| みなさん、こんにちは。
頼れる街のIT専門家、Heartland(ハートランド)です。
今日もみなさんの大切な情報資産と、ご家族の安心を守るために、街で検知された怪しいメールの徹底的な解析(データを細かく調べて正体を突き止めること)を行っていきます。
今回ご紹介するのは、共通ポイントサービスとして馴染み深い「Ponta(ポンタ)」を騙る(公式の名前を不正に名乗る)非常に悪質なフィッシングメール(偽のサイトに誘導して個人情報を盗み出す詐欺メール)です。
なお、これまでに確認された類似の不審メールや関連記事も、ページ末尾に記載のデータベースアーカイブ(過去の事例集)からいつでもご覧いただけます。 【実録】[spam]付き偽Pontaから「未受取ポイント」の罠!WAFアクセス拒否の裏に潜むクローキング手口を徹底分析 このメールは、受け取って開いた(閲覧した)段階では、すぐに金銭的な実質的被害(実際にお金を盗まれるなどの被害)が発生するわけではありません。
しかし、今回のメールのように画像がふんだんに使われているメールや、開通通知(メールが読まれたことを送信元に自動で知らせる仕組み)が仕込まれている場合、あなたがメールを開いた瞬間に「このメールアドレスは現在使われている」という情報が犯人側に伝わってしまいます。
これによって、あなたのアドレスが「生体通知(実際に稼働しているアカウントの証明)」として認識され、今後さらに多くの危険な詐欺メール送信リスト(犯罪グループ間でお金を稼ぐために回される名簿)に入れられてしまう可能性が非常に高いのです。
見覚えのない不審なメールは、極力開かずにそのまま削除することが一番の安全策になります。 この詐欺メールの危険度評価 | 項目 | 危険度メーター | 評価の理由 | | だまされやすさ | ★★★☆☆ | 公式のロゴや配色をきれいに模倣していますが、宛名がアカウント名そのままであるため不自然です。 | | 技術的悪質度 | ★★★★☆ | SPFやDKIMといった送信ドメイン認証(本物の証明書のようなもの)を正しく通過させており、防御壁をすり抜けてきます。 | | 誘導先の危険性 | ★★★★☆ | アクセス先でクローキング(アクセス者を騙す仕掛け)を用いており、足がつかないように高度な隠蔽工作を行っています。 | 不審メールの基本受信データ | 件名(Subject) | [spam] 【Ponta point】多くの会員様が受取済み:未受取ポイントのご確認 | | 件名の注意点 | 冒頭に「[spam]」という文字が付加されています。
これは、あなたの利用しているプロバイダ(インターネット接続業者)の迷惑メール検知エンジンが、このメールの配信構造や内容を自動的に分析し、「これは確実にスパム(迷惑メール・詐欺メール)である」と判定して、受信者に危険を知らせるために自動的に付与した警告目印です。これがあるものは絶対に信用してはいけません。 | | 送信者名(From) | “Pontaセキュリティデスク” | | 送信元アドレス | IISHKB@fdqsnyxe.order.ai-cnwisdom.com | | 受信日・時刻 | 2026年5月27日 08:36:13 (+0900) | | 宛名(本文冒頭) | ta**** 様 | ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 メール本文のビジュアルと忠実な再現 | 【フィッシングメール本文のスクリーンショット】 
| ※スクショを見た印象:上部に公式を模した鮮やかなオレンジ色の「Ponta」のロゴと「未受取確認」というバッジが配置され、一見すると本物の案内のように美しく整形されたHTMLメール(デザインされたメール)です。しかし、よく見ると本文の宛名が、受信者のメールアカウント名(@より前の部分)そのままで流用されています。 👇 以下に、実際に送り付けられたメール本文の内容を、文字の配置やリンクの位置までできる限り忠実に再現します。 | Ponta **** 様 いつもPontaをご利用いただき、誠にありがとうございます。 | すでに多くの会員様が受取手続きを完了されています 今月のボーナスポイントにつきまして、対象となる会員様の大半がすでに受取手続きを完了されております。お客様のアカウントにもポイントが付与されておりますが、まだお受け取りが確認できておりません。他の会員様と同様に、ぜひ期限内のお手続きをお願いいたします。 | 受取完了の会員様
多数 | お客様のステータス
未受取 | 同じ特典をお持ちの他の会員様はすでに受取済みです。今すぐお手続きください。 ポイントを受け取る(他の会員様と同様に)
1分で完了・残高へ即時反映
受け取ったポイントの使い道(1ポイント=1円) - 全国のローソンでの毎日のお買い物に
- ケンタッキー、ゲオなどのPonta提携店舗で
- au PAYでのキャッシュレス決済に
- ホットペッパービューティーなどの提携ネットサービスで
・本メールは対象となる会員様に配信しております。すでにお手続き済みの場合はご容赦ください。
・お受け取りいただけるポイントには受取期限がございます。期限切れの場合は失効となります。
・本メールは自動送信されています。ご返信には対応いたしかねます。 株式会社ロイヤリティ マーケティング Pontaカスタマーセンター 公式サイト:ponta.jp
© Loyalty Marketing, Inc. All rights reserved. | つまり、このメールの目的は、存在もしない「未受取のボーナスポイント」という偽の利益で被害者を釣り上げ、焦らせて青い文字の偽リンクをクリックさせ、クレジットカード情報やPontaのログインパスワードを盗み出すこと(フィッシング詐欺の典型的な手口)です。 メールヘッダーの技術的解析と偽装判定 メールの身元を完全に保証する「メールヘッダー(メールの配送伝票のようなデータ)」の解析結果です。
なお、メールヘッダーの生のデータやそのスクリーンショットには、受信者側(あなた側)のサーバーの内部構造やプライベートな接続環境といった重要なセキュリティ情報が含まれてしまうため、ここでは画像を掲載せず、安全のために重要なテキストデータのみを抽出して記載します。 | Received-SPF | Pass (sender SPF authorized) identity=mailfrom; client-ip=35.215.104.100; helo=order.ai-cnwisdom.com; | 最古のReceivedヘッダー
(時系列で一番古い送信元) | from order.ai-cnwisdom.com (ai-cnwisdom.com [35.215.104.100])
by dmail02.********.net (Postfix) with ESMTP id C6340424250F
for <****@**********>; Wed, 27 May 2026 08:36:15 +0900 (JST) | この送信元ドメイン「order.ai-cnwisdom.com」および送信元IPアドレスについて、詳細なロケーション(物理的なサーバーが設置されている場所のデータ)を照合しました。 | 解析IPアドレス | 判定サイト詳細リンク | 物理ロケーション(マップ・位置情報) | | 35.215.104.100 | ip-sc.netで確認 | アメリカ合衆国(Google Cloudプラットフォーム内)
緯度・経度:37.751, -122.420
Googleマップで場所を表示 | つまり、送信者情報のメールアドレスドメインから抽出したIPアドレスと、配送ルートの最古のIPアドレス(35.215.104.100)が完全に一致しており、SPFも「Pass」しているため、ドメインの偽装(名前だけの書き換え)ではなく、「犯人があらかじめ用意したか、あるいは乗っ取られた海外のサーバーから、正規の認証を通して堂々と送信されている」ということです。一見、認証がPassしているため安全に見えますが、ドメイン自体がPontaとは何の関係もない使い捨てのものであり、極めて悪質です。 誘導先フィッシングサイト(詐欺サイト)の裏側 メール本文に隠されていた、青い文字の偽リンクが指し示す本当の行き先です。
安全のために一部を「*」で伏字にして、リンクが無効化されたテキストとして表示します。 危険なURL(伏字加工済み):h**ps://www.jsbz****.com/?SzT4TZ0oVb4C&type=ponta 【セキュリティブロック画面(WAF拒否画面)のスクリーンショット】 | このURLに調査用の特別な環境からアクセスを試みたところ、画面には「アクセス拒否 / リクエストがブロックされました。後ほどお試しください。 / ファイアウォールで保護されています」という冷たい警告文が表示され、中身を見ることができませんでした。
実は、これこそが攻撃者の高度な手口である「クローキング(アクセス者の正体によって表示する画面をガラリと変える欺瞞工作)」の結果です。 クローキングとは、アクセスしてきた相手が「一般の被害者(スマホや日本の一般的な回線)」なのか、それとも「セキュリティ専門家や調査ロボット、通報窓口(特定のプロバイダや海外のIP)」なのかをサーバー側で瞬時に判別する技術です。
調査目的のアクセスだと判断されると、このように「最初からファイアウォールでブロックされている安全なサイト」であるかのような偽の画面を出して、詐欺行為を隠蔽(隠すこと)します。
しかし、一般の被害者がスマホでアクセスした場合には、クレジットカード情報を盗み取るための精巧な偽ログイン画面が表示される仕組みになっています。 リンク先ドメインの通信・稼働ステータス | 接続先ドメイン | ドメイン対応IPアドレス | サーバーの物理ロケーション(位置情報) | | www.jsbz0769.com | 154.213.16.20 | 香港(Hong Kong – Broadband Network)
緯度・経度:22.250, 114.167
Googleマップで表示
※IP確認参考:ttps://awebanalysis.com/ja/hostname-to-ip/ | | サイトの危険判定ポイント | ①日本の共通ポイントであるPontaのサービスであるにもかかわらず、サーバーが「香港」の安価なレンタルプロバイダ内に設置されている点。
②ドメイン名(jsbz0769)がPonta(ponta.jp)と何一つ関係のない、ランダムに取得された文字列である点。 | | 現在の稼働状況 | 現在もバックグラウンドで強力に【稼働中】(クローキング機能が作動しており、ターゲットを絞ってフィッシング画面を表示させている危険な状態です) | つまり、見かけ上の画面が「アクセスブロック」となっていても、それは専門家の目を盗むための罠であり、「裏では今も日本国内のスマホユーザーを一本釣りにするための詐欺システムが完全に稼働しているということです」。 このメールの注意点と身を守るための対処法 万が一、このようなメールを受け取ってしまった場合、被害に遭わないために以下のルールを徹底してください。 - メール内の青文字リンクは絶対に押さない:
ポイントの残高や有効期限を確認したい時は、メールのリンクからではなく、普段使っているスマホの「Pontaアプリ」や、ブラウザのブックマーク(お気に入り登録)から公式サイトに直接アクセスしてください。 - 個人情報やカード情報を入力してしまったら:
もし万が一、クレジットカード番号などを入力してしまった場合は、すぐにカード会社の裏面に書かれている電話番号に連絡し、「フィッシングサイトにカード情報を打ち込んでしまった」と伝えて、カードの利用をすぐに止めて(再発行手続きをして)ください。 - 大切な人に教えてあげる:
このような「未受取のボーナスポイントがもらえる」という手口は、特にお買い得情報に敏感なご高齢のご家族や、ネットの仕組みに不慣れな方が騙されやすい傾向にあります。「大切な家族にも伝えてあげてください」という私たちの願いを込めて、ぜひ周囲の身近な方に注意を促してあげてください。 身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。 いかがでしたでしょうか。今回は、巧妙に偽装されたPontaのフィッシングメールと、その裏側にあるクローキング技術についてじっくりと解説しました。
インターネットはとても便利ですが、悪質な犯人たちも日々技術を悪用しています。
少しでも「おかしいな」と思ったら、いつでも私たちの情報発信を頼りにしてくださいね。
街のIT専門家、Heartlandでした。それでは、また次回の解析レポートでお会いしましょう。 | 
