フィッシング

2026/4/2

【重要】お支払口座の残高不足によるお引落とし不能のお知らせ｜ビューカードを装ったフィッシングメール注意喚起

2026年4月2日、ビューカード（JR東日本グループのクレジットカードサービス）を装ったフィッシングメールが確認されました。本記事では、当該メールの技術的解析結果を公開し、利用者への注意喚起を行います。

メール概要

項目	内容
件名	【重要】お支払口座の残高不足によるお引落とし不能のお知らせ
表示上の差出人	VIEW’s NET <admin[@]jreast[.]co[.]jp>
Return-Path（実際の返信先）	hello[@]flightcargosolutions[.]com
送信日時	Thu, 02 Apr 2026 12:54:28 +0900
なりすまし対象ブランド	ビューカード（finance）
メール SHA256	`d67d0b6f1421f0b88d898a55ee52b7a647c86ce2ce38cf2138a5088c5c057266`
フィッシング判定	確定（複合根拠）

メール本文（全文）

VIEW CARD Info [重要] お引落とし結果のご確認をお願いいたします

VIEW ビューカード

【ビューカードをご利用のお客様へ】

平素はビューカードをご利用いただき、誠にありがとうございます。
ご指定の金融機関口座より、カードご利用代金のお引落としを差し上げましたが、
「残高不足」によりお引落としが完了しておりません。

処理ステータス: 引落不能(残高不足)
対象サービス: VIEW’s NET クレジット決済分

このままお支払いの確認が取れない場合、
カードのご利用が一時停止される可能性がございます。

お支払詳細・再振替を確認

※本メールは送信専用のため、ご返信いただけません。
※すでにご入金済み、またはお振込みお手続き済みの方へも行き違いで届く場合がございます。何卒ご容赦ください。

配信元: 株式会社ビューカード
[住所]1号大崎センタービル
Copyright(C) Viewcard Co.,Ltd. All Rights Reserved.
ID: AU6BJ687

【注目ポイント】 「残高不足」という緊急性を演出し、カード停止という脅しでユーザーをリンクへ誘導する典型的な手口です。住所欄が「[住所]1号大崎センタービル」と不完全なまま残されており、テンプレートの流用跡が確認できます。

メール認証解析

認証結果一覧

認証項目	結果	意味
SPF	softfail	送信元IPがjreast[.]co[.]jpのSPFポリシーで「非推奨」と判定された
DKIM	検証結果が付与されていない	署名の有無・正当性が確認できない状態
DMARC	fail	SPF・DKIMいずれもFromドメインと整合しないためDMARCポリシー違反

From / Return-Path 不整合の解説

観測事実： メールの表示上の差出人（From）は admin[@]jreast[.]co[.]jp ですが、実際の返信先・送信経路を示す Return-Path は hello[@]flightcargosolutions[.]com という全く無関係のドメインに設定されています。

示唆： 正規のJR東日本・ビューカードのメール配信システムが使用されていないことを示唆します。一般に公式サービスでは、FromとReturn-Pathは同一ドメイン、またはメール配信委託先の公式ドメインで統一されます。本件のReturn-Pathドメイン（flightcargosolutions[.]com）はビューカードの公式サイト（一般にviewcard[.]co[.]jpとして知られている）とは無関係です。

SPFの技術解説： SPF（Sender Policy Framework）は、ドメイン所有者が「このドメインからのメールを送信してよいサーバー」をDNSに登録しておく仕組みです。softfailは「ポリシーで許可されていないサーバーから送信されたが、受信側の判断に委ねる」状態を意味します。本件では実際の送信IPがjreast[.]co[.]jpの正規サーバーとして登録されていないことが確認済みです。

DMARCの技術解説： DMARC（Domain-based Message Authentication, Reporting and Conformance）は、SPFまたはDKIMの検証がFromドメインと整合していなければfailとなります。本件はSPF softfail・DKIMの検証結果が付与されていない状態の複合により、DMARCがfailとなっています。

総合判断： From偽装・SPF softfail・DMARC fail・Return-Pathの非公式ドメインという複合的な認証不整合は、正規のビューカードが送信したメールでは発生しない構成です。これらの複合根拠から、本メールはビューカードを詐称した不正なメールと判断されます。

送信元インフラ解析

送信元IP情報

項目	内容
IPアドレス	34[.]118[.]89[.]43
CIDR	34[.]64[.]0[.]0/10
登録組織	Google LLC

観測事実： 送信元IPは Google LLC が管理するアドレス帯（34[.]64[.]0[.]0/10）に属しています。

示唆： 一般に、Google Cloud Platform（GCP）などのクラウドインフラはVPSや仮想マシンとして第三者が借用可能であり、このIPがGoogleの公式サービスに属するという意味ではありません。正規のビューカード送信インフラは、公式サイトで確認できるSPFレコードに含まれるサーバー群であり、GCP上のこのIPとは無関係です。

総合判断： クラウドインフラを踏み台とした送信は、フィッシングメールの典型的な手口の一つです（確認済み）。送信者がビューカードの正規インフラを使用していないことが、IPレベルでも裏付けられます。

誘導URLとTDS解析

フィッシングURLの仕組み

本メール内のリンク先URLは以下の通りです：

hxxps://www[.]actorslifemagazine[.]com/?default=yLZJys8yaVfpJ5jsIu

このURLはビューカードともJR東日本とも無関係のドメインです。PhishTankへの登録が確認されています（phish_id: 9381613）。

TDS（Traffic Direction System）の検出

観測事実： 上記URLに対するアクセス解析において、過去の観測でTDS（トラフィック方向制御システム）が検出されました。TDSとは、訪問者の属性（IPアドレス、ブラウザ、地域、時刻など）を判定し、特定の条件を満たした場合のみフィッシングサイトへ誘導し、セキュリティ研究者や自動解析ツールには無害なページを返すシステムです。

今回の自動追跡では再現が確認されていませんが、過去の観測で以下の最終誘導先ドメインが記録されています：

login[.]hartsboropottery[.]com（自動観測）
login[.]legio-empire[.]com（自動観測）
www[.]legio-empire[.]com（自動観測）
www[.]webasvocalstudio[.]com（手動観測）

示唆： TDSの存在は、このフィッシングキャンペーンが組織的に運用されており、解析回避の工夫が施されていることを示唆します。複数の最終ドメインが存在することから、インフラが定期的に入れ替えられていると考えられます。

総合判断： 中継サイト（actorslifemagazine[.]com）→ TDS → 複数の最終フィッシングドメイン、という多段構造が確認済みです。これはセキュリティフィルターの回避と追跡困難化を目的とした高度な手口です。

TDSの動作イメージ

ユーザー（日本国内・スマートフォン等）
    ↓
hxxps://www[.]actorslifemagazine[.]com/ [中継・TDS判定]
    ↓ （条件合致時）
login[.]hartsboropottery[.]com 等
    ↓
ビューカードに偽装したログイン画面（IDとパスワードを窃取）

※セキュリティ研究者・ボット等と判定された場合は無害なコンテンツを表示

ユーザー（日本国内・スマートフォン等）

↓

hxxps://www[.]actorslifemagazine[.]com/ [中継・TDS判定]

↓ （条件合致時）

↓

ビューカードに偽装したログイン画面（IDとパスワードを窃取）

※セキュリティ研究者・ボット等と判定された場合は無害なコンテンツを表示

総合判断

本メールはフィッシング詐欺であることが確定しています。判断の根拠は以下の複合証拠です：

From / Return-Path 不整合（確認済み）： 表示上はjreast[.]co[.]jpを騙りながら、実際の送信経路はflightcargosolutions[.]comという無関係のドメインを使用
SPF softfail + DMARC fail（確認済み）： 送信元IPがjreast[.]co[.]jpの正規サーバーとして認証されない
ブランド詐称（確認済み）： ビューカードの名称・デザインを無断で使用し、正規サービスを装っている
非公式インフラ経由の送信（確認済み）： Google Cloud Platform上のIPからの送信で、ビューカードの公式配信インフラとは無関係
フィッシングURL（確認済み）： 誘導先がビューカード公式サイトと無関係のドメインで、TDSによる多段誘導構造を持つ
PhishTank登録済み（確認済み）： phish_id 9381613として登録されている

住所欄のテンプレート未置換（「[住所]1号」）やIDの末尾付与（「ID: AU6BJ687」）といった作りの粗さも、正規サービスと一線を画す特徴です。

IOC一覧

メール識別情報

種別	値
SHA256	`d67d0b6f1421f0b88d898a55ee52b7a647c86ce2ce38cf2138a5088c5c057266`
From（詐称）	admin[@]jreast[.]co[.]jp
Return-Path	hello[@]flightcargosolutions[.]com

ネットワークIOC

種別	値	備考
送信元IP	34[.]118[.]89[.]43	Google LLC / GCP
CIDR	34[.]64[.]0[.]0/10	Google LLC
中継URL	hxxps://www[.]actorslifemagazine[.]com/?default=yLZJys8yaVfpJ5jsIu	TDS検出・稼働中
最終誘導ドメイン	login[.]hartsboropottery[.]com	自動観測
最終誘導ドメイン	login[.]legio-empire[.]com	自動観測
最終誘導ドメイン	www[.]legio-empire[.]com	自動観測
最終誘導ドメイン	www[.]webasvocalstudio[.]com	手動観測

PhishTank登録状況

URL	phish_id	状態
hxxps://www[.]actorslifemagazine[.]com/?default=yLZJys8yaVfpJ5jsIu	9381613	登録済み・未検証

対処方法

このメールを受け取ったら

リンクを絶対にクリックしない： 「お支払詳細・再振替を確認」のリンクはTDSを経由してフィッシングサイトへ誘導します。クリックした場合は、ビューカード・銀行のIDとパスワードの盗難が疑われます。
「引落不能」の確認は公式アプリ・公式サイトから： ビューカードの残高不足や引落状況は、公式に知られているviewcard[.]co[.]jpへの直接アクセス、または公式アプリからのみ確認してください。メール内のリンクは使用しないでください。
すでにIDとパスワードを入力してしまった場合： 直ちにビューカードの公式カスタマーセンターへ連絡し、パスワードを変更してください。同じパスワードを他のサービスで使い回している場合は、それらも変更してください。
クレジットカードの利用明細を確認： 身に覚えのない請求が発生していないか、直近の明細を確認してください。

見分け方のポイント

Return-Pathを確認する： メールヘッダーの「Return-Path」または「smtp[.]mailfrom」が、表示上の差出人ドメインと異なる場合は詐称の可能性が高い。本件では flightcargosolutions[.]com という全く無関係のドメインが使用されていました。
リンク先URLを確認する： マウスオーバー（クリックせず）でリンク先URLを確認し、viewcard[.]co[.]jpまたはjreast[.]co[.]jp以外のドメインが表示された場合はフィッシングです。本件では actorslifemagazine[.]com という無関係のドメインへの誘導でした。
不自然な住所欄： 本メールの「[住所]1号大崎センタービル」のように、テンプレート変数が置換されないまま残っているケースは、大量送信フィッシングの証拠です。

セキュリティ担当者・メール管理者へ

本キャンペーンで使用された送信元IP（34[.]118[.]89[.]43）および最終誘導ドメイン群（hartsboropottery[.]com, legio-empire[.]com, webasvocalstudio[.]com）のブロックを推奨します。TDSの存在により、中継ドメイン（actorslifemagazine[.]com）のみのブロックでは不十分な場合があります。URLフィルタリングに加え、DMARCポリシーの強化（p=reject）を受信側フィルターとして活用することも有効です。

検出された誘導先ドメイン一覧

ドメイン	状態	検出方法	登録情報
`www[.]actorslifemagazine[.]com`	停止/エラー	自動追跡	–
`login[.]hartsboropottery[.]com`	観測済み	過去自動観測	–
`login[.]legio-empire[.]com`	観測済み	過去自動観測	–
`www[.]legio-empire[.]com`	観測済み	過去自動観測	–
`www[.]webasvocalstudio[.]com`	観測済み	手動登録	–