【実録】「ANAカードご利用者様必見」偽マイル特典メールの隠蔽工作を分析
| 緊急性レベル | ★★★★★ (5/5) |
| 偽装工作精度 | ★★★★★ (5/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] ANAカードご利用者様必見:本メールは重要です | マイル特典に関する情報
送信者名:“ANA”
送信元アドレス:thirsty@thirsty.plus-speed-esports.com
ドメインIP解析:20.94.82.41 (thirsty.plus-speed-esports.com)
受信日時:2026年06月19日 15:45
※ヘッダーには受信者の情報が含まれるため、本来なら掲載してご紹介するのが本筋ですが、個人情報保護のため伏せさせていただきます。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
[spam] ANAカードご利用者様必見:本メールは重要です | マイル特典に関する情報 送信者:"ANA" <thirsty@thirsty.plus-speed-esports.com> ANA Group 企業情報 平穏よりANAマイレージクラブをご利用いただき、誠にありがとうございます。 このたび、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていだたきたい。 下記のボーナスマイルを獲得するチャンスです! ボーナスマイル 6,605マイル 獲得可能期間 今月末まで ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートにご回答ください。回答完了後、ボーナスマイルが自動的に加算されます 【ボーナスマイルを獲得】 このキャンペーンは期間限定となっております。 獲得されたマイルの有効期間は積置日か翌年間となります。 この機会にぜひボーナスマイルを獲得はご注意ください。 引き続きANAマイレージクラブをよろしくお願いいたします。 恥兵 ANA カスタマゼーセンター © ANA CO., LTD. All rights reserved.
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
Received: from thirsty.plus-speed-esports.com (thirsty.plus-speed-esports.com [20.94.82.41])
【偽装判定・認証の罠】:
本物のANAから送られるメールであれば、当然「ana.co.jp」などの公式ドメインが送信元になります。しかし、このメールの表示送信元は全く無関係の「plus-speed-esports.com」という謎のドメインです。
ここで厄介なのが、メールの安全性を証明する規格である「SPF」や「DKIM」といった認証がどちらも【Pass(正常)】になっている点です。これは、『攻撃者が自分たちでお金を払って用意した使い捨てのサーバーから、身元を偽らずに正しく送信している』ということを意味します。決して「公式の証明」ではないのですが、これによって一般的な迷惑メールフィルターをすり抜けてしまうという巧妙な罠が仕掛けられています。実際の送信元IPアドレス(20.94.82.41)は、アメリカに拠点を置くマイクロソフトのクラウドサービス(Azure)が悪用されている可能性が高いです。
発信元ロケーション解析:
IPアドレス:20.94.82.41
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当てや中継経路は随時変更される場合があります。
■ 技術解説:検知を逃れる「ワードサラダ」工作
メールの裏側のプログラムコードを確認すると、恐ろしい仕掛けが見つかりました。「平穏…」といった謎の暗号のような文字(HTMLエンコード文字)がびっしりと敷き詰められています。
内容は専門用語で「ワードサラダ(文字のサラダ)」と呼ばれる隠蔽工作です。セキュリティソフトがメールの文章を自動で読み取って「これは詐欺メールだ!」と見破るのを防ぐために、あえて文字をバラバラのコードに変換して、機械の目をゴマかしているのです。人間の目には普通の日本語に見えるのに、セキュリティロボットには意味不明の文字に見えるという、詐欺師の非常に姑息なテクニックです。
■ フィッシングサイト詳細解析(二面性:クローキングの罠)
誘導先URL(伏せ字):hxxps://zh-play-k1sports.com/SeAKrxJk/ (一部伏字)
リンクドメイン:zh-play-k1sports.com
【サイトの状態と仕掛け】:
メール内の「ボーナスマイルを獲得」ボタンを押すと、まずCloudflare(大手ネットワークセキュリティ基盤)の人間判定画面(ErrorやTurnstile画面)が表示されます。ここで「盾のアイコンをすべてタップしてください」という指示が出ます。一見すると安全対策のように見えますが、実はこれが大罠です。
ここには「クローキング(隠れ蓑技術)」という、警察やセキュリティ会社の調査ロボットによる自動チェックを遮断するシステムが組み込まれています。調査目的のアクセスには「何もない無害なエラー画面」を見せて追跡をかわし、騙されそうな一般の読者がアクセスした時だけ、本物そっくりのログイン画面(お客様番号やWebパスワードを入力させる画面)を表示するという、表と裏の顔を使い分ける極めてズル賢い仕組みになっています。
💡 犯人の「お粗末な」失敗ポイント(笑)
ここまで高度なシステムを使って私たちを騙そうとしている詐欺師ですが、文章の日本語がトホホなレベルで崩壊しています。
冒頭の「平穏より(いつも、のつもり?)」や「ご感謝を込めて」、「プレゼントさせていだたきたい(突然のタメ口?)」など突っ込みどころ満載ですが、一番笑ってしまうのはメールの最後です。丁寧なANAカスタマーセンターの署名欄の真上に、堂々と『恥兵』という意味不明な単語が書かれています。
海外の詐欺グループが翻訳ソフトのコピペに失敗したのでしょうが、せっかくデザインを本物に似せたのに、最後に自分で「私は怪しい者です」と自己紹介(?)してしまっているのがなんとも滑稽ですね(笑)。
■ 注意点と対処法
- うまい話には必ず裏がある:アンケートに答えるだけで何千マイルも貰えるような美味しいキャンペーンは、公式のアプリや公式サイトのトップページで必ず大々的に告知されます。メールのリンクからしか行けないような場所は疑ってください。
- ログイン情報は公式アプリやブックマークから入力する:ANAのお客様番号やパスワード、クレジットカード情報などを入力する場合は、メールのボタンを絶対に押さず、スマートフォンのANA公式アプリ、または自分でブックマークした公式ページからログインして状況を確認してください。
- 公式注意喚起の参照:ANA フィッシングメール・不審なメールに関するご注意
本レポートの結論
今回のANAを騙る偽メールは、「ワードサラダ」による検知回避や、調査員の目を盗む「クローキング」といった、裏側の技術が非常に高度化している危険な事例です。日本語の不自然さ(『恥兵』など)で今回は見破れますが、今後文章が綺麗になったら騙されてしまう人が続出する恐れがあります。身近な大切な人が被害に遭う前に、以下のボタンから家族のLINEグループに『ANAのマイル貯めてる人、この詐欺メールに気をつけて!』と今すぐ共有して教えてあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
