【危険】『JCBポイント 有効期限満了のお知らせ』メール、実例と見分け方
★詐欺メール解体新書★
スマホやタブレットが普及し増々便利になる私たちが生活する世の中。
それに比例して増えてくるのが悪質な詐欺行為。
このブログエントリーは、フィッシング詐欺メールの注意喚起拡散を目的とし
悪意を持ったメールを発見次第できる限り迅速なご紹介を心掛けています。
もし気が付かずに詐欺サイトログインしてしまった場合は、まず落ち着いてできる限り早く
パスワードの変更やクレジットカードの利用停止を行ってください。
いつもご覧くださりありがとうございます!
☆当サイトでは、今の観点から不審なメールであるかどうかを解析して行きます☆
- 件名の見出しを確認
- メールアドレスのドメインを確認
- リンク先のドメインを確認
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
では、進めてまいります。
前書き
先日、このようなメールをご紹介したのが記憶に新しいところです。
『詐欺メール』日専連カードから『【重要】JCBポイント 有効期限満了のお知らせ』と、来た件
この時はなぜだか送信元が「日専連カード」からでいかにもおかしなメールだったのですが、今回はちゃんとと言うか正しく「JCBポイントセンター」と名乗る部署から送られてきましたので改めて取り上げてみることにしようと思います。
では、早速詳しく見ていくことにしましょう。
あっと、その前に!
これらのメールは開いただけなら被害に遭うことはありませんので先にお伝えしておきますね!
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] JCBポイント 有効期限満了のお知らせ
送信者: “JCBポイントセンター" <rieord@mail03.hotelrijak.com>
JCBカードご利用者様
平素より JCB カードをご利用いただき、誠にありがとうございます。
本通知は、JCB 会員ポイント管理業務を担当する部門よりお送りしております。
お客様の JCB カードに付与されているポイントにつきまして、
下記のとおり 有効期限満了により失効予定 となるポイントがございますので、ご案内申し上げます。
■ 対象カード:JCB 一般カード
■ 失効予定ポイント数:3,215 ポイント
※ 1ポイント=2円
■ 有効期限:2026年1月31日
有効期限を過ぎたポイントは、理由の如何を問わず失効となり、以後ご利用いただくことはできませんので、あらかじめご了承ください。
ポイントのご利用状況や交換方法につきましては、JCB 会員専用ページよりご確認いただけます。
今後とも JCB カードをご愛顧賜りますよう、何卒よろしくお願い申し上げます。
本メールは自動送信専用です。ご返信はお控えください。
© 2026 JCB株式会社. All Rights Reserved
↑↑↑↑↑↑
本文ここまで
※本記事は注意喚起目的で掲載しています
JCBを騙る詐欺メールはこれまでにも何度か取り上げてきましたが、このメールも端的に言って、これは高い確率でフィッシング詐欺メールの類です。
その理由と対処法を整理します。
不審・危険なポイント
- 送信元メールアドレスがJCBと無関係
「rieord@mail03.hotelrijak.com」はJCB公式ドメインではありません。
JCBの正規メールは通常「@jcb.co.jp」 / 「@mail.jcb.co.jp」などですからこの時点でアウトです! - 不自然な点
「JCB 会員ポイント管理業務を担当する部門」はあまりにも部署名としては曖昧すぎる表現です。
当然調べても実在する担当部署名が出てきませんでした。 - 本人情報が一切書かれていない
正規のJCBメールなら、下4桁のカード番号、会員ランク、氏名の一部などが記載されることが多いです。 - 不自然な換算レート
メール内に「1ポイント=2円」とありますが、JCBの「Oki Dokiポイント」は通常1ポイント=5円相当(交換先により変動)であり、記載内容に違和感があります。 - 緊急性を煽る内容
「1月31日に失効する」と期限を強調し、焦らせて偽のフィッシングサイトへ誘導し、カード番号やパスワードを盗み取ろうとする典型的な手口です。
推奨される対応
- メール内の リンクをクリックしない
- ID・パスワード・カード番号を入力しない
- 添付ファイルを開かない
不安な場合は メールを使わず、必ず自分でアクセスしてください。
※ メールのリンク経由は 絶対NG!!
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダー情報を確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from mail03.hotelrijak.com (29.117.221.35.bc.googleusercontent.com [35.221.117.29])
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
よく見ると、カッコ内に「bc.googleusercontent.com」と記載がありますよね。
これは Google が管理しているドメインで、Googleが提供するクラウドコンピューティングサービスを利用しているユーザーのアクセス元としてログに記録されることがあるドメインの一部です。
故にこのメールの送信者は、このサービスを利用することができる人物であることが分かります。
もちろん JCB は Google Cloud の汎用IPから顧客向け通知を送りません。
これは詐欺グループが安価に借りたサーバでよく使われる手法です。
では、試しにドメイン「mail03.hotelrijak.com」を割当てているIPアドレスとカッコ内のIPアドレスを比較してみましょう。
こちらが「Grupo」さんで取得したこのドメインに割当てているIPアドレスです。
Received のカッコ内にあったIPアドレスと全然違いますよね、この結果からこの送信者が使ったとされる「」を使ったメールアドレスは偽装であることが確定です!!
所有者は「Cloudflare(CDN)」ですが、Cloudflareは世界最大級のCDN / リバースプロキシで、多くの詐欺サイトが正体を隠すために利用します。
本当のサーバIPは、意図的に隠蔽されています。
このReceivedフィールドの末尾にあるIPアドレスからメールの発信地を「IP調査兵団」で導き出してみると、東京都杉並区付近です。
画像を見ると、IPアドレス 35.221.117.29 の所在地が日本の東京都杉並区和泉付近を示していますが、これを「犯人が杉並区にいる」と信じるのは非常に危険です。
その理由を以下に説明しますね。
送信元の正体は
- Google Cloudの出口地点に過ぎない
このIPアドレスは Google Cloud Platform (GCP) のものです。
表示されている場所は、Googleのネットワークが一般のインターネットへ接続される「ゲートウェイ(出口)」や、登録上の代表地点に過ぎず、実際の犯人の居場所とは無関係である可能性が高いです。 - 日本国内からの送信に見せかける工作
フィッシング詐欺グループは、日本のユーザーを安心させるために、あえて日本国内のIPアドレスが割り当てられるクラウドサーバー(GCPやAWSなど)を契約してメールを配信します。 - 組織名「Google LLC」の正体
これは「Googleがこのメールを送った」という意味ではなく、「犯人がGoogleからサーバーを借りている」ということを示しています。
リンク先のドメインを確認
さて、本文の「ポイントを確認する」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://pttplcntq.xyz/jp/xGTJcdolhM/3621129】
(直リンク防止のため一部の文字を変更してあります)
ご覧の通りこれも JCB のドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません!
ここにある「.xyz」 は」フィッシング・詐欺で最も多用されるTLDとして広く知られています。
金融機関が「.xyz」 を使うことは考えられません。
このドメインを割当てているIPアドレスなど詳しい情報を「whois.domaintools.com」さんで取得してみます。
URLが危険と判断できるポイント
- Creation Date: 2025-07-16:ドメインが「最近作られた」
半年程度の新規ドメインで、先にも書いた通り金融機関(JCB)が新しく .xyz ドメインを取得して使うことはあり得ません。
短命ドメイン=詐欺の王道です!
- ネームサーバが「Cloudflare」
メールのドメインの調査でも書いた通り「Cloudflare」は運営者IPを完全に隠蔽します。
これは、通報・遮断を遅らせる典型構成となります。
割当てているIPアドレスは「104.21.14.157」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、詐欺サイト設置場所は、カナダのトロント市庁舎付近であることが分かりました。
ここに記載されている通り、利用されているプロバイダーは「Cloudflare」のようですが、多くの詐欺サイトで利用されるプロバイダーです。
このIPアドレスは、CloudflareのAnycast IP帯(同じIPアドレスを、世界中の複数のサーバが同時に使う仕組み)で、実際のサーバ所在地は隠蔽されています。
故にここに表示される場所(トロント市庁舎付近)はCloudflareのエッジ拠点に過ぎませんからここに詐欺サイトが設置されているとは限りません。
Cloudflareは世界中に拠点があり、アクセスした人に一番近い拠点が表示されるだけで楽天・運営者・犯人の場所ではありません!
アクセス元・タイミングによっては、ロサンゼルスであったり、東京であったり、今回の様にトロントであったりと別の拠点IPが返ることがあります。
Cloudflareサービスには詐欺にとって更に以下の利点があります。
- 本当のサーバIPを隠せる
- 無料・即日で使える
- HTTPSが簡単
- 通報されても別ドメインへ即切替可能
この Cloudflare 自体は正規サービスですが、これらの利点を悪用されてしまっています。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
極めて巧妙に作られた偽のログイン画面(フィッシングサイト)ですね。
サイトの正体
- 見た目の偽装
画像は本物の JCB のログイン画面を完全にコピーしていますが、これはユーザーを安心させてメールアドレス、電話番号、パスワードを盗み取るための罠です。 - 不審な通信元
このページをホストしているサーバーは、Cloudflare のインフラを利用しています。
絶対にログインしてはいけません!
ログインしてしまうとその情報は取得されてしまい、不正ログインを行われた上で資産を操作され詐欺被害に遭うことになります。
まとめ
メールの文面や送信者のメールアドレスとリンク先のドメインが「JCB」のものと異なるのでこのメールを詐欺メールと判定いたしました。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;