【警告】「イオン銀行」セキュリティ再認証メールは偽物——ポーランド発・Zoho Mail中継でSPF/DKIM認証をすり抜けた巧妙な手口

HL-META: date=2026-06-30 | brand=イオン銀行(AEON Bank) | sender_geo=ポーランド | site_geo=アメリカ・ニューヨーク州 | spf=pass(ただし無関係ドメインへの認証) | dkim=pass(同上) | cloaking=no

【警告】「イオン銀行」セキュリティ再認証メールは偽物:ポーランド発・Zoho Mail中継でSPF/DKIM認証をすり抜けた巧妙な手口

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「セキュリティシステム更新に伴う再認証の手続き」という件名で、イオン銀行を騙る詐欺メールが届きました。「3Dセキュア認証(クレジットカードのオンライン決済時に本人であることを確認する仕組み)の有効期限切れ」を口実に、偽の認証ページへ誘導するものです。当ラボの調査により、送信元はメール配信サービス「Zoho Mail」のアカウントを悪用し、SPF・DKIMという2つのメール認証をいずれも通過させる高度な偽装が行われていることが判明しました。

※重要:SPF・DKIMの認証マークが付いていても、それは「送信元ドメインが正規に登録されている」ことを示すだけで、「イオン銀行本人からのメールである」ことの証明にはなりません。今回のケースはまさにその典型例です。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★★☆ (4/5)

「要対応期限:当日中」と即日対応を迫る焦りの心理を突きつつ、メール認証技術の弱点を突いた巧妙な構成です。さらにリンク先では、セキュリティソフトとブラウザの二重の警告をくぐり抜けないと偽サイトに到達できないという、念の入った作りになっていました。

■ メールヘッダー解析(送信者情報)

件名:[spam]【イオン銀行】セキュリティシステム更新に伴う再認証の手続き

送信者表示名:AEON

送信元アドレス:noreply@skhzze.hnjcheng.com

送信元ドメインの実体:Zoho Mail(インドのZoho社が提供するビジネス向けメール配信サービス)のアカウントを取得し、そこから送信

受信日時:2026年6月30日(火)16:48

ご覧の通り、このメールは公式イオン銀行を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。受信者のメールアドレスのローカル部は個人情報保護のため伏せ字にしています。


イオン銀行 AEON Bank

【重要】セキュリティ認証 再確認のお願い

平素よりイオン銀行をご利用いただき、誠にありがとうございます。

お客様の口座ならびにインターネットバンキングにご登録いただいております「セキュリティ認証(本人認証サービス・3Dセキュア)」の有効期限が切れているか、または再登録が必要な状態となっております。
セキュリティ強化のため、再認証手続きを弊行システムにてご依頼しております。

※再認証が完了しない場合、一部のインターネット決済(イオン銀行デビット/オンライン振込等)がご利用いただけなくなる可能性がございます。

要対応期限:2026-06-30(当日中)
対応内容:3Dセキュア認証(本人認証サービス)の再登録・ワンタイム認証手続き

認証手続きは下記の専用ボタンより認証画面へお進みください。
(※セキュリティ保護のため、必ずご自身でブラウザを開き直接アクセスするか、イオン銀行公式アプリからお手続きください)

[セキュリティ認証ページ](ボタン)

⚠ 本メールに心当たりがない場合や、不審な点がある場合は直ちにイオン銀行コールセンターまでご連絡ください。
※本メールは送信専用アドレスより配信されています。返信いただいてもご回答できません。

🔒不審なリンクはクリックせず、イオン銀行公式アプリからアクセスすることを推奨します。

イオン銀行
〒100-0005 東京都千代田区丸の内一丁目1-1
カスタマーサポート:0570-2964-9625(無料)

※実際に届いた詐欺メールの画面です。イオン銀行のロゴ・デザインを精巧に模倣しています。

■ 送信ルート及び偽装判定

SPF・DKIM認証結果:
SPF(送信元のメールサーバーがそのドメインの正規サーバーとして登録されているかを確認する仕組み)はPass、DKIM署名(メールが送信後に改ざんされていないことを証明する電子的な署名)も正しく検証されました。ただし、これらはあくまで送信元ドメイン「skhzze.hnjcheng.com」自体が正規に設定されていることを示すだけで、このドメインはイオン銀行とは一切無関係です。Zoho Mailというメール配信サービス上にアカウントを作成し、そこから送れば、送信元ドメインに関する認証は技術的に正しく「Pass」になってしまいます。

フィルター回避の工作:
本メールのプレーンテキスト版(HTML非対応のメールソフト向けの予備データ)を確認したところ、一文字ずつの間に「ゼロ幅文字」と呼ばれる、画面には表示されないが機械的なキーワード検索は妨げる特殊な文字が大量に挿入されていました。これはキーワードでスパムを判定するフィルターをすり抜けるためのワードサラダと呼ばれる典型的な小細工です。

※メールヘッダー詳細は個人情報保護のため非掲載

【偽装判定】:
正規のイオン銀行からのメールは「aeonbank.co.jp」等の公式ドメインから送信されます。本メールの送信ドメイン「skhzze.hnjcheng.com」は、Zoho Mailという外部のホスティングサービス(レンタルサーバーのように外部業者のサーバーを借りて運用するサービス)上で発行されたアカウントであり、認証アカウント名は「system589@skhzze.hnjcheng.com」でした。

発信元ロケーション解析:
メールヘッダーを遡ると、最初にZoho Mailのサーバーへ接続した記録には、IPアドレス「213.222.211.203」と、ホスト名として「mail.bf51ddg.go.jp」が記載されていました。このホスト名は接続側が自己申告した文字列にすぎず、実際に日本政府の「.go.jp」ドメインとして登録されたものではありません。調査の結果、このIPはポーランド・ポモージェ県グディニア周辺のホスティング業者(Asseco Data Systems S.A.)が管理する回線でした。
ロケーション詳細:【ip-sc.netで213.222.211.203を確認する】
Googleマップ:【周辺エリアを確認する】

中継サーバーのロケーション:
20.224.105.8はMicrosoft社が運用するクラウド基盤(Azure)上のサーバーで、オランダ・北ホラント州アムステルダム周辺に設置されています。Zoho Mailの配信インフラの一部とみられます。
ロケーション詳細:【ip-sc.netで20.224.105.8を確認する】

※画面には見えない特殊文字が大量に挿入されている様子です。テキストエディタで開くとこのように表示されます。

ポーランドのサーバーからオランダ経由でメールを送りつけておきながら、接続時のホスト名だけは律儀に「.go.jp(日本政府機関)」を名乗るあたり、国境を股にかけた長旅の割には説得力に欠ける小細工です(笑)。中身が伴っていない肩書だけの偽装は、今回のメール全体に共通する特徴と言えそうです。

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://fgygg.com/ODWriJPb (一部伏字)

リンクドメイン:fgygg.com

サイトサーバーIP:23.95.137.188(ホスティング業者:RackNerd LLC/HostPapa経由)

ロケーション:アメリカ合衆国・ニューヨーク州バッファロー周辺
ロケーション詳細:【ip-sc.netで23.95.137.188を確認する】
Googleマップ:【周辺エリアを確認する】

【サイトの状態】:実際にアクセスすると、まず「安全な接続を確認しています」という偽の検証画面が表示され、続いてウイルスバスターが「フィッシング」と判定してアクセスをブロック。これを解除して進むと、今度はGoogle Chromeのセーフブラウジング機能(危険なサイトを自動検出する機能)が「危険なサイト」と警告を発しました。この二重の警告が出た時点で、絶対にそれ以上先へ進まないでください。警告を無視して進むと、最終的に「AEON CARD 暮らしのマネーサイト」を精巧に模した偽のログイン画面が表示されます。

※本物のセキュリティチェックを装った、時間稼ぎ用の画面です。

※セキュリティソフトが「安全ではない可能性があります」と警告している様子です。

※セキュリティソフトを解除して進むと、ブラウザ側からも重ねて警告が表示されます。

※二重の警告を無視して進んだ先に表示される、本物そっくりの偽サイトです。

※セキュリティソフトとブラウザの双方が同一サイトを危険と判定していることから、攻撃者側のドメインはすでに複数のセキュリティベンダーのブラックリストに登録されているとみられます。

■ 注意点と対処法

  1. セキュリティソフトやブラウザの警告が出たら絶対に先へ進まない:「安全と思って解除」してしまうと、その先には偽のログイン画面が待っています。
  2. メール内のリンクやボタンは絶対にクリックしない:SPF・DKIM認証が「正常」と表示されても、それは送信元ドメインの設定が正しいだけで、差出人が本物である保証にはなりません。
  3. 公式サイトを確認:必ずイオン銀行公式アプリ(通帳アプリ・AEON Payアプリ)またはブックマークからアクセスしてください。
  4. 万が一情報を入力してしまった場合:直ちにイオン銀行コールセンターへ連絡してください。
  5. 公式注意喚起の参照:フィッシング詐欺に関するご注意(イオン銀行公式)

本レポートの結論

イオン銀行を騙るこの詐欺メールは、Zoho Mailという正規のメール配信サービスを悪用することで、SPF・DKIMという2つのメール認証技術をすり抜ける巧妙な作りになっていました。送信元はポーランド、中継地はオランダ、誘導先のフィッシングサイトはアメリカと、国際的なインフラを使い回している点も特徴的です。「認証マークが付いているから安心」とは限りません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月1日)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る