【注意喚起】ANA「アカウントのセキュリティに関するご案内」は詐欺！偽URLと回線情報を公開

2026年3月8日

【調査報告】最新の詐欺メール解析レポート
メールの解析結果：ANAマイレージクラブを騙るフィッシング詐欺の技術分析

■ 最近のスパム動向

今回ご紹介するのは「ANA（全日本空輸）」を騙るメールですが、その前に最近のスパムの動向を整理します。
2026年3月現在、旅行需要の回復や春の大型連休を控え、航空会社のマイレージポイントや会員ステータスを狙ったサイバー犯罪が激化しています。特に「不正ログインの検知」という名目で偽のセキュリティアラートを送りつけ、24時間以内の対応を強要して偽サイトへ誘導する手法が全国的に確認されており、注意が必要です。

■ メールの基本データ

件名：	[spam] 【ANA】マイレージクラブ – アカウントのセキュリティに関するご案内
件名の見出し：	冒頭の「[spam]」タグは、受信サーバー側のアンチスパム機能がこのメールを「迷惑メール」と確定診断した証拠です。この表示がある時点で開封は推奨されません。
送信者：	“ANA特典航空券デスク” <kazuyanagida0916372@orange.tdhqury.cn>
受信日時：	2026-03-08 08:24

■ 送信者に関する調査結果

差出人名には「ANA特典航空券デスク」という公式に近い名称が使われていますが、メールアドレスのドメインは「orange.tdhqury.cn」であり、中国の国別コードドメイン（.cn）となっています。ANA公式（ana.co.jp）とは一切関連性がなく、第三者のサーバーを悪用、または独自に取得した攻撃用ドメインからの送信です。

「できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。」

ANAマイレージクラブ会員様

いつもANAマイレージクラブをご利用いただき、ありがとうございます。

【セキュリティアラート】

当社システムにより、お客様のアカウントに以下の異常ログインが検出されました。

■ 検出日時：2026-03-08 07:24:06
■ ログイン場所：東京都渋谷区
■ 接続IPアドレス：118.238.xxx.xxx
■ デバイス環境：Windows / Chrome / モバイル回線

上記はお客様の通常の利用パターンと異なるため、不正アクセスの可能性がございます。
当社のリスク管理ポリシーに基づき、アカウントに一時的な制限を適用いたしました。

【重要】24時間以内に本人確認を行わない場合、
アカウントを永久ロックいたします。本人確認・制限解除はこちら

※上記リンクより手続きを行ってください。
※本メールは送信専用です。ご返信いただいてもお答えできません。

ANAマイレージクラブセキュリティチーム

■ 解析：犯人の目的とメールの評価

【犯人の目的】
この攻撃の目的は、ANAマイレージクラブのログイン情報（お客様番号・パスワード）および、その後に表示される偽フォームでのクレジットカード情報の窃取です。盗まれたマイルは不正に航空券や特典に交換され、カード情報は闇市場で転売されるか直接不正決済に使用されます。

【専門的解説：怪しい点】
1. 署名の欠如と無機質な構成：画像を確認すると、公式ロゴの掲載がなく、非常に質素なテキストベースの構成です。また、本来あるべき電話番号や住所、責任者の記載を含む正式な署名が一切ありません。
2. 宛名が汎用的：登録者名ではなく「会員様」という不特定多数に向けた表現が使われています。
3. 脅迫的な期限設定：「24時間以内」「永久ロック」という表現は、ユーザーに確認作業をさせず、即座にクリックさせるための心理的トリック（ソーシャルエンジニアリング）です。

■ 公式サイトでの注意喚起

ANA公式サイトでは、このような不審なメールに対する注意喚起が既に出されています。心当たりのない通知を受け取った場合は、メール内のリンクではなく、必ずブックマークや公式アプリからアクセスしてください。
【ANA公式】ANAグループを装った詐欺メール・詐欺電話等にご注意ください

■ Received：メール回線関連情報

以下のデータは送信元ヘッダーから解析した「生の情報」であり、信頼できる送信経路情報です。

送信サーバー詳細：	from orange.tdhqury.cn (unknown [185.158.22.9])
送信元IPアドレス：	185.158.22.9
ホスティング社：	Inexting Holding Ltd
設置国名：	Netherlands (オランダ)

【ドメイン登録日・登録者】
ドメイン「orange.tdhqury.cn」は、Whois情報の取得結果により、ごく最近登録されたことが判明しています。攻撃用の使い捨てドメインと見て間違いありません。
詳細情報：Whois Record for orange.tdhqury.cn

【本レポートの根拠データ】
https://ip-sc.net/ja/r/185.158.22.9

■ リンク関連情報の詳細解析

リンク設置箇所：	「本人確認・制限解除はこちら」のテキスト部分
リンク先URL：	https://sfsqpyy105.c●/g1/a2/h3/eq=ana/（伏せ字を含む）
ブロック状況：	ウイルスバスター、Google Safe Browsing等で「フィッシング詐欺サイト」として警告が出される状態です。
リンク先サイトの状態：	現在は「We apologize, but your request has timed out…」という英語のエラーメッセージが表示されています。

▼ サイト回線関連情報（リンク先ドメイン）

ドメイン：	sfsqpyy105.cn
IPアドレス：	104.21.5.157
ホスティング社：	Cloudflare, Inc.
設置国名：	United States (アメリカ合衆国)

【ドメイン登録日に関する分析】
「sfsqpyy105.cn」は登録から数日しか経過していません。これはフィッシング攻撃が開始される直前に取得されたことを示しており、追跡を逃れるためにCloudflareのCDNサービスを隠れ蓑にしています。
詳細情報：Whois Record for sfsqpyy105.cn

【サイト解析詳細URL】
https://ip-sc.net/ja/r/104.21.5.157

■ 詐欺サイト・エラー画面の検証

リンク先で確認されたエラー画面の記録です。

「We apologize, but your request has timed out.」との記述がありますが、これはサーバーの過負荷ではなく、セキュリティ対策による遮断、または攻撃者が短期間でサイトを閉鎖した結果と考えられます。