tr.affiliate-sp.docomo.ne.jp

詐欺メールの内容

タイトル：【設定必須】デバイス認証・FIDO認証のご案内（期限：5/31）

メール内容（本文）：

【重要】2025年5月31日より認証方式が義務化されます

平素よりSBI証券をご利用いただき誠にありがとうございます。

当社ではお客様の資産と取引の安全性を確保するため、2025年5月31日（土）以降、ログイン時の多要素認証（デバイス認証・FIDO認証）を義務化いたします。

現在のご利用環境に関係なく、すべてのお客様に設定をお願いしております。

早期にご対応いただくことで、切替時の混乱を避け、スムーズにサービスをご利用いただけます。

※ 期限を過ぎた場合、ログイン・出金・注文など一部機能がご利用いただけなくなる可能性がございます。

特にスマートフォンからのご利用や、平日・営業時間中のお取引を予定されているお客様は、

余裕をもって事前にご対応くださいますようお願い申し上げます。

________________________________

■ 設定期限

2025年5月31日（土） 23:59まで

■ 設定はこちら

メールアドレス登録および認証方式設定ページへ進む <https://snytfykgb0hg-pages-dev.translate.goog/site4.sbisec.co.jp.html?_x_tr_sch=&_x_tr_sl=monex&_x_tr_tl=ja>

________________________________

本通知はSBI証券のシステムより自動送信されています。

ご不明な点は、当社サポート窓口またはヘルプページをご確認ください。

発行元：SBI証券株式会社

〒106-6019 東京都港区六本木1-6-1 泉ガーデンタワー

Copyright © SBI SECURITIES Co., Ltd. All Rights Reserved.

このメールは、詐欺メール（フィッシングメール）です。

個人情報などを入力しない様に気をつけてください！

【警告】金融機関を装った巧妙な認証フィッシングメールの見分け方

昨今、金融機関を装った迷惑メールが増加しており、その手口も年々巧妙化しています。

今回は実際に確認された「SBI証券」を装った認証フィッシングメールを例に、こうした危険なメールの見分け方と対処法についてご紹介します。

最新の迷惑メール事例分析

今回確認されたのは「【設定必須】デバイス認証・FIDO認証のご案内（期限：5/31）」という件名のメールです。

一見すると正規の通知メールのように見えますが、実は個人情報を窃取しようとする悪質なフィッシングメールでした。

このメールの怪しい点

1. 送信元アドレスの不審点

このメールは「SBI証券認証」という名前で送られてきていますが、実際のメールアドレスは以下のようになっています。

Sbi.xx.-maocha@kita9.ed.jp

ここで注目すべきは、ドメイン部分（@以降）です。正規のSBI証券のメールであれば、企業ドメイン（sbisec.co.jpなど）が使用されるはずですが、このメールでは「kita9.ed.jp」という教育機関のドメインが使われています。

これだけでも偽物だと判断できます。

2. メール本文の特徴

メール本文の内容を見ると：

期限を設けて焦らせる手法を使用（「2025年5月31日 23:59まで」という期限を強調）
「セキュリティ強化のため」という文言で信頼感を演出
「全てのお客様に必ずご対応いただくことで、不正利用を未然に防ぎます」という文で危機感を煽る
「スマートフォンからのご対応も可能」と便宜性を強調し、スマホでのクリックを誘導（スマホの方が詳細を確認しにくい）

3. リンク先URLの不審点

メール内に含まれるリンクのURLを確認すると：

https://snytfykgb0hg-pages-dev.translate.goog/site4.sbisec.co.jp.html?_x_tr_sch=&_x_tr_sl=monex&_x_tr_tl=ja

このURLには複数の不審点があります：

ランダムな文字列（snytfykgb0hg）を含む
「translate.goog」というドメインを使用し、翻訳サービスを悪用
「site4.sbisec.co.jp.html」という部分は、実際のSBI証券のドメインに見せかけていますが、実はURLのパス部分でしかない
URLの後半に不審なパラメータが複数含まれている

4. メールヘッダーの技術的な問題

メールのヘッダー情報を見ると、「spf=softfail」というSPF（Sender Policy Framework）の認証失敗を示す情報があります。

これは送信元サーバーが正規の送信者を名乗る権限がないことを意味します。

迷惑メールの一般的な見分け方

上記の例から学べる、迷惑メール・フィッシングメールの一般的な見分け方をご紹介します。

1. 送信元アドレスを必ず確認する

メールの送信者名だけでなく、実際のメールアドレス（特に@以降のドメイン部分）を必ず確認しましょう。

チェックポイント：

企業からのメールなら、その企業の正規ドメインが使われているか
ドメインが微妙に異なっていないか（例：sbisec.co.jp → sbisec-co.jp）
フリーメールアドレス（gmail.comやyahoo.co.jpなど）が使われていないか

2. 焦らせる・急かす表現に注意する

「期限」「緊急」「すぐに対応」「アカウント停止」などの言葉が多用されていないか確認しましょう。

こうした表現は、利用者が冷静な判断をできないよう意図的に焦らせる手法です。

3. リンク先URLを慎重に確認

メール内のリンクをクリックする前に、そのURLを確認する習慣をつけましょう。

確認方法：

PCの場合：リンクにマウスを重ねると（クリックはせず）、ブラウザ下部や吹き出しにURLが表示される
スマホの場合：リンクを長押しすると、URLが確認できる場合が多い

不審なURLの特徴：

本来のドメインとは異なるドメインが使われている
URLに不自然な文字列が含まれている
「translate」「redirect」などの文字が含まれる
「.html」がドメインの後に付いている（例：company.co.jp.html）

4. 個人情報の入力を求めるメールは疑う

金融機関や公的機関が、メール本文中のリンクから直接個人情報やパスワードの入力を求めることはほとんどありません。

このような要求があったら、まず疑いましょう。

5. 文面の不自然さに注目

2025年現在、生成AI技術の発達により自然な日本語の文章も生成できるようになっていますが、それでも不自然な表現や、過度に丁寧すぎる言い回し、逆に乱雑な文章構成などは警戒サインです。

迷惑メールを受け取った場合の対処法

即時対応

リンクをクリックしない・添付ファイルを開かない
不審なメールのリンクや添付ファイルには絶対に触れないでください。
迷惑メールとして報告する
メールサービスの「迷惑メールとして報告」機能を使用しましょう。
メールを削除する
不審なメールはできるだけ早く削除しましょう。

万が一クリックしてしまった場合

個人情報を入力していなければ
リンクをすぐに閉じ、デバイスのセキュリティスキャンを実行しましょう。
個人情報を入力してしまった場合
- 該当サービスのパスワードをすぐに変更（別デバイスから）
- 類似パスワードを使用している他のサービスのパスワードも変更
- クレジットカード情報を入力した場合は、カード会社に連絡して対応を仰ぐ
- 金融機関のサポートセンターに連絡し、状況を説明する