いつも当ブログ「Heartland-Lab(ハートランドラボ)」をご覧いただき、本当にありがとうございます。
頼れる街のIT専門家として、皆様の大切な資産と個人情報を守るための最新解析情報をお届けします。
本日も手抜きなしで、徹底的にその裏側を暴いてまいりますので、どうぞ最後までじっくりとお読みください。
■ 最近のスパム動向について
今回ご紹介するのは、日本航空(JAL)を騙る(かたる:偽ること)非常に巧妙な詐欺メールです。
なお、過去に発生した類似の悪質な事例や、他のブランドを騙る犯罪手口の関連記事につきましては、このページ末尾にございます「データベースアーカイブ」からいつでもまとめてご覧いただけます。
【実録】JMBマイル失効の嘘を徹底分析!偽装されたJAL案内メールの手口を公開
|
⚠️ 専門家からの極めて重要なお願い
このメールは、一見しただけでは開いただけで実質的な金銭被害が発生することはありません。
しかし、画像付きのHTML(画面を綺麗に装飾する仕組み)形式のメールであったり、「開通通知(メールが開かれたことを犯人に知らせる仕組み)」が仕込まれていたりする場合、あなたのメールアドレスが「現在も実際に使われている生きたアドレスである」という情報が、犯人側のサーバーへ自動的に通知されてしまいます。
これにより、今後はさらに大量の詐欺メール送信リスト(犯罪グループ間で売買される名簿)へ入れられてしまう危険性が極めて高いのです。 ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
| 📊 不審メール基本情報 | 危険度評価 | ★★★★☆(4 / 5:極めて危険) | | メール件名 | [spam] 【重要】JMBアカウントご利用状況の確認およびマイル有効期限について | | 件名の「[spam]」について |
件名の先頭に付いている「[spam]」という文字は、受信者が利用しているプロバイダ(インターネット接続業者)の迷惑メール検知システムが、自動的に「このメールは詐欺やスパムの可能性が非常に高い」と判定して付与した警告標識です。これが付いている時点で、公式からのメールではないと断定できます。
| | 送信者表示名 | “JAL マイル資産管理部” | | 送信元アドレス | gwvchw@atvvxicz.services.gbakuh.com | | 受信日時 | 2026年5月29日 11:02:14 (日本時間) | 🖼️ 不審メールの視覚的特徴(検証) 【不審メール本文・全体外観(HTML表示)のスクリーンショット】 
【不審メールのテキスト形式表示スクリーンショット】 
📄 受信メール本文の完全再現(テキストデータ)
犯人の文面や巧妙な罠を記録保存するため、受信したメールのテキスト内容を以下にできる限り正確に、忠実に再現しております。 ========================================
【重要】JMBアカウントご利用状況の確認およびマイル有効期限のご案内 ●● 様 日頃よりJALマイレージバンク(JMB)をご愛顧いただき厚く御礼申し上げます。 JALでは、会員の皆様の個人情報保護およびアカウントの適正な管理のため、定期的なご登録情報の確認と、マイルご利用状況の照会をお願いしております。 現在、●● 様のJMB口座におきまして、
【2026年5月31日】をもって有効期限を迎え、システム上自動的に無効(失効)となるマイルが存在する可能性が確認されております。 お客様の貴重なマイル資産を保護するためにも、
大変お手数ではございますが、下記の専用URLよりログインいただき、現在のご登録情報と最新のマイル残高(失効予定)をご確認ください。 ▼ アカウント状況の確認およびマイル残高照会はこちら
https://www.ucnkj.com/?czPUCRqD8c1X (←ここに詐欺リンクが設置されています) —————————————-
◆ 有効期限間近のマイル活用法
—————————————-
・提携ポイントへの交換(Pontaポイント、WAONなど)
・JALミニマイル特典(2,000マイルから交換可能)
※詳しくはJAL Webサイトにてご確認ください。 —————————————-
【本文に関する注意事項】
・本ご案内はお客様専用のセキュアリンクとなっております。
第三者への転送やSNSへの公開は固くお断りいたします。
・すでにご登録情報の更新、またはマイルをご利用済みの場合は本メールとの行き違いをご容赦ください。
—————————————-
発行元:日本航空株式会社
JMBインフォメーションデスク
jal.co.jp Copyright (C) Japan Airlines. All rights reserved.
========================================
| 🎨 メールデザインと犯人の目的・感想
スクショ画像を確認しますと、HTML表示(1枚目)では「JAL」のブランドロゴが左上に美しく配置され、中央には目を引く真っ赤な「ログインして状況を確認する」という大きなボタンが用意されています。これにより、受信者に「公式からの緊急通知だ」と視覚的に思い込ませる作りになっています。
犯人の目的は、今月末(2026年5月31日)にマイルが全て消滅してしまうという嘘の「緊急性」で受信者を焦らせ、ボタンやリンクをクリックさせて偽のログイン画面に誘導し、お得意様番号やパスワード、クレジットカード情報を盗み出すことにあります。
感想としては、HTML版では無駄な文章を削ってボタンを目立たせる一方、テキスト表示(3枚目)ではわざわざマイルの活用法(PontaポイントやWAONへの交換など)を細かく記載して公式らしさを精巧に演出しており、環境に合わせて見せ方を変える非常に悪質な二段構えの手口であると感じます。
⚙️ メールヘッダー解析(技術的検証)
※注意:受信メールの生ヘッダー(メールの配送ルートが記録された詳細情報)のスクリーンショットには、当事務所の運用する受信用サーバーの内部情報や、固有の契約者番号、受信者個人のメールアドレスといった重要なプライバシー情報が多数含まれているため、セキュリティ保護の観点から画像そのものの掲載は控えさせていただきます。その代わり、抽出した確実なデータのみを安全に加工して公開いたします。
メールヘッダー内から、送信元の安全性を証明する「Received-SPF(送信元偽装を防ぐ認証記録)」と、時系列において最も古い(犯人が最初にメールを送り出した)「Received」の行を抽出して解析を行いました。
なお、表示にあたり、中継されたサーバー情報や、当事務所の受信メールアドレスなどのプライバシー領域はすべて安全にマスク(伏せ字)処理を行っております。
| Received-SPF |
Pass (sender SPF authorized) identity=mailfrom; client-ip=35.219.142.164; helo=services.gbakuh.com; envelope-from=gwvchw@atvvxicz.services.gbakuh.com; receiver=o*a@s*n*e*u*i.j*
| | 最古のReceived |
from services.gbakuh.com (gbakuh.com [35.219.142.164]) by *****01.*******.net (Postfix) with ESMTP id 921032A1197 for <o*a@s*n*e*u*i.j*>; Fri, 29 May 2026 11:02:15 +0900 (JST)
|
【解析結果と偽装判定】
メール本文に記載されている送信者ドメイン(services.gbakuh.com)が持つIPアドレスと、時系列で一番古いReceivedに刻まれた送信元IPアドレス(35.219.142.164)を突き合わせた結果、これらは完全に一致しています。
つまり、「差出人のメールアドレス自体は偽装されておらず、犯人が用意した使い捨ての詐欺用ドメイン(犯罪用に取得したアドレス)から直接送信されている」ということです。公式であるJALの正規ドメイン(@jal.com等)は一切使われていません。
🌐 送信元サーバーの物理位置情報 ※注意:IPアドレスが示す割り当て地やロケーション情報は、ネットワークの経由ルートや契約状況により刻々と変化するため、あくまで強力な参考データ(追跡の手がかり)として捉えてください。 🔗 誘導先詐欺サイトの徹底調査とクローキングの罠
【仕込まれていたURLの解説】
メールテキスト版に直接露出していたリンク、およびHTML版の赤いログインボタンに隠されて配置されていた誘導先URLは、以下の通りです。安全のため一部を伏せ字(*)に処理し、リンク自体を無効化しております。
● 犯人が用意した詐欺URL:https://www.ucnkj.com/?czPUCRqD8c1X (一部伏せ字表記:h*t*p*s*:*/*/*w*w*.*u*c*n*k*j*.*c*o*m*/*?*c*z*P*U*C*R*q*D*8*c*1*X*) このURLを調査したところ、日本航空(JAL)の正しいドメイン「jal.co.jp」とは何の関係も接点もない、全く無関係の不審な海外ドメインであることが一目で判断できます。
【セキュリティ警告スクリーンショットの技術解説】 
今回、このリンク先へ接続を試みた際に表示された「アクセス拒否 リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」という画面は、極めて高度な悪意ある技術である「クローキング(Cloaking:相手によって表示する画面を騙し分ける不当な手法)」が行われた結果です。
クローキングとは、アクセスしてきた相手が「一般の被害者(スマホや一般PC)」であるか、あるいは「セキュリティ調査会社の解析ロボットやGoogleの検閲システム」であるかを犯人のサーバー側が瞬時に識別し、調査目的のアクセスに対しては上記のような偽の『アクセス拒否画面(またはエラー画面)』を見せて引き返させ、一般の被害者がアクセスした時だけ綺麗に作り込まれた『本物そっくりの偽ログイン画面』を表示して情報を盗み出すという、極めて卑劣で狡猾な隠蔽工作(いんぺいこうさく)のことです。つまり、「調査の目を完全に欺く(あざむく)ために仕組まれた防壁である」ということです。
🖥️ リンク先サイトの現在の状態とサーバー所在 | 項目 | 解析データ内容 | | リンク先ドメイン | www.ucnkj.com | | サイトドメインIP | 156.236.78.43 | | サーバー所在地 | 中華人民共和国(香港特別行政区 ネットワーク内) | | 位置データ(経緯度) | 緯度:22.3964 / 経度:114.1095
👉 Googleマップで位置を確認する | | 詳細ロケーション情報 | https://ip-sc.net/ja/r/156.236.78.43 | | サイトの危険ポイント |
JALの公式管理ではない正体不明のアジア圏サーバーに設置されており、上述の通りクローキング(相手を識別して騙し分ける仕組み)を導入して意図的に身を隠している点が、一発で不正な犯罪サイトであると断定できる決定的なポイントです。
| | 現在の稼働状況 | 稼働中(クローキング潜伏状態:一般アクセスのみ偽ログイン画面へ誘導) | ※注意:IPアドレスから割り出される地理的位置情報は、犯罪グループによるサーバーの移転やルーティング変更により変化するため、現時点での有力な追跡データとしてご利用ください。 🚨 今後の注意点と正しい対処方法 | 危険度再評価 | ★★★★☆(4 / 5:技術的に極めて巧妙) | | 具体的な対処法 |
1. メールは即座に完全削除する: 文面の「マイルが失効する」という言葉は100%嘘ですので、一切相手にする必要はありません。
2. 公式の正規ルートから確認する: ご自身のマイル残高や会員状況がどうしても気になる場合は、メール内のリンクは絶対に触らず、スマートフォンの公式アプリ、または検索エンジン(Google等)で「JAL」と手入力で検索して出てくる、公式ブックマークからログインして確認を行ってください。
3. 情報を入力してしまった場合: 万が一、お得意様番号やパスワードを入力してしまった場合は、即座にJALの公式窓口(JMB事務局)へ連絡し、パスワードの変更とアカウントの一時利用停止の手続きを行ってください。
|
▼ 日本航空(JAL)による公式の不審メール・フィッシング注意喚起ページは下記となります。常に最新の情報をご確認ください。
JAL公式:JALグループを装った不審メール・不審電話・偽サイトにご注意ください
🏁 まとめ
今回の詐欺メールは、月末という期限を切って私たちの焦りを誘う、典型的なフィッシング(情報を盗み出す詐欺)の手口でした。
さらに、クローキングという調査の手から逃れるための悪質な偽装技術まで組み込まれており、その手口は日々高度化しています。
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
🗄️ データベースアーカイブ(関連記事)
関連する過去の解析事例はこちらから検索できます。
📌 同じ手口の関連記事:【実録】ANA(全日本空輸)を騙る詐欺メールも確認されています→こちら
最後までお読みいただき、本当にありがとうございました。
皆様がインターネットを安全に、そのまま安心して使いこなせるよう、これからも Heartland-Lab は全力で高度なサイバー解析を続け、街のIT専門家として役立つ情報を発信してまいります。どうぞ次回の解析レポートもお楽しみに。
| 
