【解析】JCB「未確定ポイント失効」詐欺メールの正体——SPF/DKIM認証は正規通過、しかし中身は別ドメインの偽メール

HL-META: date=2026-06-29 | brand=JCB（なりすまし） | sender_geo=シンガポール | site_geo=カナダ／日本（2段階） | spf=pass（自社ドメインのため） | dkim=pass（自社ドメインのため） | cloaking=no

■ メールヘッダー解析（送信者情報）

件名：【JCB重要通知】未確定ポイント失効期限のご連絡

送信者名：“重要なお知らせ”

送信元アドレス：admin@mail30.beefsteakonline.net

受信日時：2026年6月29日 17:41頃

SPF認証：Pass（送信元サーバーは送信ドメインの正規サーバーとして認証されています）

DKIM署名：あり（送信ドメインによる電子署名付き）

※メールヘッダー詳細は個人情報保護のため非掲載

💡ここで！SPF・DKIMが「通る」のに偽メールなのはなぜ？
SPF（送信元サーバーが正規登録されているかの確認）とDKIM（電子署名による改ざん防止）は、あくまで「送信ドメインの持ち主が正しく設定している送信元から届いたか」を確認する仕組みです。攻撃者がbeefsteakonline.netという自分名義のドメインを取得し、そこにSPF・DKIMをきちんと設定すれば、その時点で認証は「正規に通過」します。認証が通ること＝JCBの本物であること、では決してありません。大切なのは「@より後ろのドメインがJCBの公式ドメインかどうか」であり、今回のドメインはJCBとは一切無関係です。

ご覧の通り、このメールはJCBを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

---

いつもJCBカードをご愛顧いただき、誠にありがとうございます。
本メールは、JCBカードをお持ちの会員様へ、ポイントに関する重要なお知らせとして自動送信しております。

現在、お客様の「MyJCB」アカウントにおいて、直近のキャンペーン特典およびご利用分の集計・照合が完了しました。
その結果、以下のOki Dokiポイントが「未確定」の状態となっており、会員様ご本人による進呈確定の手続きが必要となっております。

■ 特典・ポイント状況詳細
・対象ポイント：未確定 Oki Dokiポイント 8,492 ポイント
・現在のステータス：手続き待ち（システム照合完了）
・ポイント有効期限：進呈確定後、24ヶ月間

本ポイントは、会員専用WEBサービス「MyJCB」へのログイン、およびご本人様確認が完了した段階で、正式にポイント残高へ反映されます。
反映後は、魅力的な商品への交換、他社ポイントやマイルへの移行、または「1ポイント＝3円〜」として月々のお支払い金額への充当にご利用いただけます。

■ お手続き方法
システム保護の観点から、お客様のポイント状況に関する最終確認を行っていただく必要がございます。
お手数ですが、以下のリンクより「MyJCB」にアクセスし、画面の案内に従って手続きを完了させてください。

[⇒ MyJCBログイン・確認手続きページはこちら]
hxxps://www[.]beanpear[.]com/saoidfns ※重要なお知らせ 本手続きは、第三者による不正利用防止およびセキュリティ保護のため、本メール受信後72時間以内に行っていただく必要がございます。 期限内にお手続きが完了しない場合、システムの仕様上、該当の未確定ポイントは自動的に失効・削除されますので、あらかじめご了承いただけますようお願い申し上げます。 株式会社ジェーシービー JCBインフォメーションセンター ※本メールは送信専用アドレスから配信されています。ご返信いただいてもお答えできませんのでご了承ください。

「8,492ポイント」「72時間以内」という具体的な数字を使い、本物らしさと緊急性を同時に演出しているのが特徴です。実際のJCBのOki Dokiポイントは通常1ポイント＝5円相当が目安ですが、本文では「1ポイント＝3円〜」と中途半端に低い換算レートが書かれており、細部のリアリティには少しほころびがあります。

■ 送信ルート及び偽装判定

【偽装判定】：
送信元ドメインmail30.beefsteakonline.netは、JCBの公式ドメイン（jcb.co.jp等）とは一切無関係です。攻撃者自身が取得・管理しているドメインのため、SPF・DKIMの技術的な認証は正規に通過してしまいますが、それはあくまで「このドメインの持ち主から送られた」という証明にすぎません。

発信元ロケーション解析：
送信元IPアドレスの割当地：シンガポール（Linode社のレンタルサーバー）
詳細：【ip-sc.netで確認する】
Googleマップ：【位置情報を確認する】

■ フィッシングサイト詳細解析（2段階の誘導構造）

①メール内リンク：
誘導先URL（伏せ字）：hxxps://www[.]beanpear[.]com/saoidfns
サーバーIP：23.227.38.65（ip-sc.netで確認する）
ロケーション：カナダ・オンタリオ州（トロント付近）
【サイトの状態】：ウイルスバスター クラウドが「脅威の種類：フィッシング」として即座にブロック。警告を超えてアクセスを試みると、続けてGoogle Chromeのセーフブラウジング機能も「危険なサイト」と警告し、さらにこのサイトを保護しているCloudflare自身も「Suspected Phishing（フィッシングの疑い）」という警告を表示します。1つのリンク先に対して3重の防御が働いている状態です。

②ブロックを解除して進んだ場合の転送先：
転送先URL（伏せ字）：hxxps://armdoor[.]com/MoVLHifb
サーバーIP：172.235.207.82（ip-sc.netで確認する）
ロケーション：日本・大阪府
【サイトの状態】：こちらもウイルスバスター クラウドおよびGoogle Chromeのセーフブラウジング機能が「危険なサイト」と警告。警告を超えてアクセスを試みても、現在はサーバーが応答せず、接続タイムアウト（ERR_CONNECTION_TIMED_OUT）の状態でした。

■ 注意点と対処法

1. URLをクリックしない：セキュリティソフトやブラウザが警告を出した時点で、絶対に「アクセスする」を選ばないでください。
2. SPF・DKIMが「正常」でも安心しない：これらの認証は送信ドメインの正規性を示すだけで、そのドメインがJCBの公式ドメインであることまでは保証しません。「@より後ろ」が公式ドメインかどうかを必ず確認してください。
3. JCBはメールでポイントの再申請手続きを求めません：ポイントの状況は必ず公式アプリまたはブックマークしたMyJCBから確認してください。
4. 公式注意喚起の参照：JCB フィッシング詐欺にご注意ください

本レポートの結論

「未確定ポイント失効期限のご連絡」というJCB詐欺メールは、SPF・DKIMという2つの技術的な認証こそ正規に通過していましたが、その送信ドメイン自体がJCBとは無関係な攻撃者所有のものでした。誘導先は2段階構成で、いずれもウイルスバスター・Chrome・Cloudflareという複数のセキュリティ機構によってブロックされています。「認証が通っているから安全」という思い込みは禁物です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。