【発覚】ANAを騙る「Vポイント有効期限が迫っています」詐欺メールの正体——GCPとペルーを経由する多段階偽装インフラを解析

2026年6月16日

🔴 緊急度：高

【発覚】ANAを騙る「Vポイント有効期限が迫っています」詐欺メールの正体——GCPとペルーを経由する多段階偽装インフラを解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「本日23:59でVポイント10,791ポイントが失効します」——ANAマイレージクラブを装い、今日の日付を件名に動的に埋め込んで受信者を焦らせるフィッシングメールが2026年6月16日に確認されました。Heartland-Labの解析では、台湾のGoogle Cloud Platform（GCP）とペルーの通信事業者を組み合わせた多段階送信インフラが使われており、SPF・DKIMの両認証を「合格（Pass）」に見せかける高度な偽装が確認されています。誘導先も「ana.co.jp.oreisayar.com」という巧妙なサブドメイン偽装URLで、ANAマイレージクラブのログイン画面を精巧にコピーした偽サイトです。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)
偽装工作精度	★★★★★ (5/5)

■ メールヘッダー解析（送信者情報）

件名：【ANA】Vポイント有効期限が迫っています（2026年06月16日）

送信者名：“ANA”（偽装）

送信元アドレス：info-product-newsletter@newsletter-system.marucus.com

送信元IP：34.97.10.181（Google Cloud Platform / GCP・台湾リージョン）

中継IP：181.64.170.184（Claro Peru SA・ペルー）

SPF認証：Pass（送信元が本物かどうかを確認する仕組み。偽ドメインで「合格」に偽装）

DKIM署名：Pass（メールの改ざんがないことを確認する仕組み。こちらも偽ドメインで「合格」に偽装）

受信日時：2026年6月16日 14:17:48

ご覧の通り、このメールはANAを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

1. ■ 詐欺メール本文の再現
2. ■ 送信ルート及び偽装判定
3. ■ フィッシングサイト詳細解析

■ 詐欺メール本文の再現

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

いつもANAをご利用いただきありがとうございます。

お早めにポイントをご利用ください
いつもANAをご利用いただきありがとうございます。

お客様がお持ちの Vポイント の一部が、まもなく有効期限を迎えます。
有効期限を過ぎると、未使用分のポイントは自動的に失効いたします。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 失効予定ポイント

失効予定ポイント数
10,791ポイント

失効予定日
2026年06月16日（火）23:59
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

■ Vポイントの主な利用先

※現金キャッシュバック（口座振込・請求金額からの減額）
※Amazonギフト券・Google Play・App Store ＆ iTunes ギフトコード
※ANAマイル・Tポイント・楽天ポイント など各種提携ポイント
※電子マネー交換・商品交換

▼今すぐポイントを利用する（※リンク無効化済み）

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━

※有効期限を過ぎたポイントは再発行できません。
※交換完了までにお時間がかかる場合があります。

※お得なVポイントを無駄にしないためにも、ぜひお早めにご利用ください。

お問い合わせ先（※リンク無効化済み）

本メールのアドレスは送信専用です。
本メールにお心あたりのない方は、お手数ですが、以下より手順をご確認のうえ、ご連絡をお願いいたします。

本メールに含まれる情報は、本メールに指定された受領者のみによる使用を意図しており、秘密情報を含む場合があります。
本メールの第三者への公開、転送およびその他の使用は禁止されていることをご了承ください。

ANA/全日本空輸株式会社

▼ 届いた詐欺メールのスクリーンショット（宛名部分はモザイク処理済み）

▲ ANAを装った偽Vポイント有効期限通知メール。「本日23:59失効」という今日の日付を動的に差し込む巧妙な手口

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from mail.newsletter-system.marucus.com (181.10.97.34.bc.googleusercontent.com [34.97.10.181])
Received: from mail.t4mjm2f547.support-product-updates.damunzswuai.com ([181.64.170.184])

【偽装判定】：
ANAの正規メールは @ana.co.jp ドメインから送信されます。本メールの送信元は newsletter-system.marucus.com という全く無関係のドメインです。「marucus.com」はANAとは一切関係のない第三者ドメインであり、偽メール配信専用に用意された使い捨てインフラです。

台湾GCP＋ペルー経由の多段階偽装インフラ：
このメールは単一のサーバーから送られたのではなく、複数の国のサーバーを経由する「多段階送信インフラ（複数のサーバーを中継させることで発信元を隠す手法）」が使われています。台湾のGoogle Cloud Platform（GCP）サーバー（IPアドレス 34.97.10.181）を主な配信サーバーとして使用し、さらにペルーの通信事業者Claro Peru（IPアドレス 181.64.170.184）経由の中継も確認されています。こうした多段階構成により、SPF認証（送信元が本物かを確認する仕組み）とDKIM署名（メールの改ざんがないことを確認する仕組み）の両方を「合格（Pass）」に見せかけています。

発信元ロケーション解析（主送信サーバー）：
GCPリージョン：asia-east1（台湾・台北）
緯度・経度：25.0330, 121.5654
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

中継サーバーロケーション（Claro Peru）：
国：ペルー（南米）
※ペルーの通信会社のIPアドレスから中継送信されていることが確認されています。

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

■ フィッシングサイト詳細解析

誘導先URL（サブドメイン偽装）：
hxxps://ana.co.jp.oreisayar[.]com/japan-jp-guideitem-box-7/

【URLのカラクリ】：
このURLは一見すると「ana.co.jp」にアクセスしているように見えます。しかし実際には「oreisayar.com」というドメインに、「ana.co.jp」をサブドメイン（ドメインの前に付ける文字列）として偽装したものです。インターネットの仕組み上、URLの最も右側にある部分（ドット区切り）が本物のドメインであり、「ana.co.jp」の部分はただの飾り文字に過ぎません。URLを最後まで確認する習慣が身を守る鍵です。

本物のANA： https://www.ana.co.jp/（ドメインは「ana.co.jp」）
偽サイト： hxxps://ana.co.jp.oreisayar[.]com/（本当のドメインは「oreisayar.com」）

偽CAPTCHAによるクローキング：
誘導先サイトにアクセスすると、まず「私は人間です」というボタンを押すよう求める「セキュリティ確認」画面が表示されます。これはCAPTCHA（キャプチャ：自動プログラムと人間を区別するための確認機能）を模した偽の画面で、セキュリティ調査ツールや自動巡回プログラムの検知を避けるためのクローキング（アクセスした相手によって表示内容を変える偽装手法）です。本物の確認画面ではありません。

▼ 偽CAPTCHAのスクリーンショット（「私は人間です」を押させてボット検知を回避する偽装画面）

▲ 本物らしく見せた偽の「セキュリティ確認」画面。セキュリティツールの自動検知を逃れるための偽装

偽装内容（最終ページ）：
確認ボタンを押すと、ANAマイレージクラブの「会員ログイン」画面を精巧にコピーした偽サイトが表示されます。「お客様番号（数字10桁）」と「Webパスワード」の入力を求めており、入力するとアカウント情報が攻撃者に盗まれます。

▼ 偽ANAログイン画面のスクリーンショット

▲ 本物と見分けがつかない偽ANAマイレージクラブログイン画面。お客様番号とパスワードを入力させて盗む仕掛け

【サイトの状態】：
調査時点でDNS（インターネット上の住所録）の解決ができない状態となっており、サイトは既に停止しています。またGoogleのセーフブラウジング機能（危険なサイトへのアクセスを自動でブロックする安全機能）によってもブロックされることが確認されています。

▼ Chromeのセーフブラウジング警告（赤い警告画面）

▲ Googleが「危険なサイト」と判定してアクセスをブロック

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

■ 注意点と対処法

URLの末尾を必ず確認する：「ana.co.jp」で始まるURLでも、末尾が「oreisayar.com」などANA以外のドメインであれば100%偽物です。本物のANAサイトは必ず「ana.co.jp」で終わります。
「今日の日付＋失効」の組み合わせで焦らない：件名に今日の日付を自動で入れることで「今すぐ行動しなければ」と焦らせるのが手口です。ポイント残高の確認は必ず公式アプリかブックマークから行ってください。
SPF・DKIMが「合格」でも安心しない：本メールはSPFとDKIMを両方通過していますが、これは偽ドメインで認証を取得したためです。認証マークだけでは本物かどうかの判断ができません。
送信元アドレスを確認する：ANAの正規メールは @ana.co.jp から届きます。「@newsletter-system.marucus.com」など全く異なるドメインからのメールは偽物です。
入力してしまった場合は即座にパスワード変更：お客様番号・Webパスワードを入力してしまった場合は、ANA公式サイトから直ちにWebパスワードを変更し、ANAカスタマーサポートにご連絡ください。
公式注意喚起の参照：ANA：ANAグループを装った詐欺メール・詐欺電話等にご注意ください

■ 関連記事

当ブログでは過去にもANAを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

ANA 関連記事一覧

本レポートの結論

今回の詐欺メールは、受信した当日の日付を件名に動的に埋め込んで緊急性を演出し、台湾GCPとペルー中継という多段階インフラでSPF・DKIM両認証を偽装するという、非常に手の込んだ手口です。さらに偽CAPTCHAで検知を回避し、「ana.co.jp.oreisayar.com」という見た目だけそれらしいURLでANAログイン画面に誘導します。「Vポイントが今日失効する」という言葉に焦って操作してしまうと、ANAマイレージクラブのアカウントを丸ごと乗っ取られる危険があります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

📲 LINEで家族に共有する

調査日：2026年6月16日／ Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元：ip-sc.net