フィッシング
【フィッシング詐欺注意】「ヨドバシドットコム:お客様情報変更依頼受付のご連絡」― 数学用Unicode文字でセキュリティフィルターを回避する巧妙なフィッシングメール
2026年4月13日、ヨドバシドットコム(ヨドバシカメラのECサービス)になりすましたフィッシングメールが確認されました。メール本文は日本語で書かれていますが、差出人アドレスは公式ドメインとは無関係の第三者ドメインであり、誘導先URLには通常の英数字に見せかけた数学用Unicode文字が使われています。本記事ではメール・URLの偽装手法を技術的に解説し、被害防止に役立てます。
⚠ 判定:フィッシング(確定)
送信元ドメインの詐称・SPF softfail・数学用Unicode文字によるURL偽装・ブランド詐称の複合的根拠により、本メールはフィッシング詐欺であると確定しています。絶対にリンクをクリックしないでください。
📧 メール基本情報
| 件名 | ヨドバシドットコム:「お客様情報」変更依頼受付のご連絡 |
|---|---|
| 差出人(表示名) | ヨドバシ・ドッ ト・コム |
| 差出人(メールアドレス) | no-reply-7eHx[@]vinx[.]co[.]jp |
| Return-Path | no-reply-7eHx[@]vinx[.]co[.]jp |
| 受信日時 | 2026年4月13日 月曜日 19:04:45 +0900 |
| X-Mailer | iPhone Mail (21G81) |
| 文字コード | UTF-8 |
| SHA256(EMLファイル) | 17f2d0e16641a42a14c13868ef973dbd5764db5c2bc7611a990f6c7a374c4849 |
🔍 フィッシング判定根拠
根拠 1:送信元ドメインがヨドバシカメラと無関係の第三者ドメイン
観測事実(確認済み)
差出人アドレスおよびReturn-Pathはともに
no-reply-7eHx[@]vinx[.]co[.]jp であり、vinx[.]co[.]jp ドメインから送信されている。示唆:ヨドバシカメラのECサービスは一般に
yodobashi[.]com ドメインを使用していることが公式サイトで確認できる。vinx[.]co[.]jp はヨドバシカメラとは無関係の第三者ドメインであり、公式メールがこのドメインから送信されることはない。→ 送信元ドメインが完全に詐称されており、ヨドバシカメラを装った偽メールであることを強く示す。
根拠 2:差出人表示名に不自然なスペース
観測事実(確認済み)
From ヘッダーの表示名は「ヨドバシ・ドッ ト・コム」であり、「ドッ」と「ト」の間に不自然なスペースが挿入されている。
示唆:正規の企業メールであれば表示名の誤記は生じない。この種の誤字・スペース挿入は、セキュリティフィルターのキーワードマッチングをすり抜けるための技法として一般的に確認されている。
→ フィッシングキャンペーンに典型的な送信元詐称の一形態と判断する。
根拠 3:SPF softfail — 送信元IPが正規経路でないことを示唆
観測事実(確認済み)
受信サーバーのSPF検証結果は softfail(~all)。送信元IP
79[.]254[.]16[.]34 は vinx[.]co[.]jp のSPFポリシーで明示的に許可されていない。示唆:SPF softfailは、送信元IPがドメインのSPFレコードで「許可されていないが拒否はしない」状態として定義されている(RFC 7208)。正規のメール配信インフラから送信されるメールは通常
pass となる。softfailは意図した送信経路でないか、サードパーティ経由の不正送信である可能性を示す。→ 送信元ドメイン詐称・ブランド詐称との複合で、フィッシングの確証を補強する。
💡 SPF/DKIM/DMARCについて
DKIM・DMARCの検証結果はヘッダーに付与されていません(「不明」)。これは検証結果がヘッダーに追加されなかった状態を示すものであり、単独でフィッシング判断の根拠とするものではありません。本記事の判定は複数の根拠を組み合わせた総合評価に基づいています。
DKIM・DMARCの検証結果はヘッダーに付与されていません(「不明」)。これは検証結果がヘッダーに追加されなかった状態を示すものであり、単独でフィッシング判断の根拠とするものではありません。本記事の判定は複数の根拠を組み合わせた総合評価に基づいています。
根拠 4:誘導先ドメインがヨドバシカメラと無関係
観測事実(確認済み)
メール内のリンク誘導先は
hxxps://yodobashi[.]mhgjk[.]com/... であり、実際の登録ドメインは mhgjk[.]com である。「yodobashi」はサブドメイン部分に過ぎない。示唆:URLのドメイン部分はホスト名の最後から数えてTLD+1レベル(ここでは
mhgjk[.]com)が実際の管理ドメインである。「yodobashi」をサブドメインに付けることで、一見するとヨドバシカメラのURLに見えるよう誤認を誘う典型的な手法(サブドメイン偽装)である。→ 本物の
yodobashi[.]com とは完全に別のドメインへ誘導している。確認済みの詐称行為。根拠 5:URLに数学用Unicode文字を使ったフィルター回避 確認済み・高度な手口
🧬 数学用太字体Unicode文字によるファイル名偽装
メール内リンクの表示URLは以下の通りです:
hxxps://yodobashi[.]mhgjk[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥
一見すると「index[.]html」に見えますが、このファイル名部分の文字は通常のASCII英字(U+0069〜U+007A)ではなく、数学用太字スモール体(Mathematical Bold Small) のUnicode文字です。
| 見た目 | 実際の文字 | コードポイント | Unicode名称 | URLエンコード |
|---|---|---|---|---|
| 𝐢 | i (偽装) | U+1D422 | MATHEMATICAL BOLD SMALL I | %F0%9D%90%A2 |
| 𝐧 | n (偽装) | U+1D427 | MATHEMATICAL BOLD SMALL N | %F0%9D%90%A7 |
| 𝐝 | d (偽装) | U+1D41D | MATHEMATICAL BOLD SMALL D | %F0%9D%90%9D |
| 𝐞 | e (偽装) | U+1D41E | MATHEMATICAL BOLD SMALL E | %F0%9D%90%9E |
| 𝐱 | x (偽装) | U+1D431 | MATHEMATICAL BOLD SMALL X | %F0%9D%90%B1 |
| 𝐡 | h (偽装) | U+1D421 | MATHEMATICAL BOLD SMALL H | %F0%9D%90%A1 |
| 𝐭 | t (偽装) | U+1D42D | MATHEMATICAL BOLD SMALL T | %F0%9D%90%AD |
| 𝐦 | m (偽装) | U+1D426 | MATHEMATICAL BOLD SMALL M | %F0%9D%90%A6 |
| 𝐥 | l (偽装) | U+1D425 | MATHEMATICAL BOLD SMALL L | %F0%9D%90%A5 |
なぜこれが危険なのか:
- 多くのメールセキュリティフィルターや URLフィルターは正規表現やキーワードリストで「index[.]html」「.html」を検出するが、Unicode数学文字を使うとこのパターンマッチをすり抜けることができる。
- ブラウザのアドレスバーでは太字に見えるため、ユーザーは異常に気づきにくい。
- 実際のリダイレクト先URLではこの部分がパーセントエンコードされ(
%F0%9D%90%A2...%F0%9D%90%A5)、サーバー側で受信される。解析ツールの中にはデコード前後で異なるURLと認識するものがある。
根拠 6:メール本文末尾の不自然な文字列
観測事実(確認済み)
メール本文コピーライト部分に「2026 ゲへドぞヒゾ 株式会社」という文字列が含まれており、正規企業名として認識できない不自然な表記が記載されている。
示唆:フィッシングメールのテンプレート生成において文字コード変換や自動生成に問題が生じた結果、企業名が正しく出力されなかった可能性がある。この種の文字化けは攻撃者が日本語環境を正確にコントロールできていないことを示唆する場合がある。
→ 正規企業からの公式メールには存在しない不整合。フィッシングを示す補助指標。
根拠 7:X-Mailer がiPhone Mail と表示
観測事実(確認済み)
メールヘッダーの
X-Mailer: iPhone Mail (21G81) は、iOSのメールアプリを示す値である。示唆:大量配信フィッシングキャンペーンは通常、専用の配信サーバーや自動化ツールを用いる。iPhoneのメールクライアントのヘッダーが付与されているのは、手動でのテスト送信、あるいはX-Mailerヘッダーを意図的に偽装してメールフィルターを欺こうとしている可能性がある。X-Mailerヘッダーは任意の値に偽装可能であるため、断定はできない。
→ 補助的な観察として記録。他の根拠と組み合わせてフィッシングの実態を示す。
📨 メール本文(全文)
以下はフィッシングメールの本文全文です。このメールのリンクには絶対にアクセスしないでください。
件名: ヨドバシドットコム:「お客様情報」変更依頼受付のご連絡
差出人: ヨドバシ・ドッ ト・コム <no-reply-7eHx[@]vinx[.]co[.]jp>
差出人: ヨドバシ・ドッ ト・コム <no-reply-7eHx[@]vinx[.]co[.]jp>
—
ヨドバシドットコムご利用確認のお願い
平素より当サービスをご利用いただき、誠にありがとうございます。
2026/4/13 時点で、お客様のアカウントに不審なアクセスが確認されました。
セキュリティ保護のため、下記リンクよりログインし、情報をご確認ください。
[ アカウントを確認 ]
(リンク先: hxxps://yodobashi[.]mhgjk[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥)
72時間以内にご対応いただけない場合、アカウントが一時保留となる場合がございます。
ご不明な点がございましたら、下記カスタマーサポートまでご連絡ください。
メール: [受信者][@]yodobashi[.]com
本メールは送信専用です。ご返信いただいても対応できかねます。
・ 2026 ゲへドぞヒゾ 株式会社
⚠ 手口の解説
本文は「不審なアクセスが確認された」という緊急性を演出し、「72時間以内に対応しないとアカウント保留」という期限圧力で行動を急かせる典型的なフィッシング手法です。また、本文中のサポートメールアドレスに
本文は「不審なアクセスが確認された」という緊急性を演出し、「72時間以内に対応しないとアカウント保留」という期限圧力で行動を急かせる典型的なフィッシング手法です。また、本文中のサポートメールアドレスに
[@]yodobashi[.]com を含めることで受信者に「ヨドバシからのメールだ」と思わせますが、これはメール本文に書かれた文字列に過ぎず、実際の差出人ドメインとは無関係です。
🛡 誘導先サイト分析
| 誘導先URL(表示) | hxxps://yodobashi[.]mhgjk[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
|---|---|
| リダイレクト後URL | hxxps://yodobashi[.]mhgjk[.]com/%F0%9D%90%A2%F0%9D%90%A7%F0%9D%90%9D%F0%9D%90%9E%F0%9D%90%B1.%F0%9D%90%A1%F0%9D%90%AD%F0%9D%90%A6%F0%9D%90%A5/ |
| リダイレクト数 | 2ホップ |
| 稼働状態 | 稼働中(調査時点) |
| Webサーバー | nginx/1[.]28[.]2 |
| レスポンスサイズ | 1,638 bytes(最小限の構成) |
誘導先はリダイレクトを2段階挟んでおり、セキュリティツールによる追跡を困難にしている可能性がある 可能性。ページソースが1,638バイトと非常に小さいことから、JavaScript等による動的リダイレクト、あるいはアクセス元フィルタリング(TDS:Traffic Direction System)が組み込まれている可能性がある 可能性。日本国外からのアクセスや特定のUser-Agentからはフィッシングページが表示されない設計になっている場合があり、調査時に誘導先の内容を完全に取得できないこともある。
📋 対処方法
- リンクを絶対にクリックしない:メール内の「アカウントを確認」ボタンや、
mhgjk[.]comドメインを含むリンクはすべてフィッシングサイトへの誘導です。 - URLのドメイン部分を確認する習慣をつける:「yodobashi」という文字がURLのどこかに含まれていても安全ではありません。
yodobashi[.]comがドメイン本体(ラストの . から逆算してTLD+1)であることが必須条件です。サブドメインに本物の名前を付けた偽ドメインには注意が必要です。 - 公式サイトへはブックマーク・検索から直接アクセス:ヨドバシドットコムへのアクセスは、メールのリンクからではなくブラウザのブックマークや検索エンジンからたどってください。
- すでにクリックした・ログイン情報を入力した場合:直ちにヨドバシドットコムの公式サイトからパスワードを変更してください。同じパスワードを他サービスでも使用していた場合は、それらすべてのパスワードも変更してください。クレジットカード情報を入力した場合は、カード会社に連絡し不正利用の確認および一時停止を依頼してください。
- フィッシングを報告する:受け取ったフィッシングメールは、迷惑メール対策機関(一般財団法人日本データ通信協会の迷惑メール相談センターなど)へ転送・報告できます。
🗂 IOC一覧(Indicator of Compromise)
| 種別 | IOC値 | 備考 |
|---|---|---|
| EMLハッシュ (SHA256) | 17f2d0e16641a42a14c13868ef973dbd5764db5c2bc7611a990f6c7a374c4849 |
フィッシングメール本体 |
| 送信元IPアドレス | 79[.]254[.]16[.]34 |
メール送信元IP(SPF softfail) |
| 送信元ドメイン | vinx[.]co[.]jp |
Return-Path・From ドメイン |
| 差出人アドレス | no-reply-7eHx[@]vinx[.]co[.]jp |
フィッシングメール差出人 |
| フィッシングURL(表示) | hxxps://yodobashi[.]mhgjk[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
数学用Unicode文字でindex[.]htmlを偽装 |
| フィッシングURL(実際) | hxxps://yodobashi[.]mhgjk[.]com/%F0%9D%90%A2%F0%9D%90%A7%F0%9D%90%9D%F0%9D%90%9E%F0%9D%90%B1.%F0%9D%90%A1%F0%9D%90%AD%F0%9D%90%A6%F0%9D%90%A5/ |
URLエンコード後の実際のアクセス先 |
| フィッシングドメイン | mhgjk[.]com |
誘導先サイトの実際の登録ドメイン |
| フィッシングホスト | yodobashi[.]mhgjk[.]com |
ヨドバシをサブドメインに偽装 |
| Webサーバー | nginx/1[.]28[.]2 | フィッシングサーバーのソフトウェア |
| PhishTank登録状況 | hxxps://yodobashi[.]mhgjk[.]com/𝐢𝐧𝐝𝐞𝐱.𝐡𝐭𝐦𝐥 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。 |
* IOC値はDefang(難読化)形式で記載しています。ツールへ入力する際は [.] を . に、hxxps:// を hxxps:// に、[@] を @ に戻してください。
調査日時:2026年4月13日 / 本記事はフィッシング詐欺の注意喚起および攻撃インフラの公開を目的として作成されています。
関連記事
【フィッシング注意喚起】「A m a z о n配達予定のご案内」を…
NEW 【最終警告】認証再設定未完了による取引制限予定のご案内|マネックス証…
NEW 「返金手続きのご確認のお願い」Amazon詐称フィッシングメール解析…
NEW 【注意喚起】auじぶん銀行を装ったフィッシングメール「【auじぶん銀…
NEW 【フィッシング注意喚起】楽天証券を騙る「春の特別プレゼントキャンペー…
NEW 【重要】【松井証券】口座情報の更新のお願い ― 松井証券をかたるフィ…
NEW 【安心サポート】お客様のアカウント確認について No[.]18530…
NEW 【要対応】多要素認証の登録期限が迫っています|4月7日までNo[.]…
NEW 「配送手続き完了のお知らせ」を装ったAmazonフィッシングメールを…
NEW 【注意喚起】SBI証券をかたる「損失補償手続き」フィッシングメール|…
NEW 【ログイン時の安全性向上】大和証券からのセキュリティ設定のご案内—大…
NEW 【緊急】未払い料金のご確認とお支払いのお願い 番号:71452319…
NEW 【緊急】カードお買い物確認のお知らせ ─ イオンカードを騙るフィッシ…
NEW 【注意喚起】楽天をかたるフィッシングメール確認 ─「登録情報の変更処…
NEW 【注意喚起】アメリカン・エキスプレスをかたるフィッシングメール「【ア…
NEW 【注意喚起】「【SAISON】Netアンサー最終ログインから3ヶ月以…
カテゴリ:フィッシング
タグ:ECサイト,SPF,なりすまし,フィッシング,ヨドバシドットコム
【最終警告】認証再設定未完了による取引制限予定のご案内|マネックス証券を騙るフィッシングメール(2026年4月)