【公開】「Suicaご利用感謝」の嘘を暴く！偽JRE POINTメールのテクニカル解析

2026年5月22日

【フィッシング警告】JRE POINTを騙る「未受取ボーナスポイント」詐欺メールを徹底解剖

監修：Heartland-Lab

公開日：2026年05月22日

ここ数日、JR東日本のポイントサービス「JRE POINT」を騙るフィッシングメールの流入が急増しています。「利用感謝ボーナス」「未受取のポイントがある」といった甘い言葉でユーザーを釣り上げ、偽のログインサイトへ誘導してクレジットカード情報や個人情報を盗み出す典型的なワンクリック詐欺・フィッシングの手口です。

本記事では、実際に届いた不審メールのヘッダー情報、セキュリティソフトによる検知状況、そして攻撃者側のサーバー挙動まで、手抜きなしで徹底的にテクニカル分析を行います。

■ メール本文の検証と再現

実際に受信したメールの画面構成です。公式のロゴや配色を巧みに盗用し、一見すると本物と見分けがつかないデザインに仕上げられています。

【メール本文のスクリーンショット】

【メール本文の忠実再現】
※視覚的デザインを再現したHTMLエミュレーションです。

JRE POINT

ご利用感謝ボーナス

いつもJRE POINTをご利用いただき、誠にありがとうございます。

特別ボーナスポイント進呈のご案内

日頃のSuicaでの鉄道ご利用、およびエキナカでのお買い物に感謝を込めまして、お客様のアカウント宛にポイントを進呈いたしました。

現在、該当のポイントは【未受取】となっております。
残高へ反映させるには、下記よりお手続きが必要です。

未受取のポイントを残高へ追加する
ワンクリックでアカウントへ即時反映

受取期限：本メール受信より【72時間以内】

1ポイント＝1円！便利な使い方

登録したSuicaへのチャージ（入金）
アトレ、ルミネ、エキュートなど、駅ビルでのお買い物
「えきねっと」での新幹線チケット購入・グリーン券交換

期限を過ぎますと、システム上ポイントはお受け取りいただけなくなりますのでご注意ください。
上記のURLはお客様専用のリンクとなっております。第三者への転送はお控えください。
本メールは送信専用システムより自動配信されております。ご返信いただきましても対応いたしかねます。

東日本旅客鉄道株式会社
© East Japan Railway Company All Rights Reserved.

■ メールヘッダーのテクニカル分析（手抜きなし解説）

メールの送信元偽装状況を暴くため、ヘッダーから重要な情報（Received-SPFおよび時系列で最古のReceived）を抽出・解析します。
※プライバシー保護のため、環境固有情報および受信者情報は一部伏字（***）に処理しています。

Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=35.212.199.74; helo=mail17.gbakuh.com
Received: from mail17.gbakuh.com (gbakuh.com [35.212.199.74])
	by dmail04.***.net (Postfix) with ESMTP id 18FBC4250A6F
	for <***@***.jp>; Thu, 21 May 2026 15:16:45 +0900 (JST)

【詳細解説：SPF『Pass』の罠】

ここで最も警戒すべき点は、Received-SPFが「Pass」しているという事実です。一般的に「SPFがPassしていれば安全」と誤解されがちですが、これは「送信元を騙っていない」という意味に過ぎません。

攻撃者は、JR東日本とは何の関係もない不審な独自ドメイン「gbakuh[.]com」を自ら取得し、そのドメインのDNSに正規のSPFレコードを記述、さらに実際の送信元IP（35.212.199.74）から「自作自演」で送信しています。これにより、メールサーバーの単純ななりすましフィルター（ドメイン不一致判定）をすり抜ける狙いがあります。ドメイン名そのものが偽物であるため、送信ドメイン認証がパスしていても、内容が詐欺であることに変わりはありません。

■ セキュリティソフト・ゲートウェイによるブロック状況

メール内のURLをクリックした際、エンドポイントセキュリティ、およびWebサーバー側でどのような遮断措置が発生したかを検証します。

【セキュリティ警告のスクリーンショット】

【ウイルスバスターによるWeb脅威対策】

メール内に仕込まれていたリンク先URLは以下の通りです。
URL: hxxps://login.jiaze-cable[.]com/?5N2IUOnoc38D&type=jrepoint（※安全のため一部書き換えています）

このURLへアクセスを試みた際、トレンドマイクロ社の「ウイルスバスタークラウド」が通信をリアルタイムでインターセプトし、「このWebサイトは、安全ではない可能性があります」「脅威の種類: フィッシング」として完全にブロックしたことが確認できます。未知のドメインであっても、ヒューリスティック分析やブラックリスト連携によって即座に危険サイトとして判定されています。

■ 詐欺サイト（サーバー側）の現在の挙動

さらに通信を進めた、あるいは時間経過後のサーバー側の応答画面です。

【詐欺サイト応答（アクセス拒否）のスクリーンショット】

【アクセス拒否画面の考察】

セキュリティソフトの警告をバイパスした先では、「アクセス拒否：リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」というエラー画面が返される状態となっています。

この挙動には2つの可能性が考えられます。
1つ目は、攻撃者がWebサーバーの手前に配置しているWAF（Web Application Firewall：Cloudflare等）が、セキュリティベンダーの調査クローラーや、特定の地域・環境からの不審なアクセスを検知して自動的に遮断した可能性。
2つ目は、通報等によって既にフィッシングサイトのホスティングアカウントが凍結、あるいは攻撃者自身が拠点を放棄してサイトをクローズした可能性です。いずれにせよ、現時点でこのURLにおけるフィッシング被害の拡大は抑止されているものと考えられます。

■ 被害に遭わないための対策

「72時間以内」「ポイント失効」といった文言は、人間の焦りや心理的隙を突くソーシャルエンジニアリングの基本手法です。

1. リンクは絶対に踏まない: ポイントの確認やログインを促すメールを受け取った場合、メール内のリンクやボタンは絶対にクリックしてはいけません。
2. 公式ルートの徹底: 必ずあらかじめブラウザに登録してある「ブックマーク（お気に入り）」や、スマートフォンの「公式アプリ」からログインして状況を確認してください。
3. ドメインの目視確認: ログイン画面が表示された際は、ブラウザのアドレスバーを確認し、正規のドメイン（jrepoint.jp）であるかを必ず指差し確認する癖をつけましょう。