【必読】「お預かり中ボーナスポイント受取のご案内」不審メールの技術調査結果

■ 共通ポイント「Ponta」を騙る新たな詐欺メールの襲来

本日、共通ポイントサービス「Ponta（ポンタ）」の運営企業である株式会社ロイヤリティ マーケティングを精巧に装った、極めて悪質なフィッシング詐欺メールが確認されました。
このメールは「ボーナスポイントの付与待機」というユーザーの射幸心を巧みに煽る名目で、偽の検証サイト・フィッシングサイトへと誘導を図る構造になっています。

今回の攻撃における最も顕著な特徴は、メール本文の冒頭にある宛名部分に、受信者のメールアドレスのローカルパート（@より前の部分）を機械的に盗用して挿入している点です。これにより、不特定多数向けのばらまき型メールであるにもかかわらず、受信者に対して「自分だけに向けられた正規の通知ではないか」という錯覚を抱かせる極めて卑劣な心理誘導（ソーシャルエンジニアリング）が行われています。

本レポートでは、この詐欺メールの技術的背景、メールヘッダーの詳細な解析、そして誘導先サイトで確認された不可解な挙動（クローキングの疑い）について、手抜きなく徹底的に長尺解説を行います。

【視覚的証拠：各種スクリーンショット】 [「メール本文」のスクリーンショット画像]   [ファイアウォールによるアクセス拒否画面のスクリーンショット画像]

■ 受信メール本文の完全再現

以下は、実際に送信されてきたHTMLメールの構造および文面を、視覚的・文脈的に可能な限り忠実に再現したものです（リンク先はすべて安全な無効化処理を施しています）。

■ メールヘッダーのディープ解析

このフィッシングメールの真の素性を暴くため、メールヘッダーから防衛上極めて重要な指標となる「Received-SPF」および、時系列上で最も古い「もっとも最初に通過したReceivedヘッダー」を抽出・解析します。
なお、プライバシー保護およびセキュリティの観点から、受信環境固有のドメイン（*******.net、*********.jp）および個人のメールアドレス、アカウント名は伏字（*）に変造して解説します。

1. Received-SPFヘッダーの検証

【解説】
結果は「Pass」となっています。ここがフィッシング詐欺の巧妙な点です。攻撃者は正規のドメイン認証システムを悪用しています。
送信元IPアドレスである 35.215.127.148 は、Google Cloud Platform（GCP）のAsiaリージョンに割り当てられたIP帯です。
攻撃者は独自に使い捨てドメイン「yyjnys.com」を取得し、そのDNSサーバーにこのGCPのIPアドレスをSPFレコード（送信元として正当であるという宣言）として正規に登録しています。そのため、受信側のサーバー（s*********.jp側の防御機構）がDNSに照会した際、形式上「正しいサーバーから送られてきたメール」と判定され、Passを返してしまっているのです。
現在のフィッシングは、「偽装アドレスだからSPFで落とせる」という甘い前提が通用しない段階にシフトしていることを如実に示しています。

2. 時系列上最古（最初）のReceivedヘッダーの検証

【解説】
このReceivedヘッダーは、攻撃者の送信台（account.yyjnys.com [35.215.127.148]）から、受信側ホスティング環境（*******.netの受信用MXであるdmail02）へと、メールデータがダイレクトに引き渡されたまさにその瞬間のファーストタッチを記録した動かぬ証拠です。

日付は 2026年5月22日 09:40:57 +0900 (JST)。
これにより、メールが海外の複数のリレーサーバーを複雑に経由したものではなく、GCP上に構築された攻撃用サーバーから日本の受信サーバーに向けて、極めて直線的かつ高速にスパム配信が行われたことが裏付けられます。

■ 偽装された誘導先と「クローキング（Cloaking）」の強い疑い

今回の検証において極めて興味深い、かつ警戒すべき挙動が確認されました。
メール内に設置された不審なリンク先（http://update.pegkmxwh.account.yyjnys.com.xxxxxxxx.top/ ※伏字加工）へ解析のためにアクセスを試みたところ、1枚目のスクリーンショットにある通り、即座に赤色のバツマークとともに「アクセス拒否 / リクエストがブロックされました。後ほどお試しください。 ファイアウォールで保護されています」というエラー画面が出力され、通信が遮断されました。

一見すると、セキュアなWEBブラウザやセキュリティソフトが「悪意あるサイトを検知して手前で止めてくれた」ようにも見えますが、この画面のデザインおよび文脈から推測すると、これは攻撃者側のサーバーに仕込まれたWAF（Web Application Firewall）または「クローキング（Cloaking）」機能による拒否画面である可能性が極めて濃厚です。

【クローキングとは何か？】
クローキングとは、アクセスしてきた相手のIPアドレスやユーザーエージェント（ブラウザの種類やクローラ情報）をサーバー側で判別し、「一般の騙したいユーザー」と「セキュリティ調査会社・検索エンジンの巡回ロボット（クローラ）」とで全く異なる画面を出し分ける不正な技術です。

攻撃者は以下のような高度なスクリーニングを行っていると考えられます。

• 一般ユーザー（スマホ等）からのアクセス： 本物そっくりのPontaフィッシング詐欺ログイン画面を表示し、クレジットカード情報や会員ID・パスワードを窃取する。
• 調査目的・不審なセグメント（セキュリティベンダーのIP、検証環境のクローラ等）からのアクセス： 「ファイアウォールでブロックされました」というもっともらしいエラー画面（あるいは403 Forbidden等）を意図的に表示し、そこにフィッシングサイトが存在しないかのように擬態する。

このように偽装することで、セキュリティ企業による通報（テイクダウン要請）や、セキュリティブラウザのブラックリスト登録を意図的に遅らせ、フィッシングサイトの寿命を延ばそうとする狡猾な延命工作が行われているのです。「アクセスできなかったから安全なサイトだった」と誤認することは非常に危険であり、その裏で今なお一般の被害者が量産されている可能性があることを忘れてはなりません。

■ 我々が取るべき防衛策

サイバー攻撃者は日々その技術をアップデートしており、ドメイン認証（SPF/DKIM）をクリアし、宛名にローカルパートを流用し、調査に対してはクローキングで煙に巻くという、極めて「手抜きのない」サプライチェーンを構築しています。
我々ユーザーが身を守るための鉄則は以下の通りです。

今後も巧妙化するフィッシング詐欺の動向を「Heartland-Lab」では継続して監視・レポートしていきます。
皆様も怪しいメールを受け取った際は、決してリンクをクリックせず、冷静な対応を心がけてください。

監修：Heartland-Lab