2026年5月18日、Vポイント(CCCMKホールディングス / 三井住友カード)を装ったフィッシングメールが確認されました。「限定ボーナスポイント」の受取を口実に、携帯電話番号の入力を求める手口です。本記事では、このメールがフィッシング詐欺である技術的根拠を証拠とともに解説します。
メールの概要
見出し
| 件名 | 【Vポイント】重要:未受取のボーナスポイントに関するお知らせと受取手続き |
|---|---|
| 差出人(表示名) | Vポイント事務局 |
| 差出人(メールアドレス) | news[@]zbjayebt[.]mail88[.]lzxhrs[.]com |
| Return-Path | news[@]zbjayebt[.]mail88[.]lzxhrs[.]com |
| 受信日時 | 2026年5月18日 13:28:54(JST) |
| SHA256 | f7d948719ea7aacfe38d5fbb7d26ddd16768fefff38402f683a32d9d484be219 |
メール本文(全文引用)
以下は、受信したフィッシングメールのテキスト本文を全文引用したものです。検索エンジン経由で同一文面を受け取った方が本記事にたどり着けるよう、原文のまま掲載しています。記載されているURLはフィッシングサイトへの誘導リンクです。絶対にアクセスしないでください。
いつもVポイントをご利用いただき、誠にありがとうございます。 お客様のアカウントに対し、現在お受け取り待ちとなっている 「限定ボーナスポイント」がございますのでご案内申し上げます。 セキュリティおよび個人情報保護の観点から、 付与される具体的なポイント数は本メールに記載しておりません。 大変お手数ではございますが、安全にポイントをアカウントへ反映させるため、 下記の専用手続きページへアクセスし、ご登録の「携帯電話番号」による ご本人様認証を完了のうえ、ポイント額のご確認とお受け取りをお願いいたします。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■ ポイント額の確認・受取手続きはこちら ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ▼ご本人様認証・受取専用ページ hxxps://www[.]psqtfj[.]com/?NDG2C8nlZoRt&type=vpoint ※上記URLの有効期限は、本メール受信より【7日間】となります。 ※期限を過ぎますとポイントは自動的に失効し、お受け取りができなくなります。 お早めにお手続きくださいますようお願い申し上げます。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■ ご注意事項 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ・上記のURLはお客様専用に発行されたワンタイムURLです。 第三者への転送や共有は絶対に行わないでください。 ・お手続き完了後、確認されたポイントは即座に残高へ反映されます。 全国のVポイント提携先やクレジットカードのお支払い等にご活用いただけます。 ・本メールは送信専用アドレスから配信されております。 ご返信いただきましても対応いたしかねますのでご了承ください。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■ 配信元 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ CCCMKホールディングス株式会社 / 三井住友カード株式会社 Vポイントサポートセンター Copyright (C) CCCMK HOLDINGS Co.,Ltd. / Sumitomo Mitsui Card Co., Ltd. All Rights Reserved.
フィッシング判定の技術的根拠
本メールがフィッシング詐欺であることは、以下の複数の証拠を総合して判定しています。単一の根拠ではなく、送信元ドメイン・メール認証・誘導先インフラの全てが不正を示しています。
1. 送信元ドメインの解析(確認済み)
観測事実:メールの送信元アドレスは news[@]zbjayebt[.]mail88[.]lzxhrs[.]com です。ベースドメインは lzxhrs[.]com であり、そのサブドメイン mail88 の下に zbjayebt という文字列が配置された多階層構造になっています。
示唆:Vポイントの公式サイトは一般に vpoint[.]jp として知られており、公式の案内メールが lzxhrs[.]com というドメインから送信されることはありません。ドメイン名自体が意味のないランダムな文字列で構成されており、正規の企業ドメインとして運用されているものではないことが読み取れます。
また、差出人の表示名「Vポイント事務局」の文字列中に、ゼロ幅スペース(U+200B)が各文字間に挿入されていることが確認されました。メールクライアント上では通常どおり「Vポイント事務局」と表示されますが、実際のテキストデータには不可視の文字が埋め込まれています。一般的に、こうした手法はテキストベースのフィッシングフィルターによるブランド名検出を回避する目的で使用されることがあります。
2. メール認証結果の解析(確認済み)
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | softfail | 送信元IP(35[.]215[.]120[.]31)は、ドメイン lzxhrs[.]com のSPFレコードにおいて完全には許可されていない状態です。ドメイン管理者がこのIPからの送信を明示的に認めていないことを示唆します。 |
| DKIM | pass | メールのDKIM署名は検証に成功しました。ただし、これは送信ドメイン(lzxhrs[.]com)の鍵で正しく署名されたことを意味するのみであり、Vポイントからの正規メールであることを保証するものではありません。 |
| DMARC | pass | DMARC検証に成功しました。SPFはsoftfailですが、DKIMが合格しドメインアライメントが一致したことでDMARC全体として合格しています。 |
SPF・DKIM・DMARCは「メールが特定のドメインから正しく送信されたか」を検証する仕組みです。今回のケースでは、攻撃者が自身のドメイン(
lzxhrs[.]com)に対してDKIMを正しく設定しているため、認証自体は合格しています。しかし、そのドメイン自体がVポイントとは無関係の不正ドメインです。「認証に合格している=正規メールである」とは限らない点にご注意ください。3. HTMLメール構造の解析(確認済み)
観測事実:HTMLメール本文には1件のリンクが含まれていることが確認されました。
| 項目 | 内容 |
|---|---|
| 表示テキスト | 「認証してポイント額を確認する」 |
| リンク先URL | hxxps://www[.]psqtfj[.]com/?tHv1vU6CMr1B&type=vpoint |
| HTML要素 | ボタン形式(CSSクラス: btn, btn-container, wrapper, content) |
| 直前の文脈 | 「携帯電話番号をご入力のうえ、ポイント額のご確認とお受け取りをお願いいたします」 |
このボタンは「ご本人様認証」を口実としてフィッシングサイトへ誘導するためのCTA(Call To Action)です。リンク先ドメイン psqtfj[.]com はVポイントの公式ドメインとは無関係です。
また、テキスト形式(text/plain)のメール本文には、同一ドメインの別パラメータを持つURL(hxxps://www[.]psqtfj[.]com/?NDG2C8nlZoRt&type=vpoint)が記載されています。HTML版とテキスト版で異なるパラメータが付与されており、どちらの形式で受信者がアクセスしたかを追跡可能な構成になっています。
さらに、HTML本文中にはゼロ幅スペース(U+200B)やBOM文字(U+FEFF)などの不可視Unicode文字が複数箇所に挿入されていることが確認されました。一般的に、こうした不可視文字の挿入は、テキストパターンマッチングによるフィッシング検出を回避する手法として知られています。
4. 誘導先URL・TDSインフラの解析(確認済み)
観測事実:メール内の2つのURLに対してアクセス解析を行った結果、いずれもTDS(Traffic Direction System)が検出されました。
| 初期URL | 状態 | 最終リダイレクト先(今回観測) |
|---|---|---|
hxxps://www[.]psqtfj[.]com/?tHv1vU6CMr1B&type=vpoint |
稼働中 | login[.]jouwjw[.]com |
hxxps://www[.]psqtfj[.]com/?NDG2C8nlZoRt&type=vpoint |
稼働中 | login[.]jouwjw[.]com |
TDSは、アクセス元のIPアドレス・ブラウザ・地域などの条件に応じて、異なるURLにリダイレクトする仕組みです。フィッシング攻撃では、セキュリティ研究者やボットからのアクセスを正規サイトに転送し、一般ユーザーのみをフィッシングサイトに誘導する目的で使用されます。また、最終的な誘導先ドメインをアクセスごとに切り替えることで、URLブロックリストによる検出を困難にする効果もあります。
示唆:今回の観測では最終的に login[.]jouwjw[.]com へリダイレクトされましたが、TDSの性質上、アクセスのタイミングや条件によって異なるドメインへ誘導される可能性があります。psqtfj[.]com はTDSゲートウェイとして機能し、実際のフィッシングページは別ドメインでホストされるという多層構造が確認されました。
5. 送信元IPアドレスの解析(確認済み)
| 項目 | 内容 |
|---|---|
| 送信元IP | 35[.]215[.]120[.]31 |
| 管理組織 | Google LLC |
| CIDR | 35[.]208[.]0[.]0/12 |
観測事実:送信元IPアドレスはGoogle Cloud Platform(GCP)のIPレンジに属しています。
示唆:攻撃者がクラウドインフラを利用してフィッシングメールを送信していることを示しています。大手クラウドプロバイダのIPレンジは、既知のスパムブラックリストに登録されにくいため、メールの到達率を高める目的で悪用されるケースが一般的に知られています。
6. 誘導先サイトの状態(確認済み)
TDSの最終リダイレクト先である hxxp://login[.]jouwjw[.]com/select にアクセスした結果、サーバーはCloudflareであることが確認されましたが、レスポンスのソースサイズは0バイトでした。TDSによるアクセス制御が働いており、解析環境からのアクセスにはコンテンツが返されない状態です。これはフィッシングサイトがボットや研究者からのアクセスを遮断する一般的な手法と一致します。
総合判断
以下の証拠を総合し、本メールはVポイントを騙るフィッシング詐欺であると確定しました。
- 送信元ドメインの不正(確認済み):送信元ドメイン
lzxhrs[.]comはVポイントの公式ドメインとは無関係であり、ランダム文字列で構成された不正ドメインです - SPF softfail(確認済み):送信元IPが当該ドメインのSPFレコードでも完全には許可されておらず、インフラの設定が不完全です
- TDS型攻撃インフラの使用(確認済み):誘導先URLにTDSが設置され、最終的に
login[.]jouwjw[.]comという別の不正ドメインへリダイレクトされる多層構造が確認されました - フィルター回避の工作(確認済み):表示名・HTML本文にゼロ幅文字が挿入されており、テキストベースの検出回避を意図した痕跡があります
- ブランド詐称(確認済み):Vポイント・CCCMKホールディングス・三井住友カードの名称を無断で使用し、正規のサービスを装っています
手口の特徴:このメールに使われている心理的誘導
本フィッシングメールは、複数の心理テクニックを組み合わせた巧妙な構成になっています。
| 手口 | メール内の該当表現 | 狙い |
|---|---|---|
| 報酬の提示 | 「限定ボーナスポイントの付与準備が整いました」 | 「もらえるものがある」という期待感でクリックを誘発 |
| 金額の隠蔽 | 「ポイント数はメール上に記載しておりません」 | 具体的な金額を隠すことで好奇心を刺激し、リンクをクリックさせる |
| セキュリティの偽装 | 「セキュリティおよび個人情報保護の観点から」 | 情報を隠す理由をセキュリティ対策に見せかけ、信頼感を演出 |
| 期限による切迫感 | 「有効期限:本メール受信より7日間」「ポイントは失効いたします」 | 時間的プレッシャーで冷静な判断を妨げる |
| 排他性の演出 | 「お客様専用の安全なURL」「ワンタイムURL」 | 特別感と偽りの安全性を同時に演出 |
| 正規企業名の流用 | 「CCCMKホールディングス株式会社 / 三井住友カード株式会社」 | フッターに正規企業名を配置して信頼性を偽装 |
特に注意すべき点:このメールは「携帯電話番号」の入力を求めています。携帯電話番号を入力してしまった場合、SMSを使った二次攻撃(スミッシング)や、電話番号に紐づく他サービスへの不正アクセスに悪用される危険があります。
IOC(侵害指標)一覧
セキュリティ担当者やフィルタリング設定にご活用ください。
メール関連
| 種別 | 値 |
|---|---|
| SHA256 | f7d948719ea7aacfe38d5fbb7d26ddd16768fefff38402f683a32d9d484be219 |
| 送信元アドレス | news[@]zbjayebt[.]mail88[.]lzxhrs[.]com |
| Return-Path | news[@]zbjayebt[.]mail88[.]lzxhrs[.]com |
| 送信元IP | 35[.]215[.]120[.]31(Google LLC / CIDR: 35[.]208[.]0[.]0/12) |
不正ドメイン
| ドメイン | 役割 |
|---|---|
lzxhrs[.]com |
送信元ベースドメイン |
zbjayebt[.]mail88[.]lzxhrs[.]com |
送信元サブドメイン |
psqtfj[.]com / www[.]psqtfj[.]com |
TDSゲートウェイ |
jouwjw[.]com / login[.]jouwjw[.]com |
最終誘導先(今回観測) |
不正URL
| URL | 状態 |
|---|---|
hxxps://www[.]psqtfj[.]com/?tHv1vU6CMr1B&type=vpoint |
稼働中(TDS) |
hxxps://www[.]psqtfj[.]com/?NDG2C8nlZoRt&type=vpoint |
稼働中(TDS) |
hxxp://login[.]jouwjw[.]com/select |
稼働中(アクセス制御あり) |
PhishTank登録状況
| URL | 状態 |
|---|---|
hxxps://www[.]psqtfj[.]com/?tHv1vU6CMr1B&type=vpoint |
未登録 |
hxxps://www[.]psqtfj[.]com/?NDG2C8nlZoRt&type=vpoint |
未登録 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処方法
メールを開いただけ・リンクをクリックしていない場合
- メールを削除してください。リンクをクリックしていなければ被害はありません
- 同一件名・同一文面のメールが今後届く可能性があります。送信元ドメインが
vpoint[.]jp(一般にVポイントの公式ドメインとして知られている)でない場合は開かないでください
リンクをクリックしたが、情報は入力していない場合
- TDS経由でアクセス先の情報(IPアドレス・ブラウザ情報等)が収集されている可能性があります
- ブラウザのキャッシュとCookieを削除してください
- 今後、同じブラウザ環境を標的としたフィッシングが増える可能性に注意してください
携帯電話番号を入力してしまった場合
- SMSで届く不審なメッセージに警戒してください。入力した携帯電話番号宛にスミッシング(SMS経由のフィッシング)が送信される可能性があります
- 携帯電話番号に紐づくサービス(Vポイント、各種決済サービス等)のアカウントに不審なログインがないか確認してください
- Vポイントを利用している場合は、公式アプリまたは公式サイト(一般に
vpoint[.]jpとして知られている)から直接ログインし、パスワードを変更してください - 三井住友カードのカスタマーサポートに連絡し、不正利用の有無を確認してください
パスワードやクレジットカード情報も入力してしまった場合
- 直ちにVポイント・三井住友カードの公式窓口に連絡し、アカウントの凍結とカードの利用停止を依頼してください
- 同じパスワードを他のサービスでも使用している場合は、全て変更してください
- クレジットカードの利用明細を確認し、身に覚えのない取引があれば速やかにカード会社に申告してください
見分けるポイント
- 送信元アドレスを確認する:表示名が「Vポイント事務局」でも、メールアドレスのドメインが
lzxhrs[.]comのような無関係なドメインであれば偽物です - 「ポイント数を教えない」は不自然:正規のポイント付与通知で、セキュリティを理由にポイント数を隠し、別サイトでの認証を求めることは一般的ではありません
- リンク先URLを確認する:ボタンにマウスカーソルを合わせ(スマートフォンの場合は長押し)、表示されるURLのドメインが公式のものか確認してください。
psqtfj[.]comのようなランダムな文字列のドメインは不正サイトの典型です - 短い期限の催促に注意:「7日間で失効」のような短期間の期限設定は、冷静な判断を妨げるための常套手段です。本当に重要な通知であれば、公式アプリや公式サイトにログインすれば同じ情報を確認できるはずです
- 公式サイトから直接確認する:メール内のリンクを使わず、ブラウザのブックマークや検索エンジンからVポイントの公式サイトにアクセスし、ポイント残高や通知を確認してください