三井住友カードから「請求額のお知らせ」メールが来ました。
その中でリンク表示とリンク先が違っていたので、フィッシングメールかと思い調べてみました。
表記は
https://www5.smbc-card.com/member/login.jsp
実際のリンク先
https://click.contact.vpass.ne.jp/?qs=f24f49824d1533e2e12c2785f0fab5f9f57321d52ab1e1fb9cd3c4b1118f60e6337e18ca8603e314634a251ccab2ec7044b3ac7084bffcf0a97b70281a1eb39a
AIに確認しました。
その回答は以下の通りです。
はい、そのメールはフィッシング詐欺(スパムメール)である可能性が非常に高いです。すぐに削除することをお勧めします。
表示されているURLと実際のリンク先が異なるのは、受信者を騙して偽サイトに誘導するための典型的な手口です。
なぜ危険なのか
フィッシング詐欺師は、メールの見た目を本物の企業(この場合は三井住友カード)からのメールにそっくりに作ります。そして、表示されるテキストには本物の公式サイトのURLを記載して受信者を安心させようとします。
しかし、実際にクリックすると、見た目とは全く違う、詐欺師が用意した偽のウェブサイトに飛ばされてしまいます。
- 表示されたURL:
https://www5.smbc-card.com/member/login.jsp
これは三井住友カードの本物の公式サイトのURLです。これを見せることで、あなたを信用させようとしています。 - 実際のリンク先:
https://click.contact.vpass.ne.jp/?...
このURLは一見すると本物に関連しているように見えるかもしれませんが、詐欺師が用意した偽サイトの可能性があります。このようなリンクをクリックすると、ID、パスワード、クレジットカード情報などが盗まれる危険性があります。
補足: vpass.ne.jp は三井住友カードの公式ドメインですが、詐欺師は vpass.ne-jp.com のように、紛らわしいドメインを使うことがあります。また、公式のドメイン(この場合はclick.contact.vpass.ne.jp)が何らかの形で悪用される可能性もゼロではありません。
今後の対策
⚠️ メール内のリンクは絶対にクリックしないでください。
金融機関やクレジットカード会社からの重要な案内に心当たりがある場合でも、メールのリンクからアクセスするのは避けるべきです。
安全のために、以下の方法で確認してください。
- ブックマーク(お気に入り)からアクセスする。
- 検索エンジンで公式サイトを検索してアクセスする。
- 公式のスマートフォンアプリを利用する。
このように、常に自分自身で公式サイトにアクセスする習慣をつけることが、フィッシング詐欺から身を守る最も確実な方法です。
しかし外見上は本物のようなので、SPF、DKIM、DMARCのチェック
以下は、AIの回答です。
はい、提示されたメールヘッダーの認証結果は以下の通りです。
結論から言うと、このメールはSPF、DKIM、DMARCのすべての認証に合格しており、技術的には正規の送信元から送られた本物のメールである可能性が極めて高いです。
SPF (Sender Policy Framework) の結果: ✅ 合格 (pass)
SPFは、メールが正規のサーバーから送られたかを確認する「送信元IPアドレスの認証」です。
spf=pass ... designates 13.111.14.81 as permitted sender
これは、「contact.vpass.ne.jpというドメインからメールを送ることを許可されたIPアドレスリストに、実際の送信元IPアドレス13.111.14.81が含まれていた」ことを意味します。つまり、なりすましではない、正規のサーバーから送信されています。
DKIM (DomainKeys Identified Mail) の結果: ✅ 合格 (pass)
DKIMは、メールの内容が途中で改ざんされていないかを検証する「電子署名」です。
dkim=pass header.d=contact.vpass.ne.jpdkim=pass header.d=s7.y.mc.salesforce.com
このメールには2つの有効な電子署名が付与されていました。
contact.vpass.ne.jp(Vpass) の署名salesforce.com(セールスフォース) の署名
これは、Vpass(三井住友カード)が、メール配信サービスとしてセールスフォース社のシステムを利用してこのメールを送信したことを示しています。どちらの署名も有効であり、メールの内容が送信されてから改ざんされていないことが証明されています。
DMARC (Domain-based Message Authentication, Reporting, and Conformance) の結果: ✅ 合格 (pass)
DMARCは、SPFとDKIMの両方の結果を利用して、総合的にメールの正当性を判断し、もし認証に失敗した場合の取り扱い(迷惑メールにするか、拒否するかなど)を送信者が指定する仕組みです。
dmarc=pass (policy=reject) header.from=contact.vpass.ne.jp
DMARC認証にも合格しています。特筆すべきは(policy=reject)の部分です。これは、送信元であるVpass側が「もしSPFかDKIMの認証に失敗したメールがあれば、受信サーバーはそれを完全に拒否(reject)してください」という非常に厳しいポリシーを設定していることを意味します。
この厳しいポリシーの下で認証に合格(pass)しているため、このメールが正規のものであるという信頼性は非常に高いと言えます。
総合評価
提供されたヘッダー情報に基づくと、このメールは Vpass (三井住友カード) がセールスフォースの配信システムを使って送信した正規のメールです。すべての技術的な認証に最高の状態で合格しているため、一般的ななりすましメールやフィッシング詐欺とは考えにくいです。
結論
今回は本物でしたが、調べるのも面倒なので、以下に尽きると思います。
⚠️ メール内のリンクは絶対にクリックしないでください。
金融機関やクレジットカード会社からの重要な案内に心当たりがある場合でも、メールのリンクからアクセスするのは避けるべきです。
安全のために、以下の方法で確認してください。
ブックマーク(お気に入り)からアクセスする。
検索エンジンで公式サイトを検索してアクセスする。
公式のスマートフォンアプリを利用する。