【必読】ANA「未受取データの確認」は詐欺メール——HTML/テキスト二重構造の巧妙な偽装工作を暴く

2026年5月29日

【実録】ANA偽マイレージクラブの正体：SPF認証をすり抜けるHTML二重偽装メールを暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「マイルが失効する」「保管解除の手続きが必要」——そんな不安をあおるANAマイレージクラブを装ったフィッシングメールが2026年5月下旬より再び急増しています。今回Heartland-Labが入手・解析したサンプルは、HTMLメールとテキストメールで本文内容を意図的に変えた二重構造を持つ極めて高度な偽装工作が確認されました。セキュリティフィルターをかわすための巧妙な仕掛けであり、一般的な迷惑メールフィルターでは検出が困難なケースもあります。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)　※マイル資産の窃取を狙う即時型
偽装工作精度	★★★★★ (5/5)　※SPF認証通過・HTML/テキスト二重構造

■ メールヘッダー解析（送信者情報）

件名：[spam]【重要：ANA】マイル資産保護に伴う未受取データのご確認および有効期限のお知らせ

送信者名（表示名）：“[ANAマイレージクラブ]”（表示名だけANAを名乗る偽装）

送信元アドレス：bimxyg@yxhrqxbf.pay.njphxz.com（ANA公式とは無関係の偽造ドメイン）

受信日時：2026年5月29日（金） 10:06（JST）

SPF認証：Pass（！）　※攻撃者が独自ドメインでSPF設定を行い、認証を意図的に通過させています

DKIM署名：d=pay.njphxz.com（ANAの正規ドメイン ana.co.jp とは一切無関係）

ご覧の通り、このメールはANAマイレージクラブを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

⚠️ 今回の特徴：HTMLメールとテキストメールで「中身を変える」二重偽装

通常のメールはHTMLと平文テキストの内容が同じです。しかし今回の詐欺メールはHTMLで表示したときと、テキストで表示したときで本文が異なります。

表示モード	URLの見え方	攻撃者の狙い
HTMLモード	「マイルの保管解除および明細を確認する」というリンク文字の裏にURLが隠れている	URLを見せずにクリックさせる
テキストモード	フィッシングURLが直接表示される（zbikj.com）	セキュリティフィルターにはテキスト版を解析させ、検出を困難にする

この手法はセキュリティ検査システムの「テキスト部分を優先解析する」特性を悪用したものです。高度な攻撃者が使う技術的な偽装工作であり、今後さらに拡散する可能性があります。

📌 HTMLメールとテキストメールって何？

メールには「HTML表示」と「テキスト表示」という2つの表示モードがあることをご存知でしょうか。ふだん私たちが目にしているカラフルな画像やボタン付きのメールが「HTML表示」、文字だけのシンプルなメールが「テキスト表示」です。

スマートフォンやパソコンのメールアプリは、通常は見栄えの良いHTML表示を優先して表示しています。テキスト表示に切り替えるには、メールアプリの設定メニューから意図的に操作する必要があるため、その存在を知らない方がほとんどです。

今回の詐欺メールはこの「知らない人が多い」という点を巧みに悪用しています。HTML表示ではフィッシングURLをリンクテキストの裏に隠し、テキスト表示では別の文面を用意する——という二重構造を持たせることで、セキュリティ検査の目をかいくぐる仕掛けになっています。

詐欺メール本文（HTML表示版）の再現

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

ANAシステム通知
***** 様

いつもANAグループをご利用いただき、誠にありがとうございます。本メールは、重要なマイル資産を保護するためのシステム通知です。

現在、お客様のANAマイレージクラブ口座に対し、お客様ご自身によるオンラインでの「反映手続き」が必須となるデータが存在しております。

要確認：口座ステータス詳細
1. 未反映マイル（特典データの保管解除）
   対象サービス利用による特典マイルがシステム内で【一時保管中】です。
   ご利用には保管解除（口座反映）が必要です。

2. 失効直前マイルのご案内
   残高内に、当月末【2026年5月31日】をもって有効期限を迎え、完全に無効となるマイルが含まれております。

　　大切な資産が失効（キャンセル）となる前に、
　　下記よりマイルの保管解除および明細のご確認をお願いいたします。

【マイルの保管解除および明細を確認する　AMC番号とWebパスワードをご用意ください】
（※リンク先は詐欺サイトのため無効化しています）

■ マイルは1マイルから無駄なく活用可能です

失効が迫っている少額のマイルも、1マイルから「ANA SKY コイン」へ交換可能です。期限を迎える前に交換手続きをご検討ください。

・本URLはお客様専用の暗号化リンクです。第三者への転送はお控えください。
・すでに口座反映やご利用が完了している場合は、本案内をご容赦ください。
・本メールは自動送信専用です。ご返信による対応はいたしかねます。

全日本空輸株式会社
ANAマイレージクラブ マイル資産管理デスク

© ANA・ANA Mileage Club All rights reserved.

1. 詐欺メール本文（テキスト表示版）の再現

詐欺メール本文（テキスト表示版）の再現

※以下はテキスト表示に切り替えた際に表示される内容です。HTMLバージョンと意図的に内容が異なる点に注目してください。フィッシングURLが隠されずむき出しで記載されています。

【重要】マイル資産保護に伴う「保管解除」および有効期限のご案内

　　様

いつもANAグループをご利用いただき、誠にありがとうございます。
ANAマイレージクラブ・マイル資産管理デスクでございます。

本メールは、会員の皆様の重要なマイル資産を保護するための
システム・ステータス通知として自動配信されております。

現在、***** 様のANAマイレージクラブ口座に対し、
お客様によるご確認とオンラインでの「反映手続き」が必須となる
データが存在することが確認されました。

――――――――――――――――――――――――――――
［ステータス１］一時保管中（未反映）のマイルデータ

対象サービスのご利用による特典マイルが、現在口座内で
【一時保管中】となっております。実際にご利用いただくためには、
お客様ご自身による「保管解除（口座への反映）」が必要です。

――――――――――――――――――――――――――――
［ステータス２］失効直前（2026年5月31日）のマイル

すでにお持ちの残高内に、当月末【2026年5月31日】をもって
有効期限を迎え、システム上完全に無効となるマイルが含まれております。

------------------------------------------------------------

お客様の大切な資産が失効（キャンセル）となる前に、
大変お手数ではございますが、下記の専用URLよりセキュアページへ
アクセスいただき、マイルの保管解除および明細のご確認をお願いいたします。

▼ マイルの保管解除（口座反映）および失効予定の確認はこちら
hxxps://www.zbikj[.]com/?p4ioY059fqwU
（※フィッシングサイトのため無効化しています）

※お客様のAMC番号（10桁）とWebパスワードにてログインしてください。

――――――――――――――――――――――――――――
◆１マイルから無駄なく活用（ANA SKY コイン）

失効が迫っている少額のマイルも、１マイルから「ANA SKY コイン」へ
交換が可能です。航空券や旅行商品のお支払いに10円単位でご利用いただけます。
ぜひ期限を迎える前に交換手続きをご検討ください。

--------------------------------------------
【セキュリティおよび免責事項】
・本URLはお客様専用の暗号化リンクです。第三者への転送はお控えください。
・すでに口座への反映、またはマイルのご利用が完了している場合は、
　システム反映のタイムラグとなりますため何卒ご容赦ください。
・本メールアドレスは送信専用です。ご返信による対応はいたしかねます。

--------------------------------------------
発行元：全日本空輸株式会社
ANAマイレージクラブ

Copyright (C) ANA・ANA Mileage Club All rights reserved.

※テキスト版ではフィッシングURLが直接表示されます。HTML版ではこのURLがリンクテキストの裏に隠され見えなくなっています。この「見せ方の違い」こそが今回の偽装工作の核心です。

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
Received: from pay.njphxz.com (pay.njphxz.com [35.219.143.233])

実際の発信元IPアドレス：35.219.143.233
このIPアドレスはGoogleのクラウドサービス（Google Cloud Platform）のサーバーです。攻撃者がGoogle Cloudのサーバーを不正利用して詐欺メールを送信しています。

【偽装判定】：
正規のANAからのメールは ana.co.jp ドメインから送信されます。本メールの送信ドメイン pay.njphxz.com はANAとは一切無関係の偽造ドメインです。なお、攻撃者がこのドメインに対してSPF（スパム送信者判定の仕組み）を設定することで認証を通過させており、一部のメールサービスでは「安全なメール」と誤判定される危険があります。

発信元ロケーション解析：
IP: 35.219.143.233 / Google Cloud アジアリージョン（台湾）
Googleマップ：【位置情報を確認する】

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：
テキスト版：hxxps://www.zbikj[.]com/?p4ioY059fqwU
HTML版リンク：hxxps://www.zbikj[.]com/?kOfPdVPYP5TS
※HTMLとテキストでパラメータが異なる。受信者ごとに個別URLを発行し、クリック追跡を行っている可能性があります。

リンクドメイン：zbikj.com（ANAとは無関係の不審ドメイン）

【サイトの状態】：「アクセス拒否 – リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」と表示。セキュリティ機関による通報を受け、現在はアクセスブロック済みと推定されます。

サイトサーバーIP：168.76.253.80

ロケーション：アメリカ合衆国（米国）
Googleマップ：【Googleマップで表示】

※HTMLとテキストでURLパラメータが異なることから、攻撃者は受信者ごとに個別のトラッキングURLを発行して「誰がクリックしたか」を追跡していると考えられます。これは大規模な組織的攻撃の特徴です。

■ 注意点と対処法

URLをクリックしない：リンク先は「ANAマイレージクラブ」そっくりの偽サイトで、AMC番号・Webパスワードを入力させてアカウントを乗っ取ります。
「マイルが失効する」は常套句：期限を設けて焦らせる手口が典型的です。必ず公式アプリまたはブックマーク済みの公式サイトから確認してください。
送信元メールアドレスを確認：「ANAマイレージクラブ」と表示されていても、実際のアドレスが ana.co.jp 以外であれば詐欺メールです。
入力してしまった場合は即座にパスワード変更：AMC番号・Webパスワードを入力してしまった場合は、ANA公式サイトから直ちにパスワードを変更してください。
公式注意喚起の参照：ANA：フィッシング詐欺メールにご注意ください

本レポートの結論

今回のANA詐欺メールは、SPF認証を通過させる偽造ドメインの取得・HTMLとテキストで異なる内容を持たせるセキュリティフィルター回避・受信者ごとの個別トラッキングURLと、複数の高度な技術を組み合わせた組織的な攻撃です。「マイルが失効する」という焦りを利用し、ANAのAMC番号とWebパスワードを狙っています。マイルは現金と同等の資産価値を持ちます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net