【実録・同一犯確定】「イオン銀行セキュリティ再認証」は詐欺!三井住友カード偽メールと同一サーバーが運営する偽ログインはなぜかイオンカード画面だった
🔴 緊急度:高
▲ 届いた詐欺メール。イオン銀行のデザインを精巧に模倣しているが、送信者名は「AEON」と表示されている
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
詐欺メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。
件名:【イオン銀行】セキュリティシステム更新に伴う再認証の手続き イオン銀行 AEON Bank 【重要】セキュリティ認証 再確認のお願い 平素よりイオン銀行をご利用いただき、誠にありがとうございます。 お客様の口座ならびにインターネットバンキングにご登録いただいております「セキュリティ認証(本人認証サービス・3Dセキュア)」の有効期限が切れているか、または再登録が必要な状態となっております。 セキュリティ強化のため、再認証手続きを弊行システムにてご依頼しております。 ※再認証が完了しない場合、一部のインターネット決済(イオン銀行デビット/オンライン振込等)がご利用いただけなくなる可能性がございます。 ───────────────────────────── 要対応期限 2026-06-15(当日中) 対応内容 3Dセキュア認証(本人認証サービス)の再登録・ワンタイム認証手続き 対象サービス イオンカード全般(Visa / Mastercard / JCB) ───────────────────────────── ご対応手順(至急お願いいたします) 1. 下記「セキュリティ認証ページ」ボタンよりイオン銀行公式サイトへアクセス 2. イオン銀行インターネットバンキングにログイン後、「セキュリティ設定」または「本人認証サービス(3Dセキュア)」を選択 3. 画面の案内に従い、再認証(ワンタイムパスワード/生体認証)を完了 誠にお手数をおかけしますが、期限内に手続きを完了いただけますようお願い申し上げます。 (セキュリティ保護のため、公式アプリまたはブックマークからのアクセスを推奨) 【セキュリティ認証ページ】←(※フィッシングリンク・クリック禁止) ──────────────────────────────────── イオン銀行 コールセンター(本人認証窓口) ご利用時間:平日 9:00〜18:00(土日祝日も営業 / 年末年始除く) お問い合わせフリーダイヤル:0120-951-234(国内通話無料) ※IP電話などでつながらない場合:045-377-1234 インターネットバンキング紛失・盗難専用:0120-987-567(24時間受付) 〒100-0005 東京都千代田区丸の内一丁目1番2号 イオン銀行本社 © イオン銀行(AEON Bank)All Rights Reserved.
⚠️ ここが怪しい!スタッフが気づいた偽物のサイン
- 送信元が
noreply@l2z4x6c8.asjypxjd.com——乱数文字列のサブドメインを持つ、イオン銀行とは全く無関係のドメイン - 送信者名が「AEON」——「イオン銀行」を騙るなら「AEON Bank」や「イオン銀行」と表示すべきところ、「AEON」とだけ表示されている
- 要対応期限が「当日中(2026-06-15)」——時間的プレッシャーで冷静な判断を奪う常套手段
- 「対象サービス:イオンカード全般(Visa / Mastercard / JCB)」——イオン銀行のデビットカードを騙りながら、対象は「イオンカード」と別サービスを記載するという矛盾
- 本文に「弊行(へいこう)」という銀行らしい表現を使いながら、偽ログイン画面は銀行ではなくカード会社のサービスが表示される
攻撃者の凡ミス:「イオン銀行」を騙りながら偽ログインは「イオンカード」
■ 銀行とカード会社の混同という致命的ミス
今回の詐欺メールには、攻撃者が犯した明白なミスがあります。
| 項目 | 詐欺メールの内容 | 実態 |
| 詐称ブランド | イオン銀行(AEON Bank) | 銀行サービス |
| 偽ログイン画面 | AEON CARD(イオンカード) | 別会社のカードサービス |
| メールデザイン | イオン銀行カラー(緑系) | — |
| 偽ログイン画面の色 | イオンカードカラー(ピンク系) | メールとデザインが別物 |
イオン銀行とイオンカードは同じイオングループのサービスですが、別々の会社が運営する別々のサービスです。攻撃者はこの違いを理解しないまま、テンプレートを使い回してブランドを差し替えた結果、銀行の偽メールを送りながらカード会社の偽ログイン画面に誘導するという珍妙な構成になってしまいました。
▲ 偽ログイン画面。イオン銀行を騙るメールを送っておきながら、誘導先はイオンカード(AEON CARD)のAEON Pay IDログイン画面というミスマッチ
送信ルート及び偽装判定・同一犯確定の証拠
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from l2z4x6c8.asjypxjd.com (unknown [141.147.191.8])
【偽装判定】:
イオン銀行の正規メールは @aeonbank.co.jp 等から送信されます。本メールの送信ドメイン l2z4x6c8.asjypxjd.com は乱数文字列のサブドメインを持つ全く無関係の第三者ドメインです。SPF・DKIMを両方Passするよう事前に細工されており、多くのメールフィルターをすり抜けます。DKIM署名の s=google は、Googleのメール送信インフラを経由して署名されていることを示します。
送信サーバーIPアドレス:141.147.191.8(Oracle Cloud、米国)
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
■ 同一犯確定:三井住友カード偽メールとのIPアドレス完全一致
今回の最大の発見は、フィッシングサイトのIPアドレスが当ブログで2日前に取り上げた三井住友カード偽メールのフィッシングサイトと完全に一致している点です。
| 確認日 | 騙ったブランド | フィッシングドメイン | サーバーIP |
| 2026/06/13 | 三井住友カード | yxtdcj.com | 198.46.210.172 |
| 2026/06/15 | イオン銀行 | yyjls.com | 198.46.210.172 |
両サイトとも逆引きホスト名が xcarf.info と一致しており、ColoCrossing(米国のデータセンター事業者)の同一サーバー上で複数ブランドへのフィッシングサイトを同時運営していることが確認できます。さらに件名の「セキュリティシステム更新に伴う再認証の手続き」という文言と、クローキング画面のデザインも三井住友カード偽メールと完全一致しており、同一の攻撃グループが同一のテンプレートでブランドだけ差し替えて大量配信していることが確定しています。
クローキング(偽装アクセス制御)の確認
■ 三井住友カード偽メールと同一のクローキング画面
フィッシングサイトへのアクセス時、「安全な接続を確認しています。ブラウザのセキュリティを確認中です。そのままお待ちください。」という画面が表示されます。この画面は三井住友カード偽メールのフィッシングサイトで確認されたものとデザイン・文言が完全に一致しており、同一のシステムが使い回されていることを裏付けています。
▲ 三井住友カード偽メールと同一デザインのクローキング関門。「【確認】画面をクリックまたはタップしてください」という指示も同一
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://yyjls[.]com/inNvDDJu/(一部伏字)
リンクドメイン:yyjls.com(イオン銀行・イオンカードとは一切無関係の意味不明な文字列ドメイン)
ドメイン登録日:whois.domaintools.com で確認
サイトサーバーIP:198.46.210.172(ColoCrossing、米国)
逆引きホスト:xcarf.info(三井住友カード偽メールのフィッシングサイトと同一)
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
注意点と対処法
■ 注意点と対処法
- リンクをクリックしない:「セキュリティ認証ページ」ボタンは偽物です。絶対にクリックしないでください。
- 正規ドメインを確認する:イオン銀行の正規サイトは
https://www.aeonbank.co.jp/、インターネットバンキングはhttps://direct.aeonbank.co.jp/です。それ以外のドメインは偽物です。 - 銀行とカードの混同に気づく:「イオン銀行」のメールを受け取ったのに偽ログイン画面が「イオンカード」なら確実に偽物です。
- 公式アプリ・ブックマークからアクセスする:インターネットバンキングへのログインは必ず公式アプリまたは以前登録したブックマークから行ってください。
- 入力してしまった場合:イオン銀行インターネットバンキング紛失・盗難専用窓口(24時間)0120-987-567に速やかにご連絡ください。
- 公式注意喚起の参照:イオン銀行 フィッシング詐欺にご注意ください(公式)
■ 関連記事
同一サーバーを使う攻撃グループによる三井住友カード偽メールの解析記事もあわせてご覧ください。
【実録】三井住友カード「セキュリティシステム更新に伴う再認証の手続き」は詐欺!中国ドメインからSPF/DKIM両認証をすり抜ける巧妙な偽装を暴く
本レポートの結論
「3Dセキュア認証の有効期限が切れている」と焦らせるイオン銀行騙りフィッシングメールが確認されました。フィッシングサイトのIPアドレスが2日前の三井住友カード偽メールと完全一致しており、同一の攻撃グループが同一のサーバーを使ってテンプレートのブランドだけ差し替えて大量配信している実態が明らかになりました。攻撃者は「イオン銀行」を騙りながら偽ログイン画面は「イオンカード」という凡ミスまで犯していますが、だからといって安全ではありません。SPF・DKIM認証を両方クリアしており、多くのセキュリティフィルターをすり抜けています。イオン銀行・イオンカードいずれのメールが届いた場合も、メール内のリンクは絶対にクリックせず、必ず公式アプリまたはブックマークから確認する習慣をつけてください。
調査日:2026年6月15日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
