【解析】「えきねっと」カード連携でポイント2倍!詐欺メールの正体とIP調査
【調査報告】最新の詐欺メール解析レポート
えきねっとを騙るポイント還元詐欺の技術分析 | ■ 最近のスパム動向
昨今のスパムメールは、従来の「アカウント停止」といった恐怖を煽る手法から、今回のような「ポイント還元」や「キャンペーン特典」といった、ユーザーの心理的ハードルを下げる実利誘引型へと進化しています。特に新年度や季節の変わり目など、鉄道利用が増える時期を狙って「えきねっと」のような公共性の高いインフラサービスを騙るケースが急増しており、注意が必要です。
| ■ メールの解析結果 | 件名の見出し | カード連携で「えきねっと」利用時のポイント2倍!お得な特典をゲット | | 送信者 | eki-net <notice-nppmepgx@xfubevjt.cn> | | 受信日時 | 2026-03-01 13:24 | ▼ 送信者に関する技術情報
送信ドメイン「xfubevjt.cn」は、中国のトップレベルドメイン「.cn」を使用しており、JR東日本が運営する「eki-net.com」とは一切の関連性が認められません。
| ■ メール本文の再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
「えきねっと」カード連携でポイント2倍がずっとお得! いつも「えきねっと」をご利用いただき、誠にありがとうございます。現在実施中のキャンペーンに参加いただくと、以下のポイントが永続的に2倍になります! キャンペーン特典
- クレジットカードポイント:対象カードで「えきねっと」関連の消費(例:えきねっと予約、駅ナカ商店、JREモール等)をすると、カード自体のポイントが2倍!
- JRE POINT:「えきねっと」での購入や駅ナカ利用時に貯まるJRE POINTが2倍!
- えきねっとポイント:「えきねっと」のご利用で貯まる独自ポイントが2倍!
**一度連携すれば特典は永続的に適用**されます。この機会をお見逃しなく! キャンペーン参加方法
以下のリンクから「えきねっと」にログインしてください。ログイン後、自動的にカード連携ページに移動します。 [リンク先URL]: https://proveory.jzfd***.cn/cdn-cgi/phish-bypass?atok=… (セキュリティのため一部伏せ字) | | ■ メールの目的と専門的見解 【犯人の目的】
最大の目的は、ポイント還元という「エサ」で偽のログイン画面に誘導し、「えきねっとのアカウント情報(ID・パスワード)」および「クレジットカード情報」を窃取することにあります。 【専門的な感想】
ロゴの使用や、箇条書きを用いた整然としたレイアウトは、一見すると公式サイトからの通知と見紛うほどの完成度です。しかし、「**一度連携すれば…**」といった過剰な強調表現や、不自然な中国ドメインなど、細部に攻撃者の粗雑さが現れています。 | ■ サイト回線関連情報(送信元解析) 以下の「Received」ヘッダーは、メールの送信元を特定する信頼できる証拠データです。 | Received(送信者情報) | from unknown (HELO xfubevjt.cn) | | 送信元IPアドレス | 150.5.130.46 | | 送信元ホスト/回線 | bc.googleusercontent.com (Google Cloud Platform) | | 設置国 | Japan (日本) |
送信元はGoogleのクラウドインフラを悪用して配信されています。ドメイン名と送信サーバーが一致しておらず、偽装された送信情報であることは明白です。
>> 本レポートの根拠データ:送信元IP解析 (ip-sc.net)
| ■ リンク先ドメイン・サイト調査 | リンクドメイン | proveory.jzfzdh.cn | | IPアドレス | 172.67.214.232 | | ホスティング社 | Cloudflare, Inc. | | 国名 | United States (米国) | | ドメイン登録日 | 2026-02-20(直近に取得) | 【ドメイン登録日に関する考察】
ドメイン登録からわずか数日しか経過しておらず、これは法執行機関やブラックリストによる遮断を逃れるために「使い捨てドメイン」を直前に用意したことを強く示唆しています。
>> 本レポートの根拠データ:リンク先解析 (ip-sc.net)
| ■ リンク先サイトの状態と画像 現在、このリンク先はウイルスバスター等のセキュリティソフトおよびGoogle Safe Browsingによってブロックされています。アクセスを試みると以下のエラー画面が表示されます。
【URLが危険なポイント】
1. Cloudflareのボット対策ツール「Turnstile」が正常に動作していない、あるいは攻撃者が解析回避のために意図的にエラーを吐かせている可能性があります。
2. 稼働状況:現在稼働中(ただしエラーページを表示し、ターゲット以外のアクセスを制限している可能性あり)。
| ■ まとめと推奨される対応
今回の事例は、実在するサービスのデザインを巧みに盗用していますが、送信元やリンク先のデータを確認すれば偽物であることは明白です。
【対処法】
* 宛名(自分のフルネーム)がないメールは疑う。
* リンクをクリックせず、公式アプリやブックマークからログインする。
* 万が一情報を入力した場合は、即座にクレジットカード会社へ連絡してください。
>> えきねっと公式:偽メール・偽サイトへの注意喚起
| |