【続報・同一犯確定】ANA「ボーナスマイル詐欺」が3通に増殖!期限3ヶ月前のまま更新忘れ・3社のクラウドを使い捨て・「zh-」フィッシングサイトが再び出現
🔴 緊急度:高
3通の詐欺メール全比較
■ 昨日から本日にかけて届いた3通の全データ比較
| 項目 | ①昨日(6/15) ワードサラダ版 | ②本日(6/16) 期限切れ版 | ③本日(6/16) ご入会版 |
| 件名 | ANAカードご利用者様必見:ボーナスマイル申請はお早めに | 【ANA】マイル有効期限のお知らせ(2026年3月15日まで)No.80331563 | ANAカードご利用者様必見:ご入会ありがとうございます|大切なご案内です |
| 送信元ドメイン | baby.home-zh-178sports.com | tential.jp | deep.cn-new-pg.com |
| 送信インフラ | GCP | AWS CloudFront | Limelight/Edgio |
| SPF/DKIM | 両方Pass | 両方Pass | 両方Pass |
| 本文テンプレート | 完全同一 | 完全同一 | 完全同一 |
| ワードサラダ | あり | あり | あり |
| フィッシングサイト | zh-m-9games-live.com | zh-wap-kaiyun-live.com | zh-wap-kaiyun-live.com |
| クローキング (盾アイコン数) | 4個 | 5個 | 5個 |
3通全てで本文テンプレートとワードサラダが一致しており、同一の攻撃グループが件名・送信元・フィッシングサイトのみを差し替えて継続的に大量配信していることが確認できます。
▲ ②期限切れ版メール。件名に「2026年3月15日まで」と3ヶ月前の失効日が堂々と記載されている
▲ ③ご入会版メール。件名は全く異なるが本文は①②と完全に同一
件名・送信元が違っても同一の詐欺キャンペーンです。ANA関連のメールが届いたらメール内リンクは絶対にクリックしないでください。
攻撃者の凡ミス:期限「2026年3月15日」を3ヶ月更新忘れ
■ 6月に届く「3月15日期限」という自己矛盾
②の件名には「マイル有効期限のお知らせ(2026年3月15日まで)」と記載されています。このメールが届いたのは2026年6月16日——つまり期限からすでに3ヶ月以上経過しています。
「有効期限が2026年3月15日まで」のマイルがなぜ6月16日に通知されるのか、という矛盾に気づけば即座に詐欺と判断できます。攻撃者はテンプレートの日付を更新しないまま送り続けているものと思われます。
⚠️ 3通に共通する偽物のサイン
- 「恥兵 ANAカスタマゼーセンター」——意味不明な機械翻訳丸出しの署名(3通共通)
- 「積置日か翌年間」「獲得はご注意ください」——日本語として成立していない文章(3通共通)
- ②の件名期限「2026年3月15日」——6月16日に届く3ヶ月前失効の通知
- 「引き續き」——旧字体(繁体字)の使用。日本語正規表記は「続」
- 送信元がANA正規ドメイン(
@ana.co.jp)以外のドメイン(3通全て異なる乱数ドメイン)
3社クラウドを使い捨てる送信インフラの実態
■ GCP・AWS・Limelight——3社のクラウドを並行使用
3通の送信インフラを確認すると、それぞれ異なるクラウド事業者が使われています。
| 通 | 送信元ドメイン | クラウド事業者 |
| ①(昨日) | baby.home-zh-178sports.com | Google Cloud Platform(GCP) |
| ②(本日) | tential.jp | AWS CloudFront(Amazon Web Services) |
| ③(本日) | deep.cn-new-pg.com | Limelight Networks/Edgio(米国CDN事業者) |
世界最大級のクラウド・CDN事業者3社を並行して使い捨てることで、一社がブラックリストに登録されても別の事業者から送信を継続できる体制を整えています。ドメインのレピュテーション(信用スコア)が下がれば次のドメインに切り替えるというサイクルを、複数のクラウド上で同時並行で回しているわけです。
「zh-」フィッシングサイト系列の再確認
■ 昨日と同系列の「zh-」フィッシングドメインが再登場
| 確認日 | フィッシングサイト | zh-パターン |
| 2026/06/15 | zh-m-9games-live.com | zh- + ゲーム系ワード |
| 2026/06/16 | zh-wap-kaiyun-live.com | zh- + wap + kaiyun(开云) |
「zh-」で始まり「-live.com」で終わる命名規則が共通しており、同一の攻撃グループが新しいドメインを用意して継続稼働させていることが確認できます。なお「kaiyun(开云)」は中国語で「開かれた雲」を意味し、中国系のオンラインベッティングサービスの名称としても知られています。
フィッシングサイトの状態:調査時点で zh-wap-kaiyun-live.com はDNS失効済み(DNS_PROBE_FINISHED_NXDOMAIN)。ただし同系列の新ドメインが随時用意されている可能性があります。
▲ クローキング確認画面。昨日の4個から5個に増加しているが、デザインと仕組みは同一
▲ ChromeのGoogle セーフブラウジングでも「危険なサイト」として検出済み
▲ 調査時点でフィッシングサイトはDNS失効済み。使い捨てドメインの典型
ワードサラダの継続使用を確認
■ 本日の2通にも同一のワードサラダが確認
本日届いた2通のHTMLソースコードにも、昨日と同様に日本語テキストが全文字HTMLエンティティ(〇〇〇〇; 形式)に変換されたワードサラダが確認されています。
▲ 本日のメールのHTMLソース。昨日と同一のワードサラダ(全文字数値コード化)が使われている
ワードサラダについての詳細な解説は前回記事をご参照ください。→ 【実録】ANA「ボーナスマイル申請はお早めに」は詐欺!全文字を暗号化したワードサラダとTencentサーバーの罠を暴く
注意点と対処法
■ 注意点と対処法
- 件名が違っても同じ詐欺:「ボーナスマイル申請」「マイル有効期限」「ご入会ありがとうございます」と件名がバラバラでも、同一の攻撃グループによる同一の詐欺キャンペーンです。
- 期限の矛盾に気づく:「2026年3月15日期限」のマイルが6月16日に通知されること自体が詐欺の証拠です。期限が過去の日付になっているメールは即削除してください。
- 送信元ドメインを確認する:ANAの正規メールは
@ana.co.jpまたは@mileage.ana.co.jp等から送信されます。それ以外のドメインは全て偽物です。 - 不自然な日本語はスルー:「恥兵」「積置日」「獲得はご注意ください」「引き續き」など、機械翻訳丸出しの不自然な表現が含まれるメールは詐欺と判断してください。
- 公式アプリ・ブックマークから確認:マイル残高・有効期限の確認は必ずANA公式アプリまたはブックマーク済みの公式サイトから行ってください。
- 公式注意喚起の参照:ANAグループを装った詐欺メール・詐欺電話等にご注意ください(ANA公式)
本レポートの結論
昨日から本日にかけてANA「ボーナスマイル」詐欺メールが合計3通確認されました。件名・送信元・フィッシングサイトは全て異なりますが、本文・ワードサラダ・クローキング手口は完全に一致しており同一の攻撃グループによる組織的キャンペーンです。GCP・AWS・Limelight/Edgioと3社のクラウドを並行使用し、「zh-」で始まるフィッシングドメインを使い捨てながら大量配信を継続しています。また「2026年3月15日」という3ヶ月前の期限が更新されないまま件名に残っている点は攻撃者の杜撰な管理を物語っています。件名がどれだけ変わっても、送信元が @ana.co.jp 以外のドメインであれば全て偽物です。この記事を身近なANAマイレージ会員の方にも共有してください。
調査日:2026年6月16日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
