フィッシング

【注意喚起】「5月お支払金額のお知らせ」オリコカードを装うフィッシングメールの手口と対策

フィッシングメール本文のスクリーンショット
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません)
フィッシングサイトのスクリーンショット
誘導先サイトのスクリーンショット(解析時点)

記事を作成します。解析結果を精査し、防御啓発に限定したHTML記事を構成します。

⚠ セキュリティ警告
2026年4月19日、オリコカード(ORICO)の支払通知を装ったフィッシングメールの流通が確認されました。本記事ではそのメールの技術的な分析結果と、被害を防ぐための具体的な対処法を解説します。

メール情報の概要

項目 内容
件名 5月お支払金額のお知らせ
差出人表示 eオリコ <no-reply-mQv5[@]cbel[.]com>
Return-Path no-reply-mQv5[@]cbel[.]com
送信日時 2026年4月19日 12:40 (JST)
送信元IP 89[.]169[.]65[.]34(ロシア)
誘導先URL hxxps://e-orico[.]momopp[.]com/
判定 フィッシング(確定)
SHA-256 ff53523c80d2eec2b31af741bd6f21860d1b088942939c6c549c71f718c6d778

ヘッダー情報の分析

差出人アドレスとReturn-Pathの不整合

観測事実:差出人(From)の表示名は「eオリコ」ですが、実際のメールアドレスは no-reply-mQv5[@]cbel[.]com です。オリコカードの正規ドメインは一般に orico[.]co[.]jp として知られていますが、このメールの送信元ドメインは cbel[.]com であり、オリコとは無関係のドメインです。

示唆:正規のオリコからの通知メールであれば、自社ドメイン(orico[.]co[.]jp)から送信されるのが通常です。cbel[.]com という無関係のドメインからの送信は、第三者がオリコを装って送信していることを示唆します。

X-Mailer(メール送信ソフト)の不自然さ

観測事実:メールヘッダーの X-Mailer フィールドに iPhone Mail (21G81) と記録されています。これは iPhone の標準メールアプリケーションを示す識別子です。

示唆:企業が顧客へ送信する大量の通知メールは、一般に専用のメール配信システムから送信されます。個人の iPhone メールアプリを使用して企業通知を配信することは通常ありません。この X-Mailer ヘッダーが偽装されている可能性、あるいは攻撃者が個人端末からメールを送信した可能性のいずれも考えられます。

メール認証結果の分析

メール認証(SPF・DKIM・DMARC)は、送信元が正規のものであるかを検証するための技術的な仕組みです。以下にこのメールの認証結果を分析します。

認証方式 結果 説明
SPF neutral 送信元ドメイン cbel[.]com のSPFポリシーが、送信元IP 89[.]169[.]65[.]34 に対して明確な許可も拒否も示していない状態
DKIM 不明 DKIM検証結果が付与されていない状態
DMARC 不明 DMARC検証結果が付与されていない状態

SPF(Sender Policy Framework)とは

SPFは、メールの送信元IPアドレスが、そのドメインの管理者によって許可されたサーバーから送られているかを検証する仕組みです。今回の結果「neutral」は、cbel[.]comのSPFレコードが送信元IP 89[.]169[.]65[.]34 について明確な判定を下していないことを意味します。

DKIM / DMARC の検証状況

DKIM(電子署名による改ざん検知)とDMARC(SPF・DKIMを統合したポリシー検証)については、いずれも検証結果が付与されていません。これは受信サーバー側の検証環境や、送信ドメインのレコード設定状況により生じ得る状態ですが、正規の金融機関からのメールであれば、一般にこれらの認証基盤が整備されていることが期待されます。

📌 認証結果の読み方について:メール認証の結果だけでフィッシングと断定することはできません。しかし、差出人ドメインの不整合、送信元IPの地理情報、誘導先URLの偽装など、複数の証拠を組み合わせることで、このメールがフィッシングであることが確定的に判断できます。

送信元インフラの分析

項目 内容
IPアドレス 89[.]169[.]65[.]34
所在国 ロシア(RU)【確認済み】
管理組織 Abuse-C Role
CIDRブロック 89[.]169[.]64[.]0/20

観測事実:このメールはロシア(RU)に所在するIPアドレス 89[.]169[.]65[.]34 から送信されています。RDAP(Registration Data Access Protocol)により、このIPは 89[.]169[.]64[.]0/20 のネットワークブロックに属し、Abuse-C Role として登録されていることが確認されています。

示唆:オリコカードは日本国内の金融サービス企業です。正規の顧客向けメールがロシアのサーバーから送信されることは通常考えられません。これは送信インフラが正規のオリコとは無関係であることを強く示唆しています。

誘導先URLの分析

フィッシングURLの構造

項目 内容
誘導先URL hxxps://e-orico[.]momopp[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥
リダイレクト 2ホップ
最終到達URL hxxps://e-orico[.]momopp[.]com/%F0%9D%90%A2%F0%9D%90%A7%F0%9D%90%9D%F0%9D%90%9E%F0%9D%90%B1.%F0%9D%90%A1%F0%9D%90%AD%F0%9D%90%A6%F0%9D%90%A5/
サーバー nginx/1[.]28[.]2
コンテンツサイズ 1,460 bytes
稼働状態 稼働中(2026年4月19日時点)

観測事実:メール内のリンクは、最終的に e-orico[.]momopp[.]com というドメインへ誘導します。このドメインは「e-orico」というサブドメイン名を使用し、あたかもオリコの正規オンラインサービス「eオリコ」であるかのように偽装しています。しかし実際のドメインは momopp[.]com であり、オリコカードの正規ドメイン orico[.]co[.]jp とは一切関係がありません。

Unicode文字を利用したURL偽装技法

このフィッシングURLには、巧妙な偽装技法が使われています。URLのパス部分に含まれる「𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥」は、一見すると通常の「index[.]html」に見えますが、実際には通常のASCII文字(英数字)ではなく、Unicode Mathematical Bold(数学用太字)の文字が使用されています。

見た目 通常の文字(ASCII) 実際に使用されている文字 Unicodeコードポイント
𝐢 i Mathematical Bold Small I U+1D422
𝐧 n Mathematical Bold Small N U+1D427
𝐝 d Mathematical Bold Small D U+1D41D
𝐞 e Mathematical Bold Small E U+1D41E
𝐱 x Mathematical Bold Small X U+1D431

この技法の目的:セキュリティソフトやメールフィルターは、既知のフィッシングパターン(例:「index[.]html」という文字列)を検知する仕組みを持っています。Unicode Mathematical Bold文字を使用することで、テキストベースのフィルターを回避しようとする意図があります。人間の目には通常の「index[.]html」に見えるため、URLを目視で確認しても偽装に気づきにくい点が巧妙です。

URLエンコードされた最終到達URLでは、これらのUnicode文字がパーセントエンコーディング(%F0%9D%90%A2 等)として表現されており、サーバー側で2回のリダイレクトを経て処理されています。

メール本文中のURL偽装

観測事実:メール本文には hxxps://www[.]orico[.]co[.]jp/app/hxxps://faq[.]orico[.]co[.]jp/ など、オリコの正規ドメインに見えるURLが複数表示されています。しかし、URL解析の結果、実際のリンク先は e-orico[.]momopp[.]com のフィッシングサイトへ誘導するものが含まれていることが確認されています。

示唆:HTML形式のメールでは、表示されるテキストと実際のリンク先(href属性)を異なるURLに設定することが技術的に可能です。このメールでは、テキスト上は正規のオリコURLを表示しながら、クリック時にはフィッシングサイトへ誘導する手法が使われています。メール内のリンクは、表示されているURLに関わらず、クリックする前に必ずリンク先を確認してください。

テンプレート痕跡の検出

観測事実:メール末尾の発行者情報に「ORICO株式会社」と記載された後、住所として [郵便番号] [住所] というテンプレートの差し込み変数がそのまま残っています。

示唆:正規の企業通知メールであれば、実際の郵便番号と住所が記載されます。テンプレート変数が置換されずに残っている事実は、このメールがフィッシングメール生成テンプレートから作成され、詳細情報の差し込みが不完全であったことを示しています。メールを受信した際は、末尾の発行者情報が具体的な住所を含んでいるかどうかも確認ポイントの一つです。

総合判断

🔴 判定:フィッシング(確定)

以下の複数の証拠を総合的に評価し、このメールはオリコカードを装ったフィッシング詐欺であると確定しました。

  1. 送信元ドメインの偽装【確認済み】:差出人アドレスのドメインが cbel[.]com であり、オリコの正規ドメイン orico[.]co[.]jp ではない
  2. ロシアからの送信【確認済み】:送信元IPアドレスがロシア所在であり、日本の金融機関の正規メールインフラとは無関係
  3. フィッシングURLへの誘導【確認済み】:e-orico[.]momopp[.]com という偽装ドメインへのリンクが埋め込まれ、2026年4月19日時点で稼働中
  4. Unicode偽装技法の使用【確認済み】:URLパスにUnicode Mathematical Bold文字を使用し、セキュリティフィルターの検知を回避する意図が認められる
  5. テンプレート痕跡【確認済み】:メール末尾の住所欄がテンプレート変数のまま残存
  6. メール認証の不備:SPFがneutral、DKIM・DMARCの検証結果が付与されていない

フィッシングメール本文(全文引用)

以下は、受信されたフィッシングメールの本文全文です。同様のメールを受信した方が検索で本記事にたどり着けるよう、原文のまま引用しています。メール内のリンクは絶対にクリックしないでください。

件名:5月お支払金額のお知らせ 差出人:eオリコ <no-reply-mQv5[@]cbel[.]com> 日時:2026年4月19日 12:40 (JST) ─────────────────── いつもORICOカードをご利用いただき、ありがとうございます。 本メールはWeb明細(環境宣言)にご登録いただいているお客さまにお送りしております。 5月のご請求額が確定いたしました。 ━━━━━━━━ お支払いについて ━━━━━━━━ ご利用カード : オリコ カード お支払日 :2026年5月11日 口座残高のご確認・ご入金は、お支払日の前営業日までにお願いいたします。 ご利用明細は、アプリ「ORICOカード」またはホームページ「ポイントプログラム」へログインいただきご確認ください。 ▼ご請求明細のご確認はこちら hxxps://www[.]orico[.]co[.]jp/app/ ※メール作成時点での請求確定額になります。ご利用状況により再度請求額確定メールをお送りする場合がございます。 ※お引落口座の設定が完了していない場合は、月末頃に発送いたしますコンビニの振込用紙でのお支払いをお願いいたします。お引落口座の設定が完了したかご不明な場合は下記よりご確認ください。 hxxps://faq[.]orico[.]co[.]jp/faq/show/660?site_domain=default ※一部、お引落日が異なるカードがございます。 ━━━━━━━━ ポイントプログラム ━━━━━━━━ クレジット・デビット払いでたまるポイントプログラム数は毎月25日にデータが更新されます。アプリ「ORICOカード」またはホームページ「ポイントプログラム」へログインいただきご確認ください。 (ポイントプログラムが進呈されないカードはご利用いただけません) ▼ポイントプログラム hxxps://www[.]orico[.]co[.]jp/app/point/ ▼ポイントプログラムの使える店舗・使い方に関してはこちら hxxps://faq[.]orico[.]co[.]jp/faq/show/562 ━━━━━━━━ アプリやメールでおトクな情報が受取れます! ━━━━━━━━ ORICO公式アプリ「ORICOカード」ならご利用明細の確認やポイント交換はもちろん、会員限定クーポンも利用でき便利でおトク♪ ▼iPhoneをお持ちの方はこちら hxxps://itunes[.]apple[.]com/jp/app/orico-wallet ▼Androidスマホをお持ちの方はこちら hxxps://play[.]google[.]com/store/apps/details?id=jp[.]co[.]orico[.]credit[.]android[.]wallet ▼ORICOでのお買い物情報やカードキャンペーン情報もいち早くお届け!メールマガジンのご登録はこちら hxxps://www[.]orico[.]co[.]jp/service/newsletter/ ━━━━━━━━ お客さま情報の最新化について ━━━━━━━━ ご登録情報(氏名、住所、連絡先、メールアドレスなど)に変更がございましたら、ORICO会員サイトよりお手続きをお願いいたします。 ≪住所変更手続きのお願い≫ お引越しなどで住所に変更が生じた際には、お早めに住所変更の届出をお願いいたします。お届けいただけない場合、郵送による重要なお知らせが届かない場合もありますのでご注意ください。 ▼カード登録内容照会・変更についてはこちら hxxps://www[.]orico[.]co[.]jp/inquiry/change/ ▼メールアドレスの変更はこちら hxxps://www[.]orico[.]co[.]jp/app/settings/profile/ ========= ■ORICO会員ID・パスワードをお忘れの場合 hxxps://www[.]orico[.]co[.]jp/app/search_id_pw_reissue/ ■お問い合わせ先 hxxps://www[.]orico[.]co[.]jp/inquiry/ =========    インターネットバンキングやモバイルバンキングのパスワードを定期的に変更して、アカウントの安全性を向上させることをお勧めします。 ※本メールは重要なお知らせのため、メール配信を「否」にされている方にも送信しております。 ━━━━━━━━━━━━━━━━━━━━━ 発行者 ORICO株式会社 [郵便番号] [住所] ━━━━━━━━━━━━━━━━━━━━━ Copyright (C) ORICO Co.,Ltd. All Rights Reserved.

IOC(侵害指標)一覧

セキュリティ対策製品やファイアウォールへのブロックリスト登録にご活用ください。

メール関連

種別
差出人 no-reply-mQv5[@]cbel[.]com
送信元ドメイン cbel[.]com
送信元IP 89[.]169[.]65[.]34
CIDRブロック 89[.]169[.]64[.]0/20
SHA-256 ff53523c80d2eec2b31af741bd6f21860d1b088942939c6c549c71f718c6d778

フィッシングURL

種別
誘導先URL hxxps://e-orico[.]momopp[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥
最終到達URL hxxps://e-orico[.]momopp[.]com/%F0%9D%90%A2%F0%9D%90%A7%F0%9D%90%9D%F0%9D%90%9E%F0%9D%90%B1.%F0%9D%90%A1%F0%9D%90%AD%F0%9D%90%A6%F0%9D%90%A5/
フィッシングドメイン e-orico[.]momopp[.]com
親ドメイン momopp[.]com

PhishTank登録状況

URL 状態
hxxps://e-orico[.]momopp[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 未登録 — 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

このフィッシングメールへの具体的な対処法

メールを受信しただけの場合

  • メール内のリンクをクリックしないでください。表示上は orico[.]co[.]jp の正規URLに見えても、実際のリンク先はフィッシングサイトへ誘導される可能性があります
  • 差出人アドレスを確認してください。このフィッシングメールは cbel[.]com から送信されています。オリコの正規メールは一般に orico[.]co[.]jp ドメインから送信されます
  • メール末尾の発行者情報を確認してください。今回のメールでは住所が「[郵便番号] [住所]」とテンプレートのまま残っており、不正メールの特徴が明確です
  • メールを迷惑メールとして報告し、削除してください

リンクをクリックしてしまった場合

  • フィッシングサイトで情報を入力していなければ、ブラウザを閉じ、ブラウザの閲覧履歴を削除してください
  • 念のため、お使いのセキュリティソフトでフルスキャンを実施してください

フィッシングサイトで情報を入力してしまった場合

  • 直ちにオリコカードに連絡してください。オリコの公式サイト(ブラウザのアドレスバーに直接URLを入力してアクセス)から問い合わせ窓口を確認し、カードの利用停止・再発行を依頼してください
  • ログインID・パスワードを入力した場合は、正規のeオリコサービスにアクセスし、パスワードを直ちに変更してください
  • 同じパスワードを他のサービスでも使用している場合は、それらのサービスのパスワードもすべて変更してください
  • クレジットカード番号を入力した場合は、カード会社に連絡の上、不正利用がないか明細を継続的に確認してください
  • 警察庁のフィッシング110番や、フィッシング対策協議会への情報提供もご検討ください

日常的な対策

  • オリコカードの利用明細や請求額は、メール内のリンクからではなく、ブラウザにURLを直接入力するか、公式アプリからアクセスして確認する習慣をつけてください
  • 「支払い確定」「請求額のお知らせ」といった件名のメールは、特にフィッシングに悪用されやすいため、送信元アドレスとリンク先の確認を徹底してください
  • メール内のリンクにマウスカーソルを合わせ(モバイルの場合は長押し)、表示されるURLが正規ドメインであることを確認してから操作してください。今回のケースでは、表示テキストが orico[.]co[.]jp でも、リンク先は momopp[.]com であった可能性があります
検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
e-orico[.]momopp[.]com 入口URL 稼働中 メール本文

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,