どこにでもいるような普通の一般人が、たまに自分用メモを書いてる。

イオンカードを詐称するフィッシング詐欺

日付:
タグ:

Received: from mail.JUzW.com (syn-047-045-204-248.res.spectrum.com. [47.45.204.248])
From: "イオンカード"
Subject: イオンカードご利用確認のご案内(要対応)

【重要】ご利用代金確認のお願い

AEONカード会員 様

平素よりAEONカードをご利用いただき、誠にありがとうございます。

現在、ご利用代金の確認が必要となっております。

お支払いを確実に行っていただくため、
48時間以内に認証手続きの完了をお願いいたします。

※本手続きはセキュリティ強化のため実施しております。
※手続きが完了しない場合、カードのご利用が制限される場合がございます。
※心当たりのない場合は直ちにカスタマーサービスへご連絡ください。

認証手続きを行う(安全なページへ移動) (https://a1b2c3.d5wjj2x.sbs/d4e5f6)

■お問い合わせ先

心当たりのないご利用やご不明点がある場合:

AEONカード カスタマーサービスセンター
0120-00-1122
(9:00~21:00 / 年中無休)

※通話料無料(一部IP電話等からはご利用できません)

■重要なお知らせ■
・当社はメールにてパスワードやクレジットカード番号の入力を求めることはありません
・不審なメールやURLにはアクセスしないようご注意ください

※本メールは送信専用アドレスから配信されています。
※既に手続きを完了された場合は、本メールを破棄していただいて結構です。

発行元:イオン金融株式会社
〒261-0021 千葉市美浜区ひび野2-3

© AEON FINANCIAL SERVICE CO., LTD. All Rights Reserved.
  • フィッシングサイト: *.d5wjj2x.sbs
  • フィッシングサイト: seqatfb.sbs
  • 送信元: Charter Communications

最近の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

今回の定番からの逸脱:

  • サブドメインは数字列ではなく、32文字の[0-9a-f]。パスはサブドメインと同一
  • タイムゾーンが +0900

Apple を詐称するフィッシング詐欺

日付:
タグ:

Received: from icmsa400501.i.softbank.jp (imsa4005.mailsv.softbank.jp. [101.110.9.81])
From: apple-id <yukashi-f122@i.softbank.jp>
Subject: 【重要】Apple IDの再認証が必要です

Appleユーザ様

現在、Appleではシステムの大規模なアップグレードを実施しております。

このアップグレードに伴い、すべてのお客様に対してApple IDアカウントの再認証が必要となっております。
一定期間内に認証が完了しない場合、セキュリティ保護の観点からApple IDのご利用を一時停止させていただく場合がございます。

▼ 再認証手続きはこちらから:
https://glohme.com/apple-verifications

【再認証期限】2025年7月3日(金)23:59 JST  
【対象サービス】iCloud、App Store、iMessage、Apple Music 他すべてのAppleサービス

安全なサービス提供のための措置となります。お手数をおかけいたしますが、速やかにご対応いただきますようお願い申し上げます。

ご不明な点がございましたら、Appleサポートまでお問い合わせください。

Appleサポート  
https://support.apple.com/ja-jp

© 2025 Apple Inc. All rights reserved.
  • フィッシングサイト: glohme.com

2通目。

Received: from icmsa300401.i.softbank.jp (imsa3004.mailsv.softbank.jp. [101.110.8.80])
From: apple-id <misa0812nari.lovewith-r-m-yuki@i.softbank.jp>
Subject: 【重要】Apple IDの再認証が必要です

Appleユーザ様

現在、Appleではシステムの大規模なアップグレードを実施しております。

このアップグレードに伴い、すべてのお客様に対してApple IDアカウントの再認証が必要となっております。
一定期間内に認証が完了しない場合、セキュリティ保護の観点からApple IDのご利用を一時停止させていただく場合がございます。

▼ 再認証手続きはこちらから:
https://a2filmpro.com/apple-verifications

【再認証期限】2025年7月3日(金)23:59 JST  
【対象サービス】iCloud、App Store、iMessage、Apple Music 他すべてのAppleサービス

安全なサービス提供のための措置となります。お手数をおかけいたしますが、速やかにご対応いただきますようお願い申し上げます。

ご不明な点がございましたら、Appleサポートまでお問い合わせください。

Appleサポート  
https://support.apple.com/ja-jp

© 2025 Apple Inc. All rights reserved.

フィッシングサイト: a2filmpro.com

SBI証券を詐称するフィッシング詐欺

日付:
タグ:

こいつは1時間以上にわたり各種取り混ぜたフィッシング詐欺メイルを送ってきた。計46通。

Received: from CP4P284CU005.outbound.protection.outlook.com (mail-brazilsouthazolkn190110001.outbound.protection.outlook.com. [2a01:111:f403:d112::1])
From: Hagebusch Dax <kcrvrlphoz352@outlook.com>
Subject: 「SBI Holdings」 アカウントなお知らせ ( メール番号:EBAGE-116.109.221.45)

重要なお知らせ:SBI 証券オンラインサービスの利用規約変更
お客様へ、

日頃より、SBI証券をご利用いただき、誠にありがとうございます。

2025年3月1日より改定された「SBI 証券取引約款」に伴い、オンラインサービスのご利用条件が変更されました。これにより、2025年7月25日以降、オンラインサービスにログインする際に、(サイトご利用にあたってのご留意事項)の確認画面が表示されることになります。

ご利用に影響がありますので、下記リンクより内容をご確認いただき、ご同意いただきますようお願い申し上げます。

セキュリティ強化のため、二要素認証の設定を強く推奨いたします。

確認画面について

    ご確認期限:2025年7月25日まで
    手続き内容:サイト利用規約の確認と同意
    確認コード:https://w.sbisec.co.jp/web/ support/

アカウントの確認を行うため、以下のリンクをクリックして確認ページにお進みください:

確認ページに進む (https://abc123-uiwde-xyz.translate.goog/?_x_tr_sl=auto&_x_tr_tl=ig&_x_tr_hl=tr

⚠ご注意
「今は同意しない」を選択された場合、3回後に再度確認画面が表示されます。必ず期限内にご確認ください。

ヴァリエーション豊富だが数が多すぎるので2通目以降のメイルは省略して、フィッシングサイトの記載のみにとどめる。
結局メイル記載 URL のドメイン名は3種、リダイレクト先は同一だった。

  • フィッシングサイト: *.uiwde.xyz
  • フィッシングサイト: *.lisde.xyz
  • フィッシングサイト: *.popmart-shtop.art
  • フィッシングサイト: www-sbigroup-co-jp.ifidelity.xyz
  • 送信元: Outlook

サブドメインは英3~7文字、数2~3文字。ランダムにすることで FQDN 単位でのブロックリスト回避を目論んでいるか、宛先追跡の可能性がある。

JavaScript window.location.href で ifidelity.xyz にリダイレクト。

  • 一部「SBI证券ご利用のお客様へ」と、簡体字が使われている例があった
  • フィッシング詐欺メイルのはずなのに、リンク先が baidu.com の例が複数
  • PayPay を詐称する Subject のものが2件あった (本文は SBI)

SBI証券を詐称するフィッシング詐欺

日付:
タグ:

Received: from icmsa400601.i.softbank.jp (imsa4006.mailsv.softbank.jp. [101.110.9.82])
From: "No.reply" <mari-a_h-0421@i.softbank.jp>
Subject: 【重要】アカウント再認証のお願い(SBI)

━━━━━━━━━━━━━━━━━━━━━━━  
SBI会員サポートセンター  
━━━━━━━━━━━━━━━━━━━━━━━  

平素よりSBIサービスをご利用いただき、誠にありがとうございます。

この度、弊社ではシステムの大規模アップグレードを実施いたしました。
そのため、すべてのお客様に対して再認証手続きをお願いしております。

【再認証が必要な理由】
・セキュリティ強化
・新機能の提供準備
・サービスの安定化

▼下記リンクより、再認証手続きを行ってください:
https://updated.fahrenheitnyc.com/verify

※2025年6月29日までに手続きが完了しない場合、アカウントを一時的に停止させていただく可能性がございます。
※再認証後、サービスを通常通りご利用いただけます。

ご不明な点がございましたら、SBI会員サポートセンターまでお問い合わせください。
  • フィッシングサイト: updated.fahrenheitnyc.com
  • フィッシングサイト: updated.e49pdu.com
  • フィッシングサイト: updated.jessrichmond.com
  • 送信元: ソフトバンク

JavaScript window.location.href でリダイレクト。
フィッシングサイトはどちらも Advin Servers でホストされている。

野村證券を詐称するフィッシング詐欺

日付:
タグ:

Received: from d62yw.com (v160-251-120-55.myvps.jp. [160.251.120.55])
From: "野村證券" <information@d62yw.com>
Subject: 25年6月26日基準 【自動けいぞく投資 収益分配金のご案内】

musashi様

平素は野村證券をご愛顧いただき、誠にありがとうございます。【自動けいぞく投資 収益分配金のご案内】をWeb交付しました。

オンラインサービスにログイン後、「資産状況/履歴」→「取引報告書等Web交付」画面よりご確認ください。
(書面の閲覧には取引パスワードが必要です。)

<ログイン>
https://hometrade-nomura.0gn3ll.top/?rakutns=iWyo64uQBWn7InDm3TLU

ご不明な点がございましたら、誠におそれ入りますが弊社お取引店の総務課長へご連絡ください。
なお、お取引店の連絡先がご不明な場合は、野村證券ホームページにてご確認いただけます。

_________________________

・本メールは、野村證券オンラインサービスにメールアドレスを
ご登録いただいているお客様に送信しております。
送信を中止することはできませんので、
あらかじめご了承ください。

・メールアドレスの変更をご希望のお客様は、
ログインのうえ、「口座情報/手続き>メールアドレス登録/変更」より
お手続きください。

・本メールの送信アドレスは発信専用です。
返信メールでのお問い合わせ等は承りかねますので、
あらかじめご了承願います。
―――――――――――――――――――――――――――――――――――
野村證券株式会社 金融商品取引業者 関東財務局長(金商) 第142号
加入協会/日本証券業協会、一般社団法人日本投資顧問業協会、
一般社団法人金融先物取引業協会、一般社団法人第二種金融商品取引業協会
―――――――――――――――――――――――――――――――――――
COPYRIGHT(C) NOMURA SECURITIES CO., LTD. ALL RIGHTS RESERVED.
  • フィッシングサイト: hometrade-nomura.0gn3ll.top
  • 送信元: GMO

d62yw.com はフィッシング詐欺メイル送信用ドメインと見て差し支えないように思われる。

d62yw.com.              600     IN      TXT     "v=spf1 mx -all"
d62yw.com.              600     IN      MX      600 mail.d62yw.com.
mail.d62yw.com.         600     IN      A       160.251.120.55

全日本空輸 (ANA) を詐称するフィッシング詐欺

日付:
タグ:

Received: from oGtP.com (70.15.134.175.res-cmts.bgr.ptd.net. [70.15.134.175])
From: "ANAマイレージクラブ事務局"
Subject: 【ANAマイレージクラブ】お客様情報に関するご確認のお願い

【ご対応のお願い】未加算マイル:8,505マイル

会員情報と予約内容の相違により、マイル加算が正常に行われませんでした。

24時間以内に以下より情報修正をお願いいたします。

会員情報を確認?修正する (https://0123.flhhj3d.sbs/1234)

期限内にご対応いただけない場合、マイル加算は無効となります。

※本メールは自動配信です。返信には対応しておりません。
※心当たりのない場合は、お手数ですがカスタマーセンターまでご連絡ください。
? 2023 マイルプログラム All Rights Reserved.
  • フィッシングサイト: *.flhhj3d.sbs
  • フィッシングサイト: 7v4nitn.sbs
  • 送信元: PenTeleData

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

JAネットバンクを詐称するフィッシング詐欺

日付:
タグ:

Received: from mail-sor-f65.google.com (mail-sor-f65.google.com. [209.85.220.65])
From: "自動メール通知" <noreply125@landmiyp.com>
Subject: 【重要】お客さま情報ご確認のお願い(2025年6月27日締切)

平素よりJAネットバンクをご利用いただき、誠にありがとうございます。

昨今、SNSや不審なウェブサイトを経由した口座の不正利用・なりすまし等が全国で発生しており、金融機関におけるご本人確認の強化が求められております。

つきましては、当行では、お客さまのご登録情報に関する確認をお願いしております。お手数ではございますが、下記ページよりご対応くださいますようお願い申し上げます。

――――――――――――――――
■ 確認期限:2025年6月27日 
■ ご確認ページ:https://jaebankeruguson.com
――――――――――――――――

ご対応が完了しますと、通常通りインターネットバンキングをご利用いただけます。

※お客様の状況により、すでに一部機能に制限がかかっている場合がございます。その際は別途画面にご案内が表示されますので、併せてご確認をお願いいたします。

【お問い合わせ】 
JAネットバンクカスタマーセンター 
0120-058-098

※本メールは送信専用です。ご返信には対応いたしかねますので、あらかじめご了承ください。

今後ともJAネットバンクをよろしくお願い申し上げます。
  • フィッシングサイト: jaebankeruguson.com
  • フィッシングサイト: jaebansk.whsteelpipe.com
  • 送信元: Google Workspace
  • 送信元: Comcast

jaebankeruguson.com から http-equiv=“refresh” で jaebansk.whsteelpipe.com にリダイレクトしている。
が、執筆時点で jaebansk.whsteelpipe.com は NXDOMAIN。

From の landmiyp.com は Google Workspace 収容で SPF も通っているが、今月登録されたばかりのドメイン名だし、詐取したクレジットカード情報で Google Workspace を契約といった状況なのかな。

whois:

   Domain Name: LANDMIYP.COM
   Updated Date: 2025-06-17T21:18:45Z
   Creation Date: 2025-06-17T20:54:30Z

SPF:

landmiyp.com.           300     IN      TXT     "v=spf1 include:_spf.google.com -all"

メイルアカウント認証情報を目的とするフィッシング

日付:
タグ:

Received: from mx2.casair.net (mx2.casair.net. [69.36.48.22])
From: BankMobile Disbursements <jimcher@casair.net>
Subject: musashi@araki.jp

musashi@araki.jp

メールアカウント musashi@araki.jp へのアクセスは、2025 年 6 月 25 日水曜日に期限切れになります。

同じパスワードを引き続き使用するには、以下をクリックしてください

https://auth.araki.jp./mail/ (https://authvalidationform.de/techvalidatesystem/?email=musashi@araki.jp)

araki.jp  のサポート

(私のメイルアドレスが記載されているが、当該メイルアドレスへの「特定電子メール」の送信は禁止)

  • 情報詐取サイト: authvalidationform.de

実はこのサイトにまだアクセスできていない。
Cloudflare による実 IP アドレス隠蔽が図られているが、オリジンサーバーが落ちてて Bad gateway エラー画面しか表示されないのだ。

全日本空輸 (ANA) を詐称するフィッシング詐欺

日付:
タグ:

Received: from KjlZ.com (95.sub-97-137-20.myvzw.com. [97.137.20.95])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

ANAマイレージクラブ

会員の皆様へ重要なご案内
未加算マイルのご案内

ご登録のフライトに未加算のマイルが確認されました
マイレージ加算にはお手続きが必要です。下記の未加算マイルを申請ください。

未加算マイル合計
2,580マイル
(3便分の未加算マイル)

申請期限
2025年6月23日(月) 23:59
期限を過ぎますとマイルの加算ができませんのでご注意ください

申請手続きへ進む (https://0123.pyytqqb.sbs/1234)

セキュリティに関するお願い
ANAマイレージクラブをかたる不審なメールや電話にご注意ください。ANAが会員様にパスワードやクレジットカード情報をお聞きすることはありません。心当たりのないメールは開封せず、カスタマーセンターまでご連絡ください。

ANAマイレージクラブ カスタマーセンター
電話: 0570-029-333 (毎日 7:00-21:00)
国際: +81-3-6733-3333
メール: mileage_support@ana.co.jp

Copyright 2025 ANA All Rights Reserved.
全日空株式会社 〒105-7133 東京都港区東新橋1-5-2

全日空株式会社。

  • フィッシングサイト: *.pyytqqb.sbs
  • フィッシングサイト: 8vyubwd.sbs
  • 送信元: Verizon

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

2通目。

Received: from LCM.com (syn-047-038-029-056.res.spectrum.com. [47.38.29.56])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

ANAマイレージクラブ

未加算マイルのご案内

お客様に未加算のマイルがございます。加算には申請が必要です。

未加算マイル合計
1,250マイル
(2便分)

申請期限
2025年6月23日(月) 23:59

申請手続きへ進む (https://0123.g9uul5s.sbs/1234)

ご不明点はカスタマーセンターまでご連絡ください。

ANAマイレージクラブ カスタマーセンター
0570-029-333 (7:00-21:00)
  • フィッシングサイト: *.g9uul5s.sbs
  • フィッシングサイト: 8vyubwd.sbs
  • 送信元: Charter Communications

3通目。

Received: from aRCxe.com (pool-173-66-47-10.washdc.fios.verizon.net. [173.66.47.10])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

ANA マイレージクラブ
会員の皆様へ大切なお知らせ

ANAマイレージクラブ 会員 各位

平素よりANAマイレージクラブをご利用いただき、誠にありがとうございます。

未加算マイルのご案内
お客様に未加算のマイルがございます。加算には申請が必要となりますので、お手続きをお願いいたします。

未加算マイル合計
1,250マイル
(2便分)

申請期限
2025年6月23日(月) 23:59
期限を過ぎますとマイルの加算ができなくなりますのでご注意ください

申請手続きへ進む (https://0123.ojdmcod.sbs/1234)

ご注意事項
    * 本メールは送信専用アドレスから配信しております
    * 申請手続きはマイページにログインの上、手続きをお願いいたします
    * フライト情報に相違がある場合はカスタマーセンターまでご連絡ください 

ANAマイレージクラブ カスタマーセンター
0570-029-333 (ナビダイヤル)
受付時間: 7:00~21:00(年中無休)
2025 ANA All Rights Reserved.
  • フィッシングサイト: *.ojdmcod.sbs
  • フィッシングサイト: 8vyubwd.sbs
  • 送信元: Verizon

メルカリを詐称するフィッシング詐欺

日付:
タグ:

Received: from ircf.com ([216.16.53.6])
From: "メルカリ事務局"
Subject: 【重要】お客様のメルカリアカウントに異常なログインが検出されました

【重要】アカウント保護についてのご案内
安全なご利用のためにご確認ください

いつもご利用いただきありがとうございます。
最近、お客様のアカウントへの異常なアクセスが検知されました。
念のため、以下の手順で設定をご確認ください。

ご確認の手順

セキュリティ状況を確認 (https://0123.vmu87z0.sbs/1234)

公式URL: https://example.com/security-check

アカウントを守るために
    * パスワードの定期的な変更を行ってください
    * 二段階認証の利用をおすすめします
    * 不明なリンク?メールは開かないようにしましょう

※本メールに覚えがない場合は、以下の連絡先までご連絡ください。
セキュリティ窓口:security@example.com
? 2025 サービス運営チーム
  • フィッシングサイト: *.vmu87z0.sbs
  • フィッシングサイト: 25uvcjj.sbs
  • 送信元: Clarity Telecom

今回は定番の特徴に完全に合致。本文はなぜか example.com を記載してたりよくわからん。

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

2通目。

Received: from nUmd.com (ip98-182-69-81.ri.ri.cox.net. [98.182.69.81])
From: "メルカリ事務局" <829371910@mercari-alerts.jp>
Subject: 【重要】お客様のメルカリアカウントに異常なログインが検出されました

?? 不審なログインを検出しました

メルカリをご利用のお客様
平素よりメルカリをご利用いただき、誠にありがとうございます。

お客様のアカウントで、通常とは異なるログインが確認されました。

以下の対応を速やかにご確認ください:
    1. アカウントパスワードの変更
    2. 二段階認証の設定確認
    3. 取引履歴?出品内容の確認

パスワード変更ページへ (https://0123.ixytgr1.sbs/1234)

※このログインに覚えがない場合、第三者による不正アクセスの可能性があります。

本メールはシステムにより自動送信されています。ご返信いただいても対応できません。
? Mercari, Inc. All rights reserved.

今回の From は mercari-alerts.jp。

  • フィッシングサイト: *.ixytgr1.sbs
  • フィッシングサイト: 85zkeux.sbs
  • 送信元: Cox Communications