フィッシング

【注意喚起】「返金処理に関するご連絡」UCカードを騙るフィッシングメール(2026年4月)

2026年4月3日、UCカードを騙るフィッシングメールが確認されました。件名「返金処理に関するご連絡」として送信され、年会費返金(7,950円)を餌に偽サイトへ誘導するものです。本記事では、メールの技術的解析結果とフィッシングインフラの詳細を公開します。

フィッシングサイトのスクリーンショット
誘導先サイトのスクリーンショット(解析時点)

目次

  1. メール概要
  2. メール本文(全文)
  3. メール認証解析
  4. URLと誘導先サイト解析
  5. フィッシング判定の根拠
  6. このメールを受け取ったら
  7. IOC一覧

1. メール概要

件名 返金処理に関するご連絡
表示差出人 【UCカード】返金特典のご案内 <noreply[@]email[.]apple[.]com>
Return-Path <noreply-[受信者アドレス][@]email[.]apple[.]com>
送信日時 2026年4月3日(金)14:47:14 +0900
送信元IP 218[.]59[.]96[.]125
X-Mailer Cybozu Garoon 5 Mail
SHA256 54dfd5ff7ba1736e3f0a558955dc3185e2a054161786c85016a7c934d601fa84
なりすましブランド UCカード(finance)

送信元ドメインについて

このメールの差出人アドレスに使われている email[.]apple[.]com は、一般にApple Inc.のメール配信インフラとして知られているドメインです。UCカードの公式サイトで確認できる正規送信元ドメイン(一般に uc-card[.]co[.]jp ドメイン等)とは一致しません。

(観測事実) Fromアドレスのドメインが email[.]apple[.]com であり、UCカードと無関係です。(示唆) 正規のUCカードがAppleのメールインフラから返金案内を送信するとは考えがたく、ブランドなりすましの典型的手口です。

2. メール本文(全文)

UCカード 年会費優待・返金のご案内

UCカード 会員様向け特別ご案内

期間限定・返金対象キャンペーン

平素よりUCカードをご利用いただき、誠にありがとうございます。
現在、対象会員様限定で 年会費優待+キャッシュバックキャンペーン を実施中です。

■ カード名称:UCカード
■ 対象:UCカード会員様
■ 申込期限:ご案内後72時間以内
■ 条件:カード利用回数12回以上
■ 年会費優待:7,950円

🎁 特典内容(返金)

条件達成後、年会費相当額(7,950円)がご利用代金より自動返金(キャッシュバック)されます。

キャンペーン詳細・返金申請はこちら

※返金は条件達成後、翌月以降のご利用明細にて反映されます。
※本メールは送信専用です。返信には対応しておりません。

© UC CARD Co., Ltd. All Rights Reserved.

本文の分析

  • 「72時間以内」という期限:緊迫感を演出し、冷静な判断を奪う典型的な手口です。
  • 「7,950円の返金」:具体的な金額を示すことで信憑性を高めています。
  • 「対象会員様限定」:特別感を演出し、クリックを誘導します。
  • 「送信専用・返信不可」:問い合わせを封じることで、詐欺の発覚を遅らせる意図があります。
  • Copyright表記に正規商標(UC CARD Co., Ltd.)を使用し、視覚的な正当性を演出しています。

3. メール認証解析

SPF(Sender Policy Framework):softfail

SPFはメールの送信元IPが、そのドメインの正規送信者として登録されているかを検証する仕組みです。

(観測事実) SPF検証結果は softfail(~all) でした。送信元IP 218[.]59[.]96[.]125 は、email[.]apple[.]com のSPFレコードに正規送信者として含まれていません。(示唆) このIPからの送信は、ドメイン所有者が意図した送信源でないことを示唆します。

DKIM(DomainKeys Identified Mail):permerror

DKIMはメール本文やヘッダーに電子署名を付与し、配送途中の改変がないことを検証する仕組みです。

(観測事実) DKIM検証結果は permerror(恒久的検証エラー) でした。これはDKIM署名の形式不備や、参照先DNSレコードの問題など複数の原因が考えられます。(示唆) 正規の送信者がDKIM署名を適切に設定していないか、または署名が機能しない状態であることを示します。

DMARC:検証結果未付与

DMARCはSPFとDKIMの検証結果を組み合わせ、ドメイン所有者のポリシーに従ってメールを処理する仕組みです。

(観測事実) このメールにはDMARC検証結果が付与されていませんでした。(示唆) SPF softfailおよびDKIM permerrorの状態では、DMARCアライメントが成立しない可能性が高いです。

X-Mailerヘッダーの異常

(観測事実) X-Mailer: Cybozu Garoon 5 Mail と記録されています。Cybozu Garoonは日本企業向けグループウェアです。(示唆) UCカードが返金案内メールにGaroonを使用するとは考えにくく、ヘッダー偽装の可能性があります。また、攻撃者がGaroonをメール送信の踏み台として利用している可能性も考えられます。

4. URLと誘導先サイト解析

誘導URL(難読化済み)

URLの偽装手法:パス偽装によるブランド詐称

最終到達URLのパス部分(/[.]uc[.]co[.]jp)は、UCカードの公式ドメインに見せかけたパス文字列です。

(観測事実) リンク先の実際のホストは zk-hupusports[.]com であり、UCカードとは無関係のドメインです。(示唆) URLを一見すると「uc[.]co[.]jp」という文字列が含まれているように見えますが、これはパス名に過ぎず、接続先はまったく別のサーバーです。ブラウザのアドレスバーをよく確認することが重要です。

誘導先サイトの技術情報

URL hxxps://zk-hupusports[.]com/[.]uc[.]co[.]jp
ページタイトル クレジットカードはUCカード
サーバー Cloudflare
ソースサイズ 776 bytes
状態 稼働中(確認済み)

(観測事実) ページソースサイズが776バイトと極めて小さく、正規のクレジットカード会社のウェブページとしては不自然です。(示唆) このサイズは、次段階へのリダイレクトのみを行う中継ページか、最小限のフィッシングフォームのみを含む可能性を示唆します。

また、Cloudflareを経由することで、実際のホスティングサーバーのIPアドレスが隠蔽されています。これはフィッシングサイトの摘発を困難にする一般的な手法です。

中継ドメインの登録情報

ドメイン zh-apps-jnsports[.]com
リダイレクト先 zk-hupusports[.]com

どちらのドメインも正規のUCカードやAppleとは無関係の、スポーツ系を装った不審なドメインです。フィッシングキャンペーンでは、本来の目的とは無関係に見えるドメインを複数使い分けることで追跡を困難にする手法が一般的に用いられます。

5. フィッシング判定の根拠

本メールをフィッシングと判定するにあたり、以下の複数の証拠を総合的に評価しました。単一の証拠のみで判断したものではありません。

証拠 観測事実 示唆
Fromドメイン詐称(確認済み) UCカードを名乗りながら email[.]apple[.]com から送信 ブランドなりすましの直接的証拠
SPF softfail(確認済み) 送信IP 218[.]59[.]96[.]125 はドメインの正規送信元でない ドメイン所有者が意図しない送信元からの配信
DKIM permerror(確認済み) 電子署名の恒久的検証エラー 送信元の正当性を電子署名で証明できない状態
誘導先URL(確認済み) UCカードに無関係な zk-hupusports[.]com に到達 偽サイトへの誘導が確認済み
URL偽装(確認済み) パス部分に [.]uc[.]co[.]jp を含め正規ドメインに見せかける 意図的なブランド詐称
フィッシング的文面(確認済み) 72時間の期限・具体的金額・限定感 冷静な判断を妨げる典型的手口

総合判断: 上記6点の証拠が複合的に一致することから、本メールはUCカードを詐称したフィッシングメールと判定します(確信度:高)。

6. このメールを受け取ったら

絶対にしてはいけないこと

  • メール内のリンクをクリックしない:「キャンペーン詳細・返金申請はこちら」のリンクは偽サイトへ誘導します
  • クレジットカード番号・有効期限・セキュリティコードを入力しない
  • 会員IDやパスワードを入力しない
  • 個人情報(氏名・住所・電話番号・生年月日)を入力しない

すでにリンクをクリックしてしまった場合

  1. 情報を入力した場合は即座にUCカードの公式サポートへ連絡してください(カード番号の変更・不正利用の申告)
  2. UCカードの公式サイトへは、メールのリンクからではなく、ブラウザに直接URLを入力するか、公式アプリからアクセスしてください
  3. 不正利用の形跡がないか、直近の利用明細を確認してください

このメールかどうかを見分けるポイント

  • 差出人アドレスに email[.]apple[.]com が含まれている:UCカードは一般にAppleのインフラからメールを送信しません
  • 「72時間以内」という期限付きの返金案内:正規の返金処理にこのような期限は設けられません
  • ブラウザのアドレスバーに zk-hupusports[.]com と表示される:UCカードの正規ドメインではありません

7. IOC一覧

メール識別情報

SHA256 54dfd5ff7ba1736e3f0a558955dc3185e2a054161786c85016a7c934d601fa84
件名 返金処理に関するご連絡
From noreply[@]email[.]apple[.]com
Return-Path noreply-[受信者アドレス][@]email[.]apple[.]com
X-Mailer Cybozu Garoon 5 Mail

ネットワーク

送信元IP 218[.]59[.]96[.]125
中継ドメイン zh-apps-jnsports[.]com
最終誘導先ドメイン zk-hupusports[.]com
誘導URL(初段) hxxps://zh-apps-jnsports[.]com/RU1bQjUq0yuskbZSa3Be[.]co[.]jp
誘導URL(最終) hxxps://zk-hupusports[.]com/[.]uc[.]co[.]jp
サーバー Cloudflare(実サーバー不明)

PhishTank登録状況

本記事公開時点で、PhishTankには未登録です。当社にて登録申請を行います。

メール認証サマリ

SPF softfail
DKIM permerror(恒久的検証エラー)
DMARC 検証結果未付与
検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
zh-apps-jnsports.com 入口URL 稼働中 メール本文
zk-hupusports.com 最終遷移先 稼働中 リダイレクト追跡

本記事に記載のIOC(侵害指標)はセキュリティ研究目的で公開しています。記載のURLへのアクセスは危険です。すべてのURLは難読化処理済みです。

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,