フィッシング

【フィッシング確定・注意喚起】「ドコモの利用料金のお支払い方法」NTTドコモを装ったフィッシングメール解析レポート

公開日:2026年4月2日 分類:フィッシング(確定) 証拠強度:moderate(3件)

概要

2026年4月2日、NTTドコモを騙るフィッシングメールが確認されました。件名「ドコモの利用料金のお支払い方法」を使い、クレジットカードの決済失敗を装って偽のリンクへ誘導しようとするものです。差出人アドレスは一見してNTTドコモを装っていますが、送信元ドメインはドコモとは無関係の中国登録ドメインであることが確認済みです。

本記事では、このフィッシングメールの手口・インフラ情報・技術的根拠を証拠付きで解説します。

メール本文(全文引用)

以下は受信したフィッシングメールの本文全文です。検索でたどり着いた方が同一のメールかどうか照合できるよう全文を掲載します。

【重要】お支払いに関するご案内

いつもNTTドコモをご利用いただき、誠にありがとうございます。
本メールは、お支払いに関する大切なお知らせとして自動送信されています。
決済情報をご確認のうえ、大切に保管してください。

以下の課金処理が正常に完了しなかったため、お支払い状況のご確認をお願いいたします。

支払方法 クレジットカード
課金ID 0eb05aaee81340ad8d9856055b73a892
課金日時 2026-04-02 03:16:35
課金金額 JPY 6980

自動引き落としが完了できない状態が確認されました。
このままでは今後のご請求処理に支障が出る可能性がございます。
速やかにご確認のうえ、お支払い設定の更新をお願いいたします。

お支払い設定を確認

※ すでにお手続きを完了されている場合は、本メールを破棄してください。

NTTドコモ お問い合わせ先
電話番号:[電話番号]

※本メールは送信専用アドレスから自動送信されています。返信をいただいても対応できません。
ご不明点はご利用中のサービス提供元またはドコモ公式サポートまでお問い合わせください。

© NTT DOCOMO, INC. All Rights Reserved.

フィッシング確定の根拠(3証拠の複合判断)

本メールをフィッシングと確定した根拠は、以下の3点の証拠を複合的に評価した結果です。単一の証拠ではなく、複数の独立した証拠が一致してフィッシングを示しています。

証拠①:送信元ドメインがNTTドコモと無関係

観測事実:メールのFromヘッダは以下のとおりです。

示唆:NTTドコモの公式メールドメインは一般に docomo[.]ne[.]jp および関連ドメインとして知られています。本メールの送信元ドメイン fayiesp[.]cn はドコモとは無関係の中国登録TLD(.cn)ドメインであることが確認済みです。表示名「NTTドコモ」はメールクライアントに表示される任意文字列であり、誰でも自由に設定できます。実際の送信元を確認するにはFromアドレスのドメイン部分を確認する必要があります。

総合判断への寄与:正規企業が自社名義のドメインではなく無関係の第三者ドメインからメールを送信することは通常ありません。これはブランド詐称(なりすまし)の確認済み指標です。

証拠②:SPF認証の失敗

観測事実:本メールのSPF検証結果は fail です。

技術解説:SPF(Sender Policy Framework)とは、特定のドメインがどのIPアドレスからメールを送信してよいかを宣言する仕組みです。受信サーバーはDNSのSPFレコードを参照し、実際の送信IPが許可リストに含まれているかを検証します。

示唆:SPF fail は、送信元IP(49[.]87[.]27[.]28)が xerusradar[.]fayiesp[.]cn のSPFポリシーで明示的に拒否されていることを示します。すなわち、このドメインのポリシーすら満たしていない送信元からメールが届いたことが確認できます。

補足:本メールではDKIM・DMARCがpassと記録されていますが、これは攻撃者が自身の管理する fayiesp[.]cn ドメインに対してDKIM署名を設定したに過ぎず、NTTドコモの正規ドメインが認証されたことを意味しません。DMARC passはFromヘッダのドメインと署名が一致していることを示すに過ぎず、そのドメイン自体がなりすましに使われている本件では、ユーザーの安全を保証するものではありません。

証拠③:送信元IPが中国ASN(IRT-CHINANET-CN)に帰属

観測事実:送信元IPのRDAP照会結果は以下のとおりです。

示唆:IPアドレス 49[.]87[.]27[.]28 は、RDAP(Registration Data Access Protocol)による公開情報において、中国の通信事業者ChinaNetのASブロック(49[.]64[.]0[.]0/11)に割り当てられていることが確認済みです。日本国内の正規通信事業者であるNTTドコモが、中国のIPアドレスからメールを送信することは通常考えられません。

注意:送信元のIPアドレスが中国であることは地理的指標として参照しますが、単独でフィッシングと断定する根拠とはしていません。証拠①②との複合評価によりフィッシングを確定しています。

手口の詳細解説

偽の決済失敗通知による緊急性の演出

本メールは「課金金額 JPY 6980」「自動引き落としが完了できない状態」という具体的な数字と状況を提示することで、受信者に「早急に対処しなければ」という心理的圧迫を与えています。課金IDとして16進数風の文字列(0eb05aaee81340ad8d9856055b73a892)を記載することで、実在する処理のように見せかけています。この課金IDはフィッシングメール生成時に動的に生成された偽の識別子である可能性が高いです。

「お支払い設定を確認」リンクの偽装

観測事実:メール本文中の「お支払い設定を確認」ボタン(またはリンク)の遷移先として、以下のURLが埋め込まれていることが確認されています。

示唆:このドメイン nmnqywf[.]cn はNTTドコモとは無関係の中国登録ドメインです。URLのパス部分 /click/kkcgoqeodl はトラッキング用のランダム文字列と思われ、どの被害者がリンクをクリックしたかを攻撃者が追跡するために使われる一般的な手法です。

現在の状態:解析時点でこのURLにアクセスしたところ「停止/エラー」状態でした。フィッシングサイトは検知・テイクダウン後に停止することが多く、停止しているからといって安全とは言えません。リンクをクリックしてしまった場合は後述の対処を参照してください。

文字コードによる偽装の試み

観測事実:メールのContent-TypeおよびSubjectエンコーディングはいずれも iso-2022-jp が使用されています。

示唆:ISO-2022-JPは日本語メールで一般的に使用される文字コードであり、日本人ユーザーを標的としたフィッシングキャンペーンで意図的に選択されたと考えられます。日本語圏ユーザーを対象としていることが、この文字コード選択からも読み取れます。

このメールを受け取ったときの対処方法

リンクをクリックしていない場合

  • メールを削除してください。
  • ドコモへの支払い状況を確認したい場合は、メール内のリンクは使わず、ブラウザから直接 docomo[.]ne[.]jp(一般に知られているドコモ公式サイト)にアクセスするか、ドコモショップ・公式アプリを利用してください。

リンクをクリックしてしまった場合

  • サイトに到達した場合、ページを即座に閉じてください。
  • IDやパスワード、クレジットカード番号等を入力していない場合でも、フィッシングサイトへのアクセス自体でブラウザ情報・端末情報が収集されることがあります。ブラウザのキャッシュとCookieを削除してください。

情報を入力してしまった場合

  • クレジットカード情報を入力した場合:直ちにカード会社の不正利用連絡窓口へ電話し、カードの利用停止・再発行を依頼してください。
  • ドコモのID・パスワードを入力した場合:d払い・dアカウントのパスワードを今すぐ変更してください。不正利用が疑われる場合はドコモインフォメーションセンターへ連絡してください。
  • 被害に遭った場合:最寄りの警察署またはサイバー犯罪相談窓口(都道府県警察本部)に相談してください。

IOC(侵害指標)一覧

種別 備考
メールSHA256 1d3142d4c78190185be7ea56435c75d0d450b07c8e2ef46f6a039d450ad3189c フィッシングメール本体
差出人アドレス urayama0927[@]xerusradar[.]fayiesp[.]cn From / Return-Path 共通
差出人ドメイン xerusradar[.]fayiesp[.]cn ドコモ非公式ドメイン(.cn TLD)
送信元IP 49[.]87[.]27[.]28 CN / IRT-CHINANET-CN / 49[.]64[.]0[.]0/11
誘導先URL hxxps://nmnqywf[.]cn/click/kkcgoqeodl 解析時点で停止・エラー状態
誘導先ドメイン nmnqywf[.]cn 中国登録TLD
PhishTank登録状況 未登録 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

技術者向け補足:メール認証の読み方

SPF / DKIM / DMARC の関係

本メールの認証結果は以下のとおりです。

この組み合わせは一見矛盾しているように見えますが、次の構造で成立します。

  • 攻撃者は自身の管理するドメイン fayiesp[.]cn のDNSにDKIMの公開鍵を登録し、自ら署名を付与しています。
  • DMARCは「Fromドメインに対してSPFまたはDKIMが整合しているか」を検証します。本件ではFromドメインが fayiesp[.]cn 傘下であるため、攻撃者自身のDKIM署名によってDMARCがpassしています。
  • SPF failはSPFポリシーで明示的に拒否された送信IPからの送信を示します。DMARCがSPFのみに依存していない設定の場合、DKIMがpassであればDMARCもpassとなります。

すなわち、DMARC passはあくまで「攻撃者のドメインに対する認証が整合している」ことを意味するに過ぎず、NTTドコモの正規ドメインが認証されたことを意味しません。FromアドレスのドメインがNTTドコモ公式ドメインでない時点で、なりすましの確認済み指標となります。

フィッシングURLのトラッキング構造

hxxps://nmnqywf[.]cn/click/kkcgoqeodl のパス /click/{ランダム文字列} は、クリックトラッキングの典型的なパターンです。攻撃者はこの文字列を被害者ごとに変えることで、誰がリンクをクリックしたかを追跡し、フィッシングキャンペーンの成功率を測定することができます。クリックした端末・タイミング・IPアドレス等が攻撃者のサーバーに記録される可能性があります。

本記事は受信フィッシングメールの解析に基づく注意喚起を目的として公開しています。IOC情報はDefang(難読化)処理済みです。セキュリティ研究・インシデント対応以外の目的での使用はお控えください。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,