【アクションが必要です】継続課金の解除について — ニンテンドースイッチオンラインを騙るフィッシングメール（PhishTank確認済み）

概要

2026年4月3日、「Nintendo Switch Online 自動継続購入」の決済失敗を装ったフィッシングメールが確認されました。
差出人フィールドには「Nintendo Online」と表示されますが、実際の送信ドメインは任天堂の公式ドメインとは無関係の qrtgzg[.]cn（中国 .cn ドメイン）です。
誘導先URLはPhishTankにて「フィッシング確認済み（Verified Phish）」と登録されており、フィッシングサイトであることが第三者機関によっても確定しています。

本記事では、メール認証結果・送信インフラ・誘導先サイトの技術的分析を通じて、このフィッシングキャンペーンの手口と証拠を詳細に解説します。

メール詳細

メール本文（全文）

以下は受信したフィッシングメールの本文全文です。件名や文面で検索してたどり着いた方は、このメールが詐欺であることをご確認ください。

【重要】Nintendo Switch Online 自動継続購入に関するお知らせ

※本メールは、Nintendo Switch Onlineの自動継続購入が完了できなかった方に送付しております。

下記のいずれかの理由により、「2026/4/3（JST）」からのご利用分の決済が完了できませんでした。

【お支払い方法を設定済みの場合】
クレジットカードまたはPayPalが決済に利用できない。
［例］
登録されているクレジットカードの有効期限が切れている。
その他の理由でクレジットカードが使用できない。

【お支払い方法を未設定の場合】
ニンテンドーeショップの残高が不足している。

引き続きNintendo Switch Onlineのサービスをご利用いただくには、
ニンテンドーeショップまたは下記のリンクより、再度利用券をご購入ください。

▼ 利用券を再度購入する

このメールアドレスには返信できません。
ご不明な点がございましたら、以下のリンクをご参照ください：
Nintendo Switch Online
任天堂サポートサイト

任天堂株式会社 [住所]

【注意】 上記メール内のリンク（「利用券を再度購入する」等）はフィッシングサイトへの誘導です。絶対にクリックしないでください。
本記事では安全のため、リンクURLは難読化表記しています。

メール認証結果の分析

SPF・DKIM・DMARC の結果

「認証 pass なのになぜフィッシング？」の解説

SPF・DKIM・DMARCがすべて pass であることに違和感を持つ方も多いかもしれません。
これらのメール認証技術は「From に書かれたドメインからの正規送信かどうか」を検証するものです。
つまり、詐欺師が自分でドメイン（今回は qrtgzg[.]cn）を取得し、そのドメイン用のSPFレコード・DKIM鍵を設定すれば、認証はすべて pass になります。

観測事実： From ドメインは qrtgzg[.]cn であり、任天堂が公式に使用するドメインとして一般に知られている nintendo[.]co[.]jp や nintendo[.]com とは一致しない。
示唆： 認証の「pass」は qrtgzg[.]cn ドメインの正当な送信者であることを示すに過ぎず、任天堂株式会社との関連性を何ら証明しない。
総合判断： 表示名「Nintendo Online」への偽装、非公式 .cn ドメインからの送信、誘導先URLのPhishTank登録という複合証拠から、本メールはフィッシングと確定する。

From ドメインと送信ドメインの乖離

メーラーに表示される「Nintendo Online」という表示名は任意の文字列に設定可能であり、信頼性を持ちません。
実際の送信アドレス dmail-nberdpj[@]qrtgzg[.]cn のローカルパート（dmail-nberdpj）はランダム文字列に見えますが、
メール配信においてバウンスメール追跡のために使われる VERP（Variable Envelope Return Path）形式でも類似した構造が使われるため、この形式のみをもってフィッシングの根拠とすることは適切ではありません。
ただし、正規配信ドメインでないことの補助的な指標とはなります。

送信元インフラ分析

送信元 IP アドレス

観測事実： SPF レコードにより、101[.]47[.]12[.]243 がメール送信元 IP として確認された。
示唆： このIPアドレスは qrtgzg[.]cn ドメインに紐付く送信インフラの一部である。任天堂の公式メール配信インフラとは無関係のアドレス帯である可能性が高い。

送信元メーラーの痕跡

観測事実： メールヘッダの X-Mailer フィールドに Foxmail 6, 13, 102, 15 [cn] と記録されている。
示唆： Foxmail は中国・テンセント（Tencent）が開発したメーラーとして一般に知られており、[cn] という言語識別子も付与されている。この事実は、送信者が中国語圏の環境でメールを送信したことを示唆する根拠の一つである。ただし、X-Mailer ヘッダは偽装可能であるため、単独での断定は行わない。

複合的な中国圏インフラの示唆

送信ドメイン qrtgzg[.]cn（中国 ccTLD）・誘導先ドメイン qh229548[.]cn（同）・タイムゾーン +0800（中国標準時）・Foxmail メーラーという複数の状況証拠が重なっている。
これらは、本フィッシングキャンペーンが中国圏のインフラを用いて運営されている可能性を示唆する。ただし、いずれも状況証拠であり、確定的な帰属（アトリビューション）ではない。

誘導先サイトの分析

フィッシング URL

URLパス構造の解説

観測事実： パスに /yunmip/portual/jp/index_html/ という構造が含まれる。portual は英単語 “portal” のtypoと見られる。/jp/ はロケール偽装（日本語ページを意味するディレクトリ名）として機能していると考えられる。
示唆： サブドメイン kumcrfdk はランダム文字列であり、フィッシングキットが動的に生成したものと推定される。正規の任天堂ウェブサービスのURLとは構造が根本的に異なる。
総合判断： ホスト名・パス構造・ドメイン帯がいずれも任天堂公式のものと一致せず、フィッシングサイトとして第三者機関（PhishTank）の検証も完了している。

ソースサイズからの推察

観測事実： フィッシングページのソースサイズは 1,758 bytes と極めて小さい。
示唆： 一般的なWebページとしては異常に小さいサイズであり、別ドメインへのリダイレクト処理、またはインラインフレームによるコンテンツ読み込みが行われている可能性がある。ソースが最小化されていることは、手がかりを減らすための意図的な設計とも考えられる。

手口の解説：なぜ引っかかるのか

1. 表示名偽装（Display Name Spoofing）

多くのメーラー（スマートフォンのメールアプリを含む）は、メールアドレス全体ではなく「表示名」を優先して表示します。
「Nintendo Online」という表示名だけが見えるよう設計されており、実際の送信ドメイン qrtgzg[.]cn は折りたたまれた詳細欄に隠れています。
差出人アドレスを展開して確認しない限り、一見すると任天堂からの正規メールのように見えます。

2. 緊急性・損失回避を煽る文面

「決済が完了できなかった」「サービスが利用できなくなる」という表現は、受信者に焦りと損失回避の心理を喚起します。
具体的な日付（「2026/4/3（JST）」）を入れることで信頼性と緊急感を高め、冷静な判断を妨げる設計になっています。

3. 正規フォーマットの模倣

メール本文は任天堂の公式メールに似た文体・構成を使用しており、「このメールアドレスには返信できません」「任天堂株式会社」などの定型フレーズが含まれています。
文面の自然さにより、フィッシングメールと判断しにくくなっています。

対処方法

このメールを受け取った場合

1. メール内のリンクは絶対にクリックしない。
   「利用券を再度購入する」や「任天堂サポートサイト」と表示されているリンクは、実際には kumcrfdk[.]qh229548[.]cn 等のフィッシングサイトへ誘導します。
2. Nintendo Switch Online の状態はニンテンドーeショップから直接確認する。
   本当に決済に問題があるかどうかは、メール内のリンクからではなく、Nintendo Switch 本体のeショップ、または公式サイト（アドレスバーで nintendo[.]co[.]jp であることを確認）にアクセスして確認してください。
3. 差出人メールアドレスを必ず確認する。
   任天堂からの公式メールは nintendo[.]co[.]jp 等のドメインから送信されます（公式サイトで確認できます）。
   qrtgzg[.]cn のような .cn ドメインからのメールは、たとえ認証が pass であっても任天堂とは無関係です。
4. クレジットカード・PayPal 情報を入力してしまった場合は、直ちにカード会社・PayPalに連絡する。
   フィッシングサイトにアクセスし、支払い情報を入力してしまった場合は、不正利用が発生する前にカード停止・パスワード変更を行ってください。
5. ニンテンドーアカウントのパスワードを入力してしまった場合は、直ちにパスワードを変更し、2段階認証を設定する。

メールの報告先

• フィッシング対策協議会（JPCERT/CC 連携）: info[@]antiphishing[.]jp
• 任天堂への報告: 任天堂公式サポートページの「不審なメール・サイトについて」を参照
• PhishTank: 本件は既に phish_id: 9382405 として登録済み

IOC（侵害の痕跡）一覧

セキュリティ担当者・研究者向けに確認された IOC を以下に掲載します。これらの値はそのままコピーして悪用されないよう難読化表記しています。

メール

ネットワーク

PhishTank 登録状況

まとめ

本メールはニンテンドースイッチオンラインのサービス継続に関する緊急通知を装ったフィッシングメールです。
表示名「Nintendo Online」への偽装・非公式 .cn ドメインからの送信・稼働中のフィッシングサイトへの誘導・PhishTankによる「フィッシング確認済み」の4つの複合証拠により、フィッシングと確定しています。

SPF・DKIM・DMARC がすべて pass であることは、詐欺師が自前のドメインを適切に設定した結果であり、任天堂との関連性を保証するものではありません。
メール認証の「pass」はドメイン単位の正当性であり、そのドメインが正規ブランドであるかどうかの判断は人間が行う必要があります。

Nintendo Switch Online のご利用状況を確認する際は、必ず Nintendo Switch 本体のeショップまたはブラウザのアドレスバーで正規ドメインを確認してからアクセスしてください。
メール内のリンクは、表示テキストがどれだけ正規らしく見えても、クリック前に実際のリンク先URLを確認する習慣をつけることが重要です。