【実録】セブン-イレブンを騙る「ご利用還元キャンペーン」の裏側を徹底解析!HTMLとテキストの二面性を暴く 2026年5月29日
HL-META: date=2026-05-29 | brand=セブン-イレブン | sender_geo=US | site_geo=CN | spf=pass | dkim=pass | cloaking=yes
皆さま、こんにちは。頼れる街のIT専門家が、今日も最新のサイバーセキュリティ事情を分かりやすくお伝えします。
今回ご紹介するのは、私たちの生活に深く根ざしている「セブン-イレブン」を騙(かた)る、非常に悪質な詐欺(フィッシング)メールです。同じ内容のメールであるにもかかわらず、見る環境によって文章やURLの形がガラリと変わるという、極めてずる賢い手口が使われています。
このような罠(トラップ)は、メールを開いただけでただちに金銭的な被害に直面するわけではありません。しかし、画像付きのメールを開封したり、リンクをタップしたりすることで、「このアドレスは現在使われている生きたアドレスだ」という通知(生体通知)が犯行グループに届いてしまう恐れがあります。そうなると、今後さらに大量の詐欺メール送信リスト(カモリスト)に登録され、しつこく狙われることになりかねません。
大切なご家族やご友人をトラブルから守るためにも、ぜひこの解析結果を最後までお読みいただき、危険な手口を共有してあげてくださいね。なお、関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。
【実録】セブン-イレブンを騙る「ご利用還元」の罠を徹底分析!HTMLとテキストで裏の顔を使い分ける最新詐欺メールの手口を公開
緊急性 ★★★★☆(4 / 5段階中) 件名 [spam] 【セブン-イレブン】ご利用還元キャンペーン:シークレットギフト進呈額のご確認 ※件名の先頭にある「[spam]」という表記は、受信サーバーが「これは迷惑メール(詐欺メール)の可能性が非常に高い」と自動で判定して付与した警告ラベルです。これがある場合は絶対に中身を信用してはいけません。
送信者名 “セブン-イレブン デジタル窓口” <zyswas@cmyqhxfa.order.jsffjx.com> 受信日時 2026年5月29日 10:51:04
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
【メール画面スクリーンショット(HTML表示版)】
※以下は犯行グループから届いた実際のメール本文を、安全のためにリンクを無効化した上で忠実に再現したものです。
7-Eleven
ご利用還元キャンペーン
■■■■ 様
いつもセブン-イレブンをご利用いただき、誠にありがとうございます。シークレットギフト進呈のご案内
日頃のご利用に対する感謝を込めて実施いたしました「ご利用還元キャンペーン」の集計が完了いたしました。厳正なる算出の結果、tamada 様のアカウント宛に全国の店舗で使えるデジタルギフト(お買い物券)が進呈されております。
? 確定額面は開いてからのお楽しみ?
今回進呈されたギフトの「確定額面(ご利用可能金額)」は、お客様ご自身で専用ページを開くまでシークレットとなっております。
▼ 進呈額を確認し、ギフトを受け取る ▼シークレットギフトの額面を確認する スマートフォンにて結果をご表示ください
期限を過ぎますと、システム上いかなる理由につきましてもギフトの再発行およびご利用はできませんのでご注意ください。 本デジタルギフトは日本国内のセブン-イレブン全店にてご利用いただけます(一部対象外商品あり)。 上記のURLはお客様個人の専用リンクです。第三者への譲渡や転送は固くお断りいたします。 株式会社セブン-イレブン・ジャパン
© Seven-Eleven Japan Co., Ltd. All Rights Reserved.
【メール画面スクリーンショット(テキスト表示版)】
2枚のスクショを見比べると、その悪質さに驚かされます。1枚目の「HTML表示」では、企業のロゴ風の配置を真似て、青い文字で綺麗にデザインされたテキストリンクが配置されています。宛名部分には、被害者のメールアドレスから機械的に抽出したとみられる「***** 様」という名前が差し込まれており、いかにも個人宛てに届いた公式の通知であるかのように演出されています。
しかし、2枚目の「テキスト表示」に切り替えると、その化けの皮が剥がれます。そこには、星マーク(★☆)で囲まれた無骨なレイアウトと、怪しい海外ドメインの生URL(インターネット上の住所)が剥き出しになって現れるのです。
これは「マルチパート(HTMLとテキストを1通のメールに同時に格納する仕組み)」を悪用した、巧妙な**「二枚舌(スプリット)戦術」**です。セキュリティフィルターの自動チェックを混乱させてスパム判定を潜り抜けるとともに、ユーザーがどのような画面で開いても確実に罠へ誘導できるよう、2通りの文章を別々に仕込んでいるのです。
つまり、**「相手の閲覧環境や防御網に合わせて、見せる顔を巧妙に変えるハイブリッド型の騙し技」**ということです。
送信者名とメールアドレスの徹底解析 メールの送信元として表示されているアドレスドメインの正体を突き止めるため、技術的な接続情報を解析しました。
表示送信者名 セブン-イレブン デジタル窓口 送信元メールアドレス zyswas@cmyqhxfa.order.jsffjx.com アドレスドメインのIP 35.219.145.108 (米国のGoogle Cloudサーバーを経由して送信されています)
公式であるかのような「デジタル窓口」を名乗っていますが、ドメインの末尾が「.com」となっており、本来の公式ドメイン(sej.co.jp)とは似ても似つかない、犯行グループが用意した使い捨ての文字列です。
メールヘッダー(経路情報)の解析 ※受信者側のプライバシーや個別サーバー情報(ホスト名など)の流出を防ぐため、実際のヘッダー情報のスクリーンショット掲載は差し控えさせていただきます。代わりに、最も重要な足跡(認証と最初の経由地)のみを厳選して抽出・解説します。
Received-SPF Pass (sender SPF authorized) identity=mailfrom; client-ip=35.219.145.108; helo=order.jsffjx.com; envelope-from=zyswas@cmyqhxfa.order.jsffjx.com; receiver=■■■■@■■■■.jp 最古のReceived from order.jsffjx.com (jsffjx.com [35.219.145.108]) by ■■■■.■■■■.net (Postfix) with ESMTP id BF4F94245DAD for <■■■■@■■■■.jp>; Fri, 29 May 2026 10:51:04 +0900 (JST)
【メアドIPとReceivedのIP比較による偽装判定】 ※IPアドレスから割り出される位置情報は、サーバーの契約状況やネットワークの変更により刻々と変化するため、あくまで解析時点の参考値となります。
ここでの最大の盲点は、メールの送信ドメイン認証(SPF)が「Pass 」になっている点です。これは「セブン-イレブン公式から送られた」証明ではなく、**「攻撃者が自前で用意した詐欺用ドメイン(jsffjx.com)の認証設定を正しく完了させて、エラーが出ないように綺麗に配送してきた」**ということを意味します。セキュアな仕組みを逆手に取る、近年の非常に小賢しい手法です。
つまり、**「身元を隠すためにアメリカのクラウドを使い、認証エラーを回避する手続きまで完璧にこなした計算済みの偽装メールである」**ということです。
仕込まれた誘導リンクと詐欺サイトの正体 メール本文に隠されていた、クリックを誘うリンク先のURLについての調査結果です。
誘導リンク箇所 HTML版:「シークレットギフトの額面を確認する スマートフォンにて結果をご表示ください」の文字列部分 テキスト版:「▼ ギフトの額面を確認し、バーコードを受け取る」の下部URL
実際のURL ttps://www.auokj.com/?HpZ08tLzZScn (※安全のため先頭のhを抜き、一部を伏せ字表記にしています)
【詐欺サイトへのアクセス試行時に表示されたエラー画面】
このリンクを調査したところ、画面には「アクセス拒否 リクエストがブロックされました。後ほどお試しください。」という真っ白なファイアウォールのエラーページが表示されました。一見すると「サイトがすでに閉鎖された」ように思えますが、実はこれこそが今回の詐欺グループの最大の罠、**「クローキング(Cloaking:覆い隠し)」**という隠蔽技術です。
クローキングとは、アクセスしてきた相手の端末情報(パソコンか、スマートフォンか)やIPアドレスを瞬時に見分け、**「セキュリティ会社の調査用パソコンには偽のエラー画面を見せ、一般のスマートフォンからのアクセスだけを本物のフィッシング詐欺ページ(個人情報やカード情報を盗み取る画面)へ転送する」**という裏工作です。メール本文に「スマートフォンにて結果をご表示ください」と念押しされていたのは、パソコンで開かれるとこのクローキングが作動してしまい、カモを釣ることができないからなのです。
つまり、**「調査の手をすり抜けるために、相手の端末を見て騙すかどうかを自動で選別している」**ということです。
【リンク先詐欺サイトの稼働状況と詳細データ】 項目 解析データ リンクドメイン www.auokj.com ドメインIPアドレス 104.21.43.149 ロケーション(位置情報) 中国(CloudflareのCDNネットワークに隠蔽されています) [ip-sc.netで確認]
マップ情報:緯度 34.773 / 経度 113.722
Googleマップで位置を表示
危険と判断できるポイント ・セブン-イレブンとは一切無関係な海外のドメイン サイトの稼働状況 稼働中(スマホからのアクセスを狙って待ち伏せしている状態)
※IPアドレスからのロケーションは刻々と変化するため参考値となります。また、ドメイン情報の詳細は「awebanalysis.com」や「whois.domaintools.com」等の解析ツールでも裏付けを取っています。
このメールの注意点と今後の対処方法 もしこのようなメールが届いてしまった場合、被害に遭わないための具体的な行動指針です。
絶対にリンクをタップしない: 公式アプリや検索から確認する: 公式の注意喚起も確認する: https://www.sej.co.jp/company/important_camouflage.html
まとめ 今回のセブン-イレブンを名乗る詐欺メールは、HTMLとテキストによる見え方の出し分けや、クローキングによる調査妨害など、裏側の仕組みが非常に狡猾に作り込まれていました。ネットの知識が少しある人でも、「パソコンで開いたらエラーが出たから安全なサイトだったんだ」と勘違いしてしまいかねない恐ろしい仕掛けです。
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてくださいね。
関連する過去の解析事例はこちら から検索できます。
📌 同じ手口の関連記事:【実録】ローソンを騙る詐欺メールも確認されています→こちら
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る ② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る 
