[三菱UFJ銀行] お客様の口座は悪用された可能性があります

件名: [三菱UFJ銀行] お客様の口座は悪用された可能性があります

---

送信元 : mail@cr.mufg.jp

---

---

Cc :

---

Bcc :

---

添付 :

---

日付 : 2021/8/10 14:45:55

---

[三菱UFJ銀行]お客様の口座は悪用された可能性があります。速やかに安全認証を実施ください。認証はこちらwww.bk-mufg-jp.net

「www.bk-mufg-jp.net」！？ “ドット”を“ハイフン”にすり替えた、視力検査のような三菱UFJ銀行詐欺

【みぬ犬の独自分析メモ】

今回の手口は、「口座は悪用された可能性があります」「安全認証を実施ください」と短文で畳み掛ける、**「不安喚起型（アカウント停止・セキュリティ警告型）」**のフィッシング詐欺です。

このメールの最大の罠は、リンク先URLの偽装です。

リンクが「www.bk-mufg-jp.net」となっています。

本物の三菱UFJ銀行のインターネットバンキング（三菱UFJダイレクト）のドメインは「bk.mufg.jp」です。

犯人は、「.（ドット）」を「-（ハイフン）」にすり替え、さらに末尾を .net にすることで、パッと見で本物と誤認させようとしています。

また、送信元が「mail@cr.mufg.jp」となっています。これは三菱UFJニコス（クレジットカード部門）などが使用する**正規のドメインに偽装（スプーフィング）**されています。

「送信元は本物（に見える）」＋「URLも本物っぽい（ハイフン偽装）」という、シンプルながら引っかかりやすい危険な手口です。

【ひと目でわかるサマリーBOX】

| 項目 | 内容 | |

| :— | :— | |

| 危険度 | ★★★★★（非常に危険）※URL偽装が巧妙 |

| 【手口】カテゴリー | 不安喚起型（アカウント停止型）

リンク偽装型（ハイフン偽装）

送信元偽装型 |

| 【なりすまし先】 | 銀行系 (三菱UFJ銀行) |

| 見抜くポイント | ①URLの区切りが「ドット」ではなく「ハイフン」（bk-mufg-jp）

②ドメイン末尾が .net（公式は .jp）

③メールの日付が「2021年」（約4年前） |

| 主なターゲット | 三菱UFJ銀行利用者 |

【フィッシー団長の悪巧み】

フッフッフ…団長のフィッシーだ。今回はシンプル・イズ・ベストだ！

ゴチャゴチャ言わずに「悪用された！」とだけ伝えれば、ヤツらは慌てふためく！

そしてURLだ。「bk.mufg.jp」のドットを、横棒（ハイフン）に変えて「bk-mufg-jp」にしたのさ！

スマホの小さな画面じゃ、ドットもハイフンも見分けがつかん！

送信元も本物っぽく偽装済みだ。ヤツらは疑いもせず『認証はこちら』を押すのよ！ガッハッハ！

【探偵たちの捜査会議】

🐰ペコン：

「うわあああ！先輩！三菱UFJ銀行から『口座は悪用された可能性があります』って！

えええ！？ 悪用！？ お金盗まれちゃったんですか！？

『速やかに安全認証を実施ください』って書いてあります！

URLも www.bk-mufg-jp… だから、三菱UFJの『ダイレクト（bk）』ですよね！

早く認証しないと！」

🐱カワミ：

「ペコン君、虫眼鏡を持ってくるニャ！ それは視力検査レベルのワナだニャ！

証拠①：ドットとハイフンのすり替え

URLをよーく見るニャ！ 本物は bk.mufg.jp （ドット区切り）だニャ。

でもこれは bk-mufg-jp （ハイフンつなぎ）になってるニャ！

さらに最後が .net だニャ。日本のメガバンクが .net なんて使うわけないニャン！

証拠②：短すぎる本文

銀行が『悪用された』なんて重大な連絡をするのに、宛名も署名もない、こんなSMSみたいな短文で送ってくるわけがないニャ！

証拠③：送信元偽装

送信元は本物に見えるけど、銀行（Bank）の連絡なのに、クレジット部門（cr.mufg.jp）のアドレスを装ってるのも違和感があるニャ！」

🐶みぬ犬：

「その通りだ！完璧な推理だ、カワミ君！

犯人はな、**“送信元偽装”と“URLのハイフン化”で、我々の目を欺こうとしている！

だが、「.net」という尻尾と、「短すぎる本文」**で正体がバレバレだ！

鉄則を忘れるな！

『URLの“ドット”が“ハイフン”になっていたら、100%詐欺！』

『銀行のURLが“.net”や“.com”で終わっていたら、即ゴミ箱行きだ！（通常は.jp）』

こんな小賢しいメール、自信を持ってゴミ箱にシュートだぜ！」

【みぬ犬の総括】

今回の犯人は、URLの「見た目」を本物に近づけることに全力を注いでいる。

bk-mufg-jp.net は、知識がない人が見れば「あ、mufgって書いてあるから本物だ」と誤認してしまう典型的なフィッシングドメインだ。

しかし、ドメインの構造（ドットで区切られるルール）を知っていれば、ハイフンで繋がれたURLは全くの別物であることがわかる。

【この事件から学べる防衛術】

教訓：「悪用された」と焦らせ、似たようなURLで騙そうとします。

今すぐできる対策：

✅ URLの「記号」を確認する：

本物のドメインは単語が「.（ドット）」で区切られます。amazon-co-jp や mufg-jp のように「-（ハイフン）」で繋がれている場合は、偽サイトです。

✅ ドメインの「末尾」を見る：

日本の銀行の多くは co.jp や jp を使用します。.net .org .top などが使われていたら、詐欺を疑ってください。

✅ ショートメール（SMS）風のメールに注意：

件名や本文が極端に短く、すぐにリンクを踏ませようとするメールは、フィッシング詐欺の常套手段です。

✅ 不安でも「公式アプリ」か「安全なブックマーク」から確認：

「悪用？」と不安になっても、絶対にメール内のリンクはクリックしてはいけません。必ず、三菱UFJ銀行の公式アプリや、**自分で安全なサイトを登録した「ブックマーク」**からログインし、お知らせを確認してください。