[解析報告] イオンカードを騙る「5,000 WAONポイント進呈」詐欺メールの通信経路とドメイン調査
【調査報告】最新の詐欺メール解析レポート
メールの解析結果と高度な技術分析エビデンス |
■ 最近のスパム動向
今回ご紹介するのは「イオンカード」を騙るメールですが、その前に最近のスパムの動向を解説します。
現在、クレジットカード会社を装い「WAONポイント」などのポイント進呈をエサに偽サイトへ誘導するフィッシング詐欺が非常に増えています。
特に、送信元にGoogle Cloudなどの正規クラウドインフラを悪用し、スパムフィルタを潜り抜けようとする高度な手法が目立っています。
|
■ メールの基本情報
| 件名: | [spam] 【特別感謝】aaa様、5,000 WAONポイントを進呈! | | 件名の見出し: | 件名に「[spam]」が含まれているのは、サーバー側が送信元ドメイン(mdqnr.cn)の信頼性やSPF/DKIM認証の結果から「なりすまし」と判断したためです。 | | 送信者: | イオンカード株式会社 <information@mdqnr.cn> ※受信者のアドレス盗用疑いあり | | 受信日時: | 2026-03-11 8:50 | |
■ 送信者に関する情報
差出人名は「イオンカード株式会社」と表示されていますが、実際のアドレスは「mdqnr.cn」であり、公式のドメイン(aeon.co.jp等)とは一切関係がありません。
このように、表示名だけを偽装するのはフィッシングメールの典型的な手口です。
|
■ メール本文の再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
平素よりAEONカードをご利用いただき、誠にありがとうございます。
──────────────────────────────────
★ 5,000 WAONポイント進呈のご案内 ★
────────────────────────────────── 日頃のご愛顧に感謝を込めて、AEONカード会員の皆様に5,000 WAONポイントをプレゼントいたします!
このポイントは、1WAONポイント=1円として、AEONカードでのお買い物にご利用いただけます。 お手続きはとても簡単!
以下のリンクをクリックし、お申し込みを完了してください。 ■ 今すぐポイントを受け取る!
▼特典申請ページ
https://login.lwtfmt.com/vttrbmwg/●●●●● (無効化済み) ■ キャンペーン詳細
– 対象:AEONカードをお持ちのお客様
– 進呈ポイント:5,000 WAONポイント
– ポイント付与時期:申請後、最大1ヶ月程度かかる場合があります。
– 申請期限:変更される場合がありますので、お早めにお申し込みください。 ──────────────────────────────────
<お問い合わせ>
イオンフィナンシャルサービス株式会社
【カード発行元】株式会社イオン銀行
東京都千代田区神田錦町3-22
電話:0120-223-123
──────────────────────────────────
Copyright AEON Financial Service Co., Ltd.
All Rights Reserved.
| |
■ メールの目的及び専門的解析
目的:カード番号、有効期限、セキュリティコード、および暗証番号等の重要情報を盗み出す「フィッシング詐欺」です。 解析感想:本文は非常に簡素で素っ気ない作りです。
特筆すべきは署名欄の電話番号(0120-223-123)です。これは「イオン銀行ローン専用ダイヤル」の実在する番号ですが、本メールのような「WAONポイント進呈」の窓口としては不自然です。
実在の番号を混ぜることで、検索したユーザーを安心させようとする狡猾な意図が感じられます。
|
■ Received(送信元回線解析) | 送信元ドメイン: | mdqnr.cn | | 送信元IPアドレス: | 34.125.99.58 | | ホスト名: | 58.99.125.34.bc.googleusercontent.com | | ホスティング社: | Google Cloud (GCP) | | 設置国: | United States (アメリカ合衆国) | | ドメイン登録日: | whois情報を参照したところ、登録から極めて日が浅い状態です。攻撃用の使い捨てドメインと断定できます。 |
※カッコ内のIPアドレスは、送信に使用された信頼できる証跡データです。
≫ 送信元:ip-sc.net 回線解析エビデンスを確認
|
■ サイト回線関連情報(リンク先解析) | リンク箇所: | 本文内「▼特典申請ページ」直下のURL | | 誘導先URL: | https://login.lwtfmt.com/vttrbmwg/●●●●● (伏字含む) | | リンク先IPアドレス: | 104.21.31.218 | | ホスト名: | login.lwtfmt.com (Cloudflare経由) | | ホスティング社: | Cloudflare, Inc. | | 設置国: | United States (アメリカ合衆国) | | ドメイン登録日: | Whois情報により、取得から数日以内であることを確認。詐欺サイト構築のために即席で用意されたドメインです。 | | 稼働状況: | 稼働中(ただし一部制限あり) |
≫ リンク先:ip-sc.net サイト回線関連情報を表示
|
■ リンク先サイトの状態(詐欺サイトの現況) | Sorry, your request timed out. Please try again or check your internet connection. |
現在、リンク先は上記のようなタイムアウトエラーを表示しています。
これはサイトが閉鎖されたわけではなく、ボット検知や特定のIPアドレス以外からのアクセスを遮断し、解析を妨害している可能性が高い状態です。
|
■ メールの注意点と対処方法
今回のメールは、実在の電話番号や「5,000ポイント」という具体的な数字でユーザーの心理を揺さぶります。
過去の事例と比較しても、署名部分の作り込みが細かくなっていますが、送信元ドメインが「.cn」である点、および誘導先URLが「aeon.co.jp」でない点で100%詐欺と判断できます。 不審なメールを受け取った際は、絶対にリンクをクリックせず、公式サイトの公式案内を確認してください。
≫ イオンカード公式:不審なメール・SMSへのご注意(外部サイト)
|
| 本レポートはセキュリティ分析を目的に作成されました。引用元:ip-sc.net / Whois DomainTools |