えきねっと騙る「自動退会解除対応のお願い」メールの正体と偽サイト解析

2026年3月12日

【調査報告】最新の詐欺メール解析レポート
解析ステータス：Critical / 分析完了日：2026年3月12日

■ 最近のスパム動向

今回ご紹介するのは「えきねっと」を騙るフィッシングメールですが、その前に最近のスパムの動向を整理します。現在、年度末や新生活の準備時期を狙い、鉄道予約や公共料金の「アカウント失効」を装う手口が激増しています。特に「自動退会」というユーザーが最も嫌がるフレーズを使い、正常な判断力を奪って偽サイトへ誘導する手法がトレンドとなっており、非常に高い警戒が必要です。

■ メール基本情報解析
件名	[spam] 【至急】えきねっとアカウント問題の早急な自動退会解除対応のお願い
判定理由	見出しに「[spam]」が含まれている理由は、受信側のセキュリティサーバーが送信元の信頼性を否定し、有害なコンテンツであると自動判定したためです。
送信者	“eki-net” <moriakira@pencil.qcunbkp.cn>
受信日時	2026-03-11 20:52

■ メール本文の調査（再現）

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

【重要なお知らせ】アカウント保全のご協力のお願い
平素より弊社サービスをご利用いただき、誠にありがとうございます。

2026-03-11付けで、セキュリティ機能の強化に伴う本人確認の手続きが必要となっております。

セキュリティ更新によるシステム変更
不正アクセス防止のための再確認
一定期間未ログインアカウントの確認義務
以下のリンクよりログインしてご確認ください。

ログインして確認する

なお、期限までにご確認いただけない場合、アカウントのご利用に制限がかかる可能性がございます。
※ このメールは送信専用です。ご返信には対応しておりません。
※ 不審なメールやリンクにご注意ください。

■ 犯人の目的と偽者を見抜くポイント

【犯人の目的】
最大の目的は、偽のログイン画面を通じて「えきねっとユーザーID」「パスワード」および「クレジットカード詳細情報（番号・有効期限・セキュリティコード）」を盗み取ることです。盗まれた情報は即座に不正決済に利用されるか、ダークウェブで転売されます。

【このメール特有の怪しい点】
・署名と連絡先の欠如： 本文に企業の住所やサポート電話番号が一切記載されていません。正規の通知メールでは必ず法的に必要な連絡先が記載されます。
・ドメインの不一致： 送信アドレスが「pencil.qcunbkp.cn」となっており、JR東日本とは何の関係もない中国ドメインです。
・期限の強調： 「期限までにご確認いただけない場合」と不安を煽る表現はフィッシングの典型です。

■ 送信元回線関連情報 (Received解析)
送信元IPアドレス	102.219.210.106 (これは送信に利用された信頼できる生データです)
ホスト名	unknown (設置国：南アフリカ共和国 / ZA)
ホスティング社	Apeiron Technologies / Global Link Communication
ドメイン登録日	取得されたばかりの使い捨てドメイン (whois.domaintools.comにて確認)
解析リファレンス	https://ip-sc.net/ja/r/102.219.210.106

■ 誘導先フィッシングサイトの構造
偽装URL	hxxps://tmssllu.cn/d2/f2/dsa=c***zhans/ (安全のため一部伏せ字)
IPアドレス	104.21.36.196
ホスト名	tmssllu.cn (設置国：アメリカ合衆国 / US)
ホスティング社	Cloudflare, Inc. (攻撃遮断回避のためのプロキシ利用)
ドメイン登録日	2026年3月初旬（極めて最近。攻撃の直前に取得されています）
解析リファレンス	https://ip-sc.net/ja/r/104.21.36.196

■ サイト稼働状況と画像記録

現在、このリンク先にアクセスすると以下のエラーが表示されます。

「We apologize, but your request has timed out.」という表示は、サーバーが意図的にアクセスを拒否しているか、警察やプロバイダの対策によりドメインが停止された可能性があります。しかし、IPアドレスは生きている場合があり、別のドメインに引き継がれる可能性があるため、引き続きの注意が必要です。