【調査レポート】「個人情報保護方針に基づく再認証」えきねっと偽メール——SPF・DKIM両方Passの最高難度偽装と中国系インフラを暴く

2026年6月7日

🔴 緊急度：高

【実録】「個人情報保護方針に基づく再認証」を装うえきねっと偽メールの正体：SPF・DKIM両方Passという最高レベルの偽装と中国系インフラを暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

JR東日本のチケット予約サービス「えきねっと」を装い、「個人情報保護方針に基づく再認証」を求めるフィッシング詐欺メールが大量送信されています。本メールはSPF・DKIM認証を両方通過するという高度な偽装が施されており、多くのセキュリティシステムが「正規メール」と誤判定しかねない危険なタイプです。誘導先は中国系インフラをCloudflare CDNで隠蔽した偽のえきねっとログイン画面です。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)
偽装工作精度	★★★★★ (5/5)　SPF・DKIM両方Pass
サーバー隠蔽	★★★★★ (5/5)　Cloudflare CDN＋Alibaba Cloud

■ メールヘッダー解析（送信者情報）

件名：[spam]【えきねっと】個人情報保護方針に基づく再認証のお願い

送信者表示名："JR東日本"

送信元アドレス：noreply@z1x3c5v7.zh-main-caikewang.com

送信元ドメインIP：161.33.152.158（zh-main-caikewang.com）

受信日時：2026年6月6日（土）20:10

SPF認証：Pass（送信者認証を通過——要注意）

DKIM認証：Pass（rsa-sha256 / relaxed——さらに要注意）

中継：KDDI栃木系サーバー（w53839-tochigi451.tochigi.kddi.ne.jp）経由

このメールはえきねっと（JR東日本）とは無関係の、真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループで共有してください。

1. 届いた詐欺メールの内容
2. 送信ルート及び偽装判定
3. フィッシングサイト解析：Cloudflare隠蔽の裏にAlibaba Cloud
4. 注意点と対処法

届いた詐欺メールの内容

実際に届いたメールがこちらです。えきねっとのロゴ・デザインを忠実に模倣しており、一見すると本物と見分けがつきません。

▼ メール本文スクリーンショット

※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。記載のリンクには絶対にアクセスしないでください。

差出人：“JR東日本” <noreply@z1x3c5v7.zh-main-caikewang.com>

件名：【えきねっと】個人情報保護方針に基づく再認証のお願い

【会員情報管理】本人確認情報の確認・更新について

平素はえきねっとサービスをご利用いただき、誠にありがとうございます。

当社では会員様の情報セキュリティを万全に保つため、定期的にシステムの点検・強化を実施しております。
2026-06-06 20:10:37頃のシステム点検において、一部の会員様のアカウント認証情報に不備が確認されました。

アカウントの正常なご利用を確保するため、会員情報の確認・補完をお願いいたします。
期日までに手続きを完了されない場合、えきねっとの一部サービス利用が制限される場合がございます。

■情報確認・補完の手続き方法

1. 以下のボタンよりえきねっと公式サイトにアクセスしてください

えきねっと公式サイトへ（※このボタンは詐欺サイトへのリンクです。絶対にクリックしないでください）

3. トップページより「会員ログイン」を実施してください
4. 「マイページ」→「会員情報管理」より本人確認情報の確認・補完を行ってください
5. 情報に変更がある場合は最新の内容に修正し、「保存」をクリックしてください

手続き期限：2026-06-06（当日中）

なお、今回のシステム点検に伴う情報不備は、外部からの不正アクセスによるものではございません。
会員様の個人情報漏洩のリスクは極めて低い状況であるため、ご安心ください。

※本メールは配信専用アドレスより送信しております。返信いただいても対応できませんのでご了承ください。
※えきねっとの最新情報は公式サイトにて随時掲載しております。

えきねっと運営：ジェイアール東日本旅客鉄道株式会社
本社：東京都千代田区丸の内1丁目5番2号
コールセンター：0570-000-888（平日 7:00〜23:00、休日 8:00〜22:00）
Copyright (c) 2026 East Japan Railway Company. All Rights Reserved.
許可なく転載することを禁じます。

本文は非常に丁寧な日本語で書かれており、JR東日本の住所・コールセンター番号・著作権表記まで実在の情報を流用しています。しかしスクリーンショットをよく見ると、メール冒頭に不審な文字列が混入していることに気づきます。

🔍 攻撃者のミス発見：メール冒頭に ??rder="0" style="display: block; max-width: 160px; width: 100%; height: auto;"> というHTMLタグの残骸が丸見えになっています。えきねっとロゴを表示するための画像タグを組み込もうとして、コーディングに失敗した跡です。本物のJR東日本がこのような凡ミスをするはずがありません。

送信ルート及び偽装判定

■ Receivedヘッダー解析（サーバー通過証明）

Received: from z1x3c5v7.zh-main-caikewang.com (unknown [161.33.152.158])
 Received-SPF: Pass (sender SPF authorized)
 client-ip=161.33.152.158;
 helo=z1x3c5v7.zh-main-caikewang.com;
 envelope-from=noreply@z1x3c5v7.zh-main-caikewang.com
 DKIM-Signature: v=1; a=rsa-sha256; c=relaxed/relaxed;
 d=z1x3c5v7.zh-main-caikewang.com; s=s1;

【偽装判定】
正規のえきねっとからのメールは @eki-net.com ドメインから送信されます。本メールの送信元 noreply@z1x3c5v7.zh-main-caikewang.com はえきねっととは一切無関係のドメインです。

注目すべきはSPF・DKIMが両方Passしている点です。これは攻撃者が偽ドメイン（zh-main-caikewang.com）のDNS設定を正しく構成し、そのドメイン宛の認証を意図的に通過させているためです。つまり「このドメインとしては正規メール」ということであり、JR東日本を騙っていること自体が偽装です。多くのスパムフィルターを突破してしまう危険なタイプです。

送信元サーバー（161.33.152.158）：
zh-main-caikewang.com に関連するサーバーと判定されます。
【参考：日本国内中継点の位置情報】

※ロケーション情報はIPアドレスに基づく推定であり、調査時点のものです。実際の攻撃者の所在地と異なる場合があります。

インフラ命名規則：
今回確認されたドメイン群はすべて zh- プレフィックスで統一されており（zh-main-caikewang.com / zh-news-wdgames.com / zh-data-ng28gaming.com）、同一攻撃者による組織的な運営インフラと判定されます。

フィッシングサイト解析：Cloudflare隠蔽の裏にAlibaba Cloud

「えきねっと公式サイトへ」ボタンをクリックすると、まず独自のローディング画面（「安全な接続を確認しています」）が表示されます。

▼ ローディング画面（第1段階）

このフィッシングサイトはデバイスを判別してページを出し分ける「クローキング」を採用しています。スマートフォンからアクセスした場合は精巧な偽えきねっとログイン画面が表示され、ユーザーIDとパスワードを入力させて認証情報を詐取します。

▼ 偽えきねっとログイン画面（スマートフォンからアクセスした場合）

一方、PCからアクセスした場合は「zh-data-ng28gaming.com から無効な応答が送信されました」というエラーページが返されます。セキュリティ研究者やボットによるPC経由の調査を妨害しつつ、スマートフォンユーザーだけを騙すよう設計された巧妙な仕掛けです。このエラー表示が、普段はCloudflareの陰に隠れているはずの実サーバードメイン（zh-data-ng28gaming.com）を図らずも露出させました。

▼ 実サーバーエラー画面（PCからアクセスした際に zh-data-ng28gaming.com が顔を出した瞬間）

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：
hxxps://eki-net.zh-news-wdgames[.]com/?ts=1780778646&sig=740f484f...（一部伏字）

表面ドメイン：eki-net.zh-news-wdgames.com（「eki-net」をサブドメインに仕込んだ偽装）
表面IP：172.67.135.197（Cloudflare CDN——本サーバーを隠蔽）

実サーバードメイン：zh-data-ng28gaming.com（エラー時に露出）
実サーバーIP：8.219.158.222（Alibaba Cloud——中国系クラウドインフラ）
【Alibaba Cloud北京リージョン周辺をGoogleマップで表示】

【サイトの仕掛け：デバイス判別クローキング】
アクセス端末を判別してページを出し分ける「クローキング」を実装しています。スマートフォンからのアクセスには偽えきねっとログイン画面を表示してID・パスワードを詐取、PCからのアクセスにはエラーページを返してセキュリティ研究者の調査を妨害します。このPC向けエラー表示が図らずも実サーバードメイン（zh-data-ng28gaming.com）を露出させました。

※ロケーション情報はIPアドレスに基づく推定であり、調査時点のものです。Cloudflare CDN経由のため通常は実サーバー所在地は不明です。

注意点と対処法

■ このメールを受け取ったら

リンクは絶対にクリックしない：「えきねっと公式サイトへ」ボタンは偽サイトへの入口です。
送信元アドレスを確認する：正規のえきねっとメールのドメインは @eki-net.com のみです。それ以外は全て偽物です。
公式サイトへは直接アクセス：えきねっとへのアクセスは必ずブックマークまたはブラウザで https://www.eki-net.com と直接入力してください。
「当日中」という期限に焦らない：正規のえきねっとが当日限りの期限でアカウント認証を求めることはありません。
情報を入力してしまった場合：すぐにえきねっとのパスワードを変更し、同じパスワードを使い回しているサービスも全て変更してください。

えきねっと公式の参考情報：
・えきねっとをかたる偽メール・偽サイトにご注意ください（えきねっと公式）

本レポートの結論

今回のフィッシングメールはSPF・DKIM認証を両方通過させる最高レベルの偽装を施しつつ、Cloudflare CDNで実サーバー（Alibaba Cloud）を隠蔽した組織的な詐欺です。「zh-」で始まる統一インフラで大量送信されており、えきねっとユーザーを標的に一日だけで15通以上が確認されています。新幹線や特急チケットを日常的に利用する方にとって、えきねっとのアカウント停止は死活問題です。その焦りを利用した巧妙な手口です。

身近な家族や友人が今まさに同じメールを受け取っているかもしれません。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

📲 LINEで家族に共有する

■ 関連記事

えきねっと・JR東日本をかたる詐欺メールの関連記事はこちらの検索結果からご覧いただけます。

調査日：2026年6月7日／ Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元：ip-sc.net