakgr[.]topをメールソフトでブロック設定することを推奨します
リンクをクリックしてしまった場合
- カード情報やログイン情報を入力していなければ、ブラウザを閉じ、ブラウザの履歴・キャッシュ・Cookieを削除してください
- 念のため、Vpassの正規サイトに直接アクセスし、不審なログイン履歴がないか確認してください
カード情報やログイン情報を入力してしまった場合
- 直ちにカード裏面に記載の電話番号からカード会社に連絡し、カードの利用停止・再発行を依頼してください
- Vpassのパスワードを直ちに変更してください(Vpassの正規サイトに直接アクセスして変更)
- 同じパスワードを他のサービスでも使用している場合は、それらのサービスのパスワードもすべて変更してください
- カードの利用明細を確認し、身に覚えのない決済がないかチェックしてください
- 被害が確認された場合は、最寄りの警察署またはサイバー犯罪相談窓口(#9110)に相談してください
関連記事
NEW 【ビューカード】次回お引落日は4月22日です。|中国ドメインから送信…
NEW 【重要】口座情報の定期確認・更新のご案内(SBI証券)を騙るフィッシ…
NEW 【フィッシング詐欺確定】UCカードを騙る「5月お支払金額のお知らせ」…
NEW 【注意喚起】JCBを騙るフィッシングメール「ポイント利用期限に関する…
NEW 【警告・確定】「【公式案内】2026年度システム基盤改修に伴う認証環…
NEW 【注意喚起】日本銀行を騙るフィッシングメール「登録方法のご案内」― …
NEW 【JCBカード重要通知】カード制限解除の最終手続きについて ─ JC…
NEW 【公示】不正アクセス事象に伴う法定補償手続きの執行について No[.…
NEW 【最終警告】認証再設定未完了による取引制限予定のご案内|マネックス証…
NEW 【注意喚起】auじぶん銀行を装ったフィッシングメール「【auじぶん銀…
NEW 【注意喚起】ポケットカード本人認証サービスに関するご案内 ― 3Dセ…
NEW 【フィッシング注意喚起】楽天証券を騙る「春の特別プレゼントキャンペー…
NEW 【重要】【松井証券】口座情報の更新のお願い ― 松井証券をかたるフィ…
NEW 【本人確認】ご利用カードについてのご連絡 ─ セゾンカードを騙るフィ…
NEW 【安心サポート】お客様のアカウント確認について No[.]18530…
NEW 【要対応】多要素認証の登録期限が迫っています|4月7日までNo[.]…
カテゴリ:フィッシング
タグ:Vpass,なりすまし,フィッシング,金融
【ビューカード】次回お引落日は4月22日です。|中国ドメインから送信されたフィッシングメールの手口と証拠