発覚！ファミリーマート「保有ポイント一部失効」偽メールの正体——SPF/DKIM両Pass偽装でフィルター突破、携帯番号を狙う手口を解析

ご覧の通り、このメールはファミリーマートを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

【件名】【ファミリーマート】保有ポイント一部失効のご連絡

いつもファミリーマートをご利用いただき、ありがとうございます。

ファミリーマート ポイント管理課より、残念なお知らせでございます。お客様が保有されていたポイントのうち、一部が先日、受取期限を経過し失効いたしました。まだ受取可能なポイントが残っておりますので、これ以上の失効を防ぐため、至急ご確認いただきたくご連絡いたしました。

ポイント失効・残高サマリー
失効済みポイント：受取期限経過により失効
残存ポイント：受取可能（要確認）
次回失効予定：2026年7月31日（金）
※残存ポイントの正確な数値は専用ページにてご確認いただけます。

失効したポイントの復元はシステム上不可能でございますが、まだ残っているポイントはお客様の大切な資産です。次の失効予定日までに必ずお受取いただければ、引き続きファミリーマートでのお買い物にご利用いただけます。

これ以上のポイントを失わないためにも、今すぐ残存ポイントをご確認いただき、確実にお受取りください。日々のお買い物でコツコツお貯めいただいたポイントを、無駄にはできません。

これ以上の失効を防ぐため、今すぐご確認を
残存ポイントは確実にお受取りください

残存ポイントを今すぐ確認する

次回失効予定日：2026年7月31日（金）23:59
※お手続きには本人確認のため携帯電話番号の入力が必要です。

※本メールは送信専用アドレスより配信されております。ご返信いただきましてもお答えできません。
※本メールは自動送信されています。お心当たりのない場合は破棄してください。
発行・送信：株式会社ファミリーマート ポイント管理課
〒107-0062 東京都港区南青山2-1-50

■ 送信ルート及び偽装判定

※Receivedヘッダーの全文は受信者側サーバー（非公表）の情報が含まれるため掲載を控えています。

発信元IP：35.212.163.127
Received: from plus-lanjingzhibo.com (unknown [35.212.163.127])
→ Google Cloud Platform（35.208.0.0/12）の範囲内。GCPのサーバーから一斉送信されています。

送信ドメインの構造：
gdelsdjz.member.plus-lanjingzhibo.com
→ 「ランダム文字列.member.plus-lanjingzhibo.com」という構造。SPF・DKIMはこの plus-lanjingzhibo.com ドメインに正しく設定されているため、セキュリティチェックを通過してしまいます。

【偽装判定】：
正規のファミリーマートからのメールは @family.co.jp 等のドメインから送信されます。plus-lanjingzhibo.com はファミリーマートと一切関係のない第三者ドメインです。「lanjingzhibo（蓝鲸直播）」は中国語で「ブルーホエール配信」を意味しており、中国系の運営者が悪用している可能性が高いと考えられます。

本社住所の流用：
メール末尾の「〒107-0062 東京都港区南青山2-1-50」はファミリーマート本社の実在住所です。実際の住所を記載することで信頼感を演出する手口ですが、送信元ドメインがまったく別物である以上、これも偽装の一部に過ぎません。

発信元ロケーション：米国（Google Cloud Platform）
Googleマップ：【GCP米国データセンター付近】

※GCPのIPアドレスはGoogleのデータセンター施設に帰属するため、実際の攻撃者の物理的な所在地は特定できません。

■ フィッシングサイト詳細解析

誘導先URL（PC・スマホ共通・伏せ字）：
hxxps://www.shandongyuxuan[.]com/?CDy2ouyJDBaArLwaVBvtxBBJ

ドメイン：shandongyuxuan.com
→ 「山東玉軒」を想起させる中国語系ドメイン名。ファミリーマートとは全く無関係。既存サイトの悪用または使い捨て目的の取得と考えられます。

サイトサーバーIP：172.67.207.68（Cloudflare / 172.64.0.0/13）
→ Cloudflareを経由しているため実際のサーバーIPは非公開。

PC・スマホ振り分け：なし（同一URL）

【サイトの状態】：Cloudflareのファイアウォールにより「アクセス拒否：リクエストがブロックされました」と表示。現時点では被害には至らない状態ですが、ブロックが解除された際に備えて注意が必要です。

【要求する情報】：メール本文に「本人確認のため携帯電話番号の入力が必要」と明記。電話番号を入力するとSMSで認証コードが届き、そのコードも詐取されてアカウントを乗っ取られる「SMS認証コード詐取」の第2段階攻撃に発展する可能性があります。

■ なぜ「システムメンテナンス中」画面が表示されるのか

スマートフォンでアクセスすると本物のフィッシングページではなく「システムメンテナンス中」という画面が表示されます。「壊れているのでは？」と思った方もいるかもしれませんが、これは攻撃者が意図的に設計した仕掛けです。主な理由は4つあります。

1. セキュリティ研究者から身を隠すため：フィッシングサイトが常時稼働していると、Googleやセキュリティ企業のクローラー（自動巡回プログラム）にすぐ検出されブラックリストに登録されます。メンテナンス画面にしておけば「ただのメンテ中のサイト」として見え、ブロックされるまでの時間を稼げます。
2. 時間帯を絞って稼働させるため：メールを受け取った被害者がリンクを踏む時間帯（昼休み・夜間など）に合わせてフィッシングサイトを「開店・閉店」させています。稼働時間を短くすることで検出・ブロックのリスクを大幅に下げられます。カウントダウンタイマーが表示されているのはこの「開店時刻」を示しているものです。
3. PCとスマホでアクセスを振り分けるため：セキュリティ研究者や自動解析ツールはPCからアクセスすることが多いため、PCには「アクセス拒否」や別のページを見せて解析を妨害します。実際の被害者が使うスマートフォンにだけ本物のフィッシングページを見せるという選別を同時に行っています。
4. 被害者を引き留めるため：「まもなくページを移動します」という表示は、被害者に「少し待てば使える」と思わせて離脱を防ぐ心理的な仕掛けです。カウントダウンが終わると自動的にフィッシングページへリダイレクトされる仕組みになっています。

今回確認されたサイトの訪問者カウンターには「70」という数字が表示されており、稼働・停止を繰り返しながら既に複数の人がアクセスしていることを示しています。「メンテナンス中で今は使えなかった」からといって安心しないでください。時間をおいて再アクセスすると本物のフィッシングページが表示される可能性があります。

■ 注意点と対処法

1. BIMIロゴを確認する：ファミリーマートは2026年5月よりBIMI（なりすましメール対策）を導入済みです。本物のメールには対応メールソフトで公式ロゴが表示されます。ロゴが表示されていないファミマメールは偽物の疑いが高いです。
2. 送信元ドメインを確認する：正規のファミリーマートからのメールは @family.co.jp 等から届きます。plus-lanjingzhibo.com など見覚えのないドメインは全て偽物です。
3. SPF/DKIMが「Pass」でも安心しない：今回のメールはSPF・DKIM認証を両方通過しています。認証通過は「そのドメインの設定が正しい」ことを示すだけで、そのドメインがファミリーマートのものかどうかは別問題です。
4. 携帯電話番号は絶対に入力しない：電話番号を入力するとSMSで認証コードが届き、そのコードまで詐取されてアカウントを乗っ取られる可能性があります。
5. ファミリーマート公式の注意喚起を確認：ファミリーマートおよび関係会社を装う迷惑メール・SNS・サイト等について（公式）
6. 不審に思ったらファミリーマートへ直接確認：ファミペイ・ポイントカードサポートセンターへ連絡してください。

■ 関連記事

ファミリーマート 関連記事一覧

本レポートの結論

今回の偽メールはGoogle Cloud Platformを踏み台に、SPF・DKIM認証を両方突破してファミリーマートを偽装した高精度のフィッシングメールです。「ポイントが既に一部失効した」という既成事実を告げて焦りを誘い、「本人確認のために携帯電話番号が必要」と迫る二段階の罠が仕掛けられています。フィッシングサイトは現在Cloudflareにブロックされていますが、ブロックが解除されると被害が出る可能性があります。ファミリーマートは2026年5月よりBIMIを導入しており、本物のメールには公式ロゴが表示されます。ロゴなし・見慣れないドメインのファミマメールは即削除を。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。