ニュース脅威インテリジェンス

「Credit Resources Vault」:なぜこのクレジット関連のメールが詐欺の警告を発したのか

ピーター・アルンツ| 2026年4月15日
無制限のクレジット

詐欺師以上に腹立たしいものがあるとすれば、それは法律の網をかいくぐって、詐欺師のような振る舞いをする企業だ。彼らは長年にわたり市場に居座り続け、顧客を失望させ続けている。

また、それが理由で、時々人々はこう考えてしまうのです Malwarebytes Scam Guardがウェブサイトを警告する際、過度に慎重すぎると感じる人がいる理由でもあります。一部のサイトはグレーゾーンに位置しており、経験豊富な研究者でさえ、それが完全な詐欺かどうかを判断するために二度見しなければならないほどです。

まさにそれがここで起きたことです。

ある顧客から匿名の通報を受けた後、Scam Guardが「極めて不審」と判定したメールについて調査を開始しました。

そのメール

そのメールは次のアドレスから届きました anna@cosmosshift[.]org そして、というサービスを紹介しました クレジット・リソース・ヴォルト、受信者に「」と書かれたボタンをクリックするよう促し、 今すぐ対象かどうかを確認してください。.

すぐに気になる点がいくつかあります:

  • 送信元ドメイン(cosmosshift.org)には、クレジットサービスや金融商品との明確な関連性はありません。「コスモス・シフト」という金融機関は存在しません。
  • このメッセージは、融資の承認を急がせるような雰囲気を醸し出しており、これはソーシャルエンジニアリングにおける典型的なプレッシャー戦術です。
  • そこには実在する住所とオプトアウト用のリンクが含まれており、一見すると正当なものに見えますが、これらはフィッシングにおいて「正当性洗浄」と呼ばれる一般的な手口でもあります。

多くのフィッシングメールとは異なり、このメールには受信者のメールアドレスを使った個人向けの挨拶文が含まれています。受信者が送信者とはこれまで一切やり取りをしたことがないとしていることから、その個人情報はデータブローカーや過去のデータ漏洩事件から流出した可能性があると考えられます。

そのウェブサイトは不審な印象を与える

リンクをクリックすると、次のページに移動します(yourcreditvault.com)、クレジットサービスを提供しているように見える、洗練された印象のサイト。

クレジット・リソースのランディングページ
クレジット・リソースのランディングページ

しかし、その裏側を調べてみると、さらに多くの懸念材料が見つかりました:

  • このウェブサイトは、Vite/Reactを使用して構築されました。これは、規制の厳しい金融サービス業界というよりは、スタートアップのサイドプロジェクトでよく見られるような、最新のJavaScriptフレームワークです。
  • 「bolt.new」への言及から、このサイトはAIツールを使って作成された可能性がある
  • 銀行レベルのセキュリティを示す目立った兆候は見られない。HTMLソースには、金融セクターの暗号化インフラを示す兆候のない、基本的なアプリシェルのみが表示されている。
  • ブランディング(ロゴを含む)は、急ごしらえのように見える
  • JavaScriptバンドル(index-B54Ghi53.js) 送信フォームの背後にある処理は高度に難読化されています。これは、送信されたデータがどこに送られているかを隠すためにサイバー犯罪者が用いる手法です。

これら一つひとつだけでは、悪意があったことを証明するものではありません。しかし、これらを総合すると、急ごしらえで構築され、堅実な金融サービスを提供することよりも、データを収集することを主眼に設計されたものだという実態が浮かび上がってきます。

このフォームでデータを収集し、週20ドル

最大の懸念は、単なる基本的な与信審査として提示されているにもかかわらず、膨大な量のデータを収集するそのフォームにある。

申込書
申込書

フォーム送信時のネットワークトラフィックを監視することで、どのフィールドが送信されているかを正確に把握することができました:

  • 個人情報:氏名、メールアドレス、電話番号
  • 住所:通り名、市名、都道府県名、郵便番号
  • 銀行口座の詳細:銀行名、支店番号、振込先番号、口座番号
  • 広告キャンペーンに関連するトラッキングデータ
  • 画面上で描いた署名は、所有者のGoogle ドライブにアップロードされます。

それは、与信審査に必要な情報よりもはるかに多い。

その銀行口座情報だけで、誰かが不正な自動引き落とし(PAD)を設定できてしまいます。PADとは、請求元が正当に利用している銀行口座からの直接引き落としの一種ですが、悪用される可能性もあります。

利用規約
チェックマークを入れたいボックスの拡大スクリーンショット

そして、まさにその通りになっているようだ。

小さなチェックボックスと細かい文字で書かれた説明文により、対象者が署名したばかりのPAD契約に基づき、同社は毎週20ドルを引き落とす権限を得ることになる。このチェックボックスには2つの目的がある。運営側に法的根拠(「あなたは同意したのです!」)を与えること、そして、そのフォームで収集されたばかりの銀行口座情報を武器として利用することである。

経済的に困窮している人々を対象とする

このキャンペーンは、信用履歴が乏しい、あるいは限られている人々を意図的にターゲットにしているようだ。「他社が断っても承認」というキャッチコピーは、特に経済的に苦しい状況にある人々にとって、非常に説得力がある。

これらは無作為に選ばれた被害者ではなく、困窮しているがゆえに、情報の出所を吟味することなく機密情報を渡してしまう可能性が高いという理由で標的にされた人々である。

週20ドルのPAD手数料(年間1,000ドル以上)は、口座の残高不足や手数料の発生、さらにはさらなる経済的損失につながる可能性があります。

データの行き先

当社のネットワークトラフィック分析の結果、個々のコンポーネントはすべて正当なものかもしれないが、それらを組み合わせて構築された、高度で多機能なバックエンドシステムが明らかになった。

Supabase:被害者データはPOSTリクエストを介してSupabaseプロジェクトに送信されます:

POST https://bstvkdzfgpktokbiagsc.supabase.co/rest/v1/vault_memberships

Supabaseは、無料プランも用意されている、信頼性が高く評価の高いクラウドデータベースプラットフォームです。

Brevo(旧Sendinblue):これは正規の一斉メール配信プラットフォームです。ここで被害者を登録させれば、その後も無期限にフォローアップキャンペーンの標的にすることができます。

POST https://bstvkdzfgpktokbiagsc.supabase.co/functions/v1/add-to-brevo

Google ドライブとスプレッドシート: 署名データフィールドには、 signature_drive_url, 被害者の直筆の署名がGoogle Driveのインフラに保存される可能性があることを示唆している。A google_sheets_synced このフィールドにより、送信された被害者記録がライブのGoogleスプレッドシートに反映されることが確認され、オペレーターはフォームを送信した全員の情報をリアルタイムで把握できるダッシュボードを利用できるようになります。

それぞれが信頼できるプラットフォームです。これらが一体となって、以下の目的を果たすシステムを構成しています:

  • 機密性の高い個人情報や銀行情報を収集する
  • 利用しやすい形式で保存してください
  • 進行中のマーケティングキャンペーンやフィッシングキャンペーンにユーザーを追加する

つまり、このフォームを送信すると、銀行口座が危険にさらされるだけでなく、再び標的とされる可能性のある人物のリストに載ってしまう恐れもあります。

インフラストラクチャー

このキャンペーンを支えるインフラは、複数のドメインにまたがっています:

  • cosmosshift[.]org (メールの送信者)
  • yourcreditvault[.]com (ランディングページ)。
  • yourscore[.]ca (フォーム送信後にリダイレクトされます)
  • creditresources[.]ca (電話番号「1-833-427-1562」が記載された追跡メール)
  • debtlesscredit[.]com (その電話番号を使っている別のウェブサイト)

複数のドメインを使用し、1つの電話番号が複数のドメインに関連付けられていることは、その企業の正当性について疑念を抱かせる要因となります。

これって詐欺なんですか?

それは、どう定義するかによります。

これは厳密な法的な意味での詐欺には該当しないかもしれませんが、ここで使われている手口の多くはフィッシングメールや詐欺サイトでも見られるものであるため、Scam Guardがこれを警告対象とした理由は理解できます。

証拠からは、これらのサイトは実在する企業によって運営されているようだが、その立場は明らかにグレーゾーンにある。 一方で、これらのサイトは法人登記や公開ウェブサイトを持ち、一見すると満足している顧客さえいるように見える。他方で、クレジットや債務に関する「プログラム」に対して継続的な利用料を請求するというビジネスモデルは、絶え間ない消費者からの苦情や詐欺の疑いを招いている。また、複数のドメイン(Credit Resources、Debtless Credit、Your Credit Vault)を使用している点も、債務整理業界で一般的な見込み客獲得戦略を示唆している。

また、これらの企業は購入したメーリングリストに依存しており、見込み客リストの中から当社の顧客のメールアドレスを見つけ出した可能性もあります。残念ながら、こうしたリストは、正規のマーケティング業者とサイバー犯罪者の双方によって売買されています。

当メディアは、当該メールの送信者およびCredit Resourcesにコメントを求めたが、本記事の公開時点では回答を得られていない。

サイバー犯罪者はあなたについて何を知っているのか?

Malwarebytes無料デジタルフットプリントスキャン を利用して個人情報がオンライン上で漏洩していないか確認してください

著者について

ピーテル・アルンツ

ピーテル・アルンツ

マルウェアインテリジェンス研究者

コンシューマー・セキュリティ部門で12年連続マイクロソフトMVP。4ヶ国語を操る。リッチなマホガニーと革張りの本の匂い。

最新記事

ニュース
JDownloaderのロゴ

攻撃者は、JDownloaderのインストーラーのダウンロードファイルをマルウェアにすり替えた

5月15, 2026

JDownloaderのウェブサイトがハッキングされ、インストーラーのダウンロードリンクから数日間、マルウェアが配布されていました。

AI
WhatsAppとInstagram

Metaのチャットプライバシーに関する、分かりにくい新たな取り組み

5月15, 2026

WhatsAppは現在、Metaが読み取れないという「消えるAIチャット」機能を提供しています。一方、Instagram 、Metaがメッセージを読み取れないようにしていた機能をInstagram 。

Privacy
Yahoo!メールのロゴ

Malwarebytes 一部のYahoo MailのリダイレクトをMalwarebytes 理由

5月14, 2026

一部のYahoo Mailユーザーは、不審なサードパーティのドメインへのバックグラウンド接続が原因で、Malwarebytes 繰り返し表示される場合があります。その理由をご説明します。

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺