【実録】セブン-イレブン「年間上位会員限定・特別感謝ポイント3,600円」を装うフィッシングメール完全解析
■ 実際に届いた詐欺メール(スクリーンショット)
※以下は実際に受信した詐欺メールの画面です。セブン-イレブンのロゴ・デザインを精巧に模倣していますが、すべて偽物です。
⚠️ このメールは公式サイトを装った真っ赤な偽物です ⚠️
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
7-Eleven Prepaid Card Service 年間上位会員様 特別遇定プログラム 〇〇 様 平素よりセブン-イレブンをご愛顧いただき、厚く御礼申し上げます。 セブン-イレブン プリペイドカードサービスでは、年間を通じてのご利用実績に基づき、 特にご利用頻度の高い上位会員様を厳正に選定し、感謝のしるしとして特別ポイントを進 呈しております。このたび、〇〇様が本年度の対象会員に選定されましたことを、謹んでご 案内申し上げます。 ┌──────────────────────────────────┐ 年間上位会員限定:特別感謝ポイント進呈 本プログラムは、全国のプリペイドカード会員の中から、ご利用実績上位の会員様のみを 対象とした完全限定プログラムです。一般告知は一切行われておらず、選定された方にの み直接ご案内しております。 プログラム 2026年度 年間上位会員特別感謝 選定ステータス 選定済 上位会員限定 進呈ポイント 3,600円相当 対象人数 先着500名様限定 └──────────────────────────────────┘ 本プログラムは、日頃のご愛顧に対するセブン-イレブンからの心からの感謝をお伝えする ものです。3,600円相当のポイントは、全国のセブン-イレブン全店舗でのお買い物にご利 用いただけます。受取手続きはとても簡単で、わずか30秒ほどで完了します。 なお、本進呈は先着500名様限定となっており、定員に達し次第、受付を終了いたします。 また、選定された会員様におかれましても、所定の期限までにお手続きいただけない場合、 進呈権利は失効となりますのでご注意ください。 【特別ポイントを受け取る】 (※偽サイトへのリンク・選定会員様専用受取ページ(先着500名様)) ※本プログラムは選定された上位会員様のみを対象としております。第三者への転送はご遠慮ください。 ※進呈は先着500名様限定です。定員到達次第、本ご案内は無効となります。 ※受取期限を経過した場合、選定の権利は自動的に失効いたします。 ※本メールはシステムによる自動配信です。ご返信いただきましてもお答えできません。 ━━━━━━━━━━━━━━━━━━━━━━━━ 株式会社セブン-イレブン・ジャパン プリペイドカードサービス 会員優待室 © Seven-Eleven Japan Co., Ltd. All Rights Reserved.
■ 送信ルート及び偽装判定
※受信ヘッダーにはプライバシーに関わる情報が含まれるため、本記事ではスクリーンショットの掲載を省略し、調査結果のみをお伝えします。
送信元サーバー:auth.evnkj.com
送信元IP:35.212.214.161 [Whois]
ホスティング:Google Cloud Platform(米国)
SPF認証:Pass(攻撃者が自前でDNS設定。「認証通過=本物」ではありません)
DKIM署名:あり(auth.evnkj.comドメインで署名)
Receivedヘッダー解析(メールが通過したサーバーの記録):
① auth.evnkj.com [35.212.214.161]
↓(Google Cloud Platform:攻撃者が悪用)
② 受信者側サーバー(非公表)
↓
③ 受信者側サーバー(非公表)
↓
④ 受信者のメールボックスへ到達
【偽装判定】:
正規のセブン-イレブンからのメールは @sej.co.jp などセブン-イレブン公式ドメインから送信されます。本メールの送信ドメイン evnkj.com はセブン-イレブン・ジャパンとは一切関係のない使い捨てドメインです。
【注目】同日に届いた第一生命偽装メールと同一インフラ:
本メールの送信IP 35.212.214.161 は、同日に大量送信が確認された第一生命偽装メール群(35.212.141〜200帯)と同じGoogle Cloudのサブネットに属しています。複数ブランドを使い分けながら同一インフラから大量送信する「詐欺工場」の仕業であることが強く示唆されます。
発信元ロケーション解析:
IP:35.212.214.161 / ホスティング:Google Cloud Platform(米国)
※ジオロケーション情報は実際の攻撃者の所在地とは異なる場合があります。
【ip-sc.netで調査する】 【Whoisで調査する】
(両サイト共信用置ける調査システムですので安心してリンクへ訪れてください。)
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):
hxxps://www.ytmrobot[.]com/?VcU0rjMGHAnl
リンクドメイン:ytmrobot.com
サイトサーバーIP:104.21.88.142(Cloudflare経由)
クローキング:あり
リンク先へアクセスしようとすると「アクセス拒否:リクエストがブロックされました。ファイアウォールで保護されています」と表示されました。セキュリティ調査ツールには偽サイトを見せず、一般の利用者にだけ表示するクローキング(なりすまし遮断)という悪質な手口です。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。リンク先の状態は調査日以降に変化している場合があります。
■ 注意点と対処法
- 「先着500名・30秒で完了」に焦らない:急かして冷静な判断をさせなくするのが詐欺の常套手段です。まず立ち止まって送信元を確認しましょう。
- 送信元メールアドレスを確認する:本物のセブン-イレブンからのメールは
@sej.co.jpなどの公式ドメインから届きます。それ以外は偽物です。 - URLをクリックしない:リンク先はプリペイドカード情報や個人情報を盗むための偽サイトです。絶対にアクセスしないでください。
- 公式アプリで直接確認:セブン-イレブンのポイントや特典情報は、公式アプリまたはブックマークから直接ログインして確認してください。
- 公式の注意喚起を確認:セブン‐イレブン公式:偽装メール・サイト等にご注意ください
📋 まとめ
「年間上位会員に選ばれた」という特別感と「先着500名・30秒で完了」という焦りを組み合わせた巧妙な詐欺です。送信元はセブン-イレブンとは無関係の使い捨てドメインで、同日に大量送信された第一生命偽装メールと同じGoogle Cloudのサーバーから届いていることも確認されました。セブン-イレブンのプリペイドカードをお使いのご家族・お知り合いに「気をつけて!」のひと言を添えて、この記事のURLをLINEグループで共有してあげてください。
本記事の調査日:2026年6月3日 ※フィッシングサイトの状態・IPジオロケーション情報は調査日以降に変化している場合があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net / セブン‐イレブン 公式注意喚起
