【実録・閲覧注意】「ANA国際線特典航空券の空席」は詐欺!SPF+DKIM両方Pass・専用偽装インフラを使ったフィッシングメールの手口を徹底解説
🔴 緊急度:高
⚠️ このメールは真っ赤な偽物です ⚠️
「ANAマイレージクラブ」と名乗っていますが、ANAとは無関係の詐欺師が専用の偽装インフラを用意して送りつけたフィッシングメールです。
▼ 実際に届いた詐欺メール(スクリーンショット)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
ANA ANAマイレージクラブ ota 様 いつもANAマイレージクラブをご利用いただき、誠にありがとうございます。 このたび、お客様の現在のマイル残高にて国際線特典航空券との交換が可能な空席が検出されましたので、優先的にお知らせいたします。 現在検出されている空席枠(例) 本情報はお客様のマイル残高および過去のご利用傾向に基づき抽出された参考情報です。実際の空席状況はリアルタイムで変動いたします。 東京(羽田)→ バンコク エコノミー 17,000マイル〜 残りわずか 東京(成田)→ ホノルル エコノミー 20,000マイル〜 空席あり 東京(羽田)→ シンガポール ビジネス 35,000マイル〜 残りわずか 空席は先着順となります 特典航空券の空席はリアルタイムで変動し、一度埋まりますと次回の開放時期は未定です。お早めに空席状況をご確認いただき、ご希望の日程・路線がございましたらお早めのご予約をおすすめいたします。 特典航空券の空席を確認する ※リンクを無効化しています ログイン後、空席カレンダーが即時表示されます ご確認にあたって ・表示される空席は確認時点のものであり、予約完了を保証するものではございません。 ・特典航空券の必要マイル数は、シーズンおよび路線により変動いたします。 ・本メールはマイル残高が特典交換基準を満たす会員様へ自動配信しております。 全日本空輸株式会社 ANAマイレージクラブ © ANA Mileage Club. All rights reserved.
このメールの心理的誘導の巧みさを解説します。
まず「残りわずか」「先着順」「次回開放時期は未定」というキーワードの連打です。これは「今すぐ行動しないと損をする」という焦りを引き起こす典型的な詐欺手法(希少性・緊急性の演出)です。
次にバンコク・ホノルル・シンガポールという実在の人気路線と具体的なマイル数を記載することで、リアリティを大幅に高めています。ANAマイレージクラブ会員なら「自分のマイルで行けるかも」と思わせる巧みな内容です。
さらに「本情報はお客様のマイル残高および過去のご利用傾向に基づき…」という一文で、あたかも個人に向けてパーソナライズされた情報であるかのように見せかけています。「会員様へ自動配信」という定型文もANA公式メールそっくりに作られています。
■ 送信ルート及び偽装判定
🔍 Receivedヘッダー解析(メールの通過証跡):
Receivedヘッダーとは、メールが通過したサーバーが自動的に記録する「配達証明書」のようなものです。一番古いヘッダーを見ることで、メールがどこから旅を始めたかがわかります。
Received: from secure.rebkj.com [35.215.92.47]
→ 最終受信ホップ:受信者側サーバー(非公表)
【偽装判定】:SPF+DKIM二重Pass という最高レベルの偽装
今回の詐欺メールには、これまでの事例と比べても際立った特徴があります。SPF認証とDKIM認証の両方がPassしているという点です。
SPF認証とは「このIPアドレスからの送信を許可する」とドメインオーナーが宣言する仕組みです。DKIM認証とは、メールの内容が改ざんされていないことを電子署名で証明する仕組みです。この二つが揃うと、受信側のメールサーバーは「本物の送信者から届いた、改ざんのないメール」と高い信頼性で評価します。
詐欺師は secure.rebkj.com という「secure(安全)」という言葉をわざと含む専用ドメインを取得し、そのドメインのSPFレコードとDKIM秘密鍵を自分で設定しました。つまりANAのサーバーを乗っ取ったのではなく、詐欺師自身が「正規に見えるメール送信インフラ」をゼロから構築したということです。これは非常に計画的かつ悪質な手口です。
📍 送信元IPアドレス:35.215.92.47
※IPジオロケーション(IPアドレスからの位置情報推定)は調査時点のものです。IPアドレスの割り当て状況は日々変化するため、現在の所在地と異なる場合があります。
▼ 偽サイトへのアクセス結果(ファイアウォールによるブロック)
調査時点では偽サイトへのアクセスは「アクセス拒否:リクエストがブロックされました」と表示され、ファイアウォールによって既にブロックされていました。しかしフィッシングサイトは短期間で別のURLに移転・再開することが多いため、引き続き警戒が必要です。
■ フィッシングサイト詳細解析
誘導先URL(無効化・伏せ字):
hxxps://www.morbtcz[.]com/?1Ud3ftaFJCcJ
偽装ドメインの解説:
morbtcz.com はANAとは全く無関係のランダムな文字列ドメインです。URLパラメータ(?1Ud3ftaFJCcJ)はリンクをクリックした個人を識別するためのトラッキングIDとみられます。つまり誰がリンクを踏んだかを詐欺師側で把握できる仕組みになっています。
フィッシングサイトIP:104.21.31.190(Cloudflare CDN)
※IPジオロケーション(IPアドレスからの位置情報推定)は調査時点のものです。Cloudflareはグローバルにサーバーを分散しているため、現在の所在地と異なる場合があります。
詳細情報:ip-sc.net で 104.21.31.190 を調査する
【サイトの状態】:
- 調査時点では「アクセス拒否:ファイアウォールでブロック」と表示
- Cloudflare CDNを利用(IPアドレスによる特定・停止が困難)
- URLのトラッキングパラメータで個人のクリックを追跡する仕組みあり
- 同様のドメインが別URLで再開する可能性があるため引き続き注意が必要
■ 注意点と対処法
- SPF・DKIM Passでも安全とは限らない:今回のようにメール認証を両方通過していても詐欺メールである場合があります。送信元ドメインがANAの公式ドメイン(
@ana.co.jp)かどうか必ず確認してください。 - 「残りわずか」「先着順」で急かすメールは疑う:希少性や緊急性を強調して素早い行動を促すのは詐欺の常套手段です。焦らず公式サイトで確認しましょう。
- URLリンクはクリックしない:ANAマイレージクラブへのアクセスは、必ず公式アプリまたはブラウザのブックマークから行ってください。
- トラッキングパラメータに注意:URLの末尾に
?英数字の形式でパラメータが付いている場合、あなたの情報が詐欺師に渡る可能性があります。 - 情報を入力してしまった場合は即行動:万が一お客様番号・パスワード・クレジットカード情報を入力してしまった場合は、すぐにANAカードサービスセンターへ連絡し、パスワード変更・カード停止を行ってください。
📞 ANAマイレージクラブ:0570-029-222(9:00〜17:00) - ANA公式の注意喚起を確認:
ANAグループを装った詐欺メール・詐欺電話等にご注意ください(公式)
ANAを装った詐欺メールにご注意ください(公式)
📋 本レポートの結論
今回の詐欺メールは、詐欺師が専用の偽装ドメインを取得してSPF・DKIM認証を両方Passさせ、バンコク・ホノルル・シンガポールという人気路線の「残りわずか」情報でANAマイレージクラブ会員を誘導するという、極めて高度なフィッシングです。
メールの認証マークが「合格」であっても、送信元ドメインが公式(@ana.co.jp)でなければ偽物です。ANAへのアクセスは常に公式アプリまたはブックマークから行う習慣をつけましょう。
大切な家族・友人が騙されてからでは手遅れです。この記事のURLをコピーして、ぜひ家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年06月04日
免責事項:本記事に掲載しているIPアドレス・ロケーション情報は調査時点のものです。フィッシングサイトのサーバーは短期間で変更・廃棄されるため、現状と異なる場合があります。本情報は注意喚起を目的としており、特定の個人・団体を誹謗中傷するものではありません。
Data Provided by Heartland-Lab Security Research Unit
