【安心サポート】お客様のアカウント確認について No[.]18530790 ─ SBI証券を騙るフィッシングメール解析レポート

1. 概要

2026年4月6日、SBI証券（一般に sbisec[.]co[.]jp を正規ドメインとして使用していることが公式サイトで確認できる）を装ったフィッシングメールを確認しました。件名は「【安心サポート】お客様のアカウント確認について No[.]18530790」で、「セキュリティ向上のための本人確認」を名目に偽の設定ページへの誘導を試みます。

メール認証の複合的な失敗（SPF softfail、DMARC fail）、From ヘッダーと Return-Path の不整合、および SBI証券ブランドの詐称を組み合わせた結果、本メールはフィッシング詐欺と確定しました。

2. メールヘッダー解析

2-1. From ヘッダーと Return-Path の不整合

【観測事実】 メールの表示上の差出人（From）は support[@]sbigroup[.]co[.]jp ですが、実際の返信経路・バウンス先を示す Return-Path は admin[@]nutrition-dietetics[.]com と全く異なるドメインが使われています。

【示唆】 正規の企業が大量配信サービスを使う場合でも、From ドメインと Return-Path ドメインを同一グループ内で揃えるのが一般的です。今回のように無関係の第三者ドメインが Return-Path に現れることは、正規の送信経路では説明が困難です。

【総合判断への寄与】 この不整合は、From を偽装した不正送信の典型的な痕跡であり、後述の認証失敗と合わせてフィッシング確定の根拠の一つとなります。

2-2. 件名・文字コード

件名は UTF-8 エンコードで送信されており、文字化けのない自然な日本語表記を実現しています。これはメール受信者に違和感を与えないよう、攻撃者が意図的に設定したものと考えられます。

3. メール認証（SPF / DKIM / DMARC）

メール認証の仕組みを簡単に説明します。SPF は「このドメインのメールを送ってよいサーバーの一覧」を DNS に登録する仕組みです。DKIM はメール本文・ヘッダーに電子署名を付けてなりすましや改ざんを検出します。DMARC は SPF・DKIM のどちらかが From ドメインと整合していれば「pass」、両方が整合しなければ「fail」となります。

3-1. SPF softfail の意味

【観測事実】 SPF 結果は softfail（~all）でした。送信元 IP 34[.]106[.]110[.]157 は sbigroup[.]co[.]jp の SPF レコードで許可されたサーバーに該当しないことを示しています。

【示唆】 SBI証券の公式メールサーバーからではなく、別のインフラ（今回は Google Cloud）から送信されたことを示唆します。

3-2. DMARC fail の意味

【観測事実】 DMARC は fail です。SPF の smtp[.]mailfrom が nutrition-dietetics[.]com（From ドメインの sbigroup[.]co[.]jp と不整合）であり、DKIM の検証結果も付与されていないため、DMARC のアライメントが成立しませんでした。

【総合判断への寄与】 SPF softfail・DMARC fail・Return-Path 不整合という三つの認証上の問題が重なることは、正規送信では起こりにくく、なりすまし送信の有力な証拠です。

4. 送信元インフラ

【観測事実】 送信元 IP 34[.]106[.]110[.]157 は Google LLC が管理する CIDR 34[.]64[.]0[.]0/10 に属します。これは Google Cloud Platform（GCP）の IP 帯域と一致しています。

【示唆】 Google Cloud のインスタンスやサービスを悪用してメールを送信したと考えられます。クラウドサービスは誰でも低コストで利用でき、IP の信頼性を借用できるため、スパム・フィッシング送信に悪用される事例が一般的に報告されています。

【補足】 Google のクラウドインフラは正規企業も広く利用しているため、この IP 帯域から来たメールすべてが不正というわけではありません。本件では、他の複合証拠と組み合わせて評価しています。

5. URL・誘導先解析

5-1. メール本文中の URL

メール本文に記載されている設定ページ URL は hxxps://login[.]sbisec[.]co[.]jp/ と表示されており、一見すると SBI証券の正規サイトに見えます。しかし、実際のリンク先（href 属性や実リダイレクト先）が異なる可能性があるため、クリックしないことが重要です。

5-2. ヘッダー中の追跡 URL

メールヘッダーには以下のトラッキング・リダイレクト URL が埋め込まれていました。

【観測事実】 srqpaintingcompany[.]com は塗装会社のサイトとみられる第三者ドメインです。クエリパラメータ _scpr=HUSH1qPT0i8kK2pEQibwZTRq のようなランダム文字列は、受信者ごとにユニークな値を付与してクリック追跡（誰がいつクリックしたか）を行う手法として一般的に利用されます。

【示唆】 このドメインは正規の事業用サイトが不正利用されたか、攻撃者が開設したサイトである可能性があります。解析時点ではリダイレクト先がエラー状態のため最終的な誘導先は確認できませんでしたが、過去に稼働していた時期には偽のログインページ等へ誘導していた可能性が高いと考えられます。

【TDS（Traffic Distribution System）について】 フィッシングキャンペーンでは、アクセス元の IP・User-Agent・時刻・トークンを判定して本物の標的にのみ偽ページを表示し、セキュリティ研究者には無害なページやエラーを返す「トラフィック制御システム」が一般的に使われます。解析時のエラーは、このような制御が作動した可能性も否定できません。

5-3. PhishTank 照会

解析時点で hxxps://www[.]srqpaintingcompany[.]com/?_scpr=HUSH1qPT0i8kK2pEQibwZTRq は PhishTank に未登録です。本記事公開時点での登録状況に基づき、当社にて登録申請を行います。

6. メール本文（全文）

以下は受信したフィッシングメールの本文全文です。参考のため全文を掲載します。

【安心サポート】お客様のアカウント確認について

[受信者] 様

このたび、当社ではセキュリティ向上の一環として、一部お客様に対してご利用環境の確認をご案内しております。

わずかな操作で、より安全にお取引いただける環境をご提供いたします。

・スマートフォンによる認証（FIDO）
・端末情報の登録と管理

▼設定ページ
hxxps://login[.]sbisec[.]co[.]jp/

設定に関してご不明な点がございましたら、サポートデスクまでお気軽にご連絡ください。

———————————————————————-
SBI証券 サービスセンター
———————————————————————-
Copyright (C) SBI SECURITIES Co., Ltd. All Rights Reserved.
C1W9VYCQ

本文の手口解説

• 「セキュリティ向上」という名目： 不安を煽らず、むしろ「あなたのために良いことをしている」という印象を与えることで、受信者の警戒心を下げる典型的な手口です。
• 「FIDO認証」「端末情報の登録」という具体的な技術用語： 実際に SBI証券が導入しているセキュリティ機能の名称を使うことで、正規メールらしく見せています。
• URL の表示と実リンクの乖離： メール本文には hxxps://login[.]sbisec[.]co[.]jp/ と表示されていますが、HTML メールではリンクテキストと href 属性を別々に設定できます。表示上の URL が正規に見えても、実際のクリック先が異なる場合があります。
• 末尾の謎の文字列 C1W9VYCQ： 受信者を個別識別するためのトークンである可能性があります。

7. 証拠の総合評価

上記の複数証拠を総合した結果、本メールはフィッシング詐欺と確定しています。単一の認証失敗だけでなく、ブランド詐称・送信元偽装・不審なリダイレクト経路が重なることが根拠です。

8. 対処方法

このメールを受信した場合

1. リンクをクリックしない。 本文中の「設定ページ」URL は表示上 hxxps://login[.]sbisec[.]co[.]jp/ と見えますが、HTML メールでは表示テキストと実リンクを別々に設定できます。クリックする前にリンク先 URL をホバーで確認し、少しでも不審な点があれば絶対にクリックしないでください。
2. SBI証券の公式サイトへは手入力でアクセスする。 ブラウザのアドレスバーに直接 URL を入力するか、事前にブックマークした正規サイトからアクセスしてください。
3. 「FIDO認証の設定を求めるメール」への反応を止める。 正規の SBI証券から FIDO 設定変更を求める連絡が来ることがあっても、メール内リンクから手続きを行うことは推奨されていません。必ず公式アプリまたは公式サイトから操作してください。
4. すでにリンクをクリックした・情報を入力した場合は即座に対処する。
   • SBI証券の公式カスタマーサポートに連絡し、アカウントの不正利用がないか確認を依頼する
   • パスワードを直ちに変更する
   • SMS/認証アプリを使った二段階認証が有効になっているか確認する
   • 銀行・証券口座の取引履歴を確認し、不審な操作がないか調べる
5. メールを報告する。 迷惑メール相談センター（一般財団法人日本データ通信協会）や、内閣サイバーセキュリティセンター（NISC）の相談窓口に転送・報告することを推奨します。

9. IOC（侵害指標）一覧

メール

ネットワーク

PhishTank 登録状況