【緊急】同一犯再び!「MyJCBカード利用制限のお知らせ」も三井住友と同じGoogle Cloud基盤から送信——複数ブランド並行攻撃の続報

HL-META: date=2026-07-01 | brand=MyJCB(カード利用制限なりすまし) | sender_geo=シンガポール(Google Cloud経由) | site_geo=日本(クラウド経由) | spf=pass | dkim=不明 | cloaking=no

【緊急】同一犯再び!「MyJCBカード利用制限のお知らせ」も三井住友と同じGoogle Cloud基盤から送信——複数ブランド並行攻撃の続報

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

本日午前に解析した「イオン銀行に続きJCBも標的に」の続報記事に続き、正午過ぎには三井住友カードを騙る「Vポイント有効期限」詐欺と酷似したインフラを使う、MyJCBを騙るフィッシングメールを確認しました。送信元IPの国・クラウド基盤・ドメインの命名パターンまで一致しており、同一の攻撃グループが複数ブランドを並行して騙っていると判断できます。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★★★ (5/5)
偽装工作精度 ★★★★☆ (4/5)

■ メールヘッダー解析(送信者情報)

件名:[spam] 【MyJCB】カード利用制限のお知らせ

送信者表示名:MyJCBCARD

送信元アドレス:messages-newsletter@service-updates.nomruajapaneg.com(JCB公式ドメインとは無関係)

※メールヘッダー詳細は個人情報保護のため非掲載

受信日時:2026年7月1日 12:40頃

ご覧の通り、このメールはJCBを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族や職場のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


平素よりJCBカードをご愛顧いただき、誠にありがとうございます。

お客様のJCBカードに異常が検出されました。ご利用を一時的に制限しております。確認のため、以下の手順に従ってください:

本人確認:セキュリティのため、ご本人確認が必要です。確認手続き:下記のボタンをクリックし、指示に従ってください。

▼確認手続きを進める
リンク先:hxxps://my-jcb1-co-jp[.]sophziain1.com/iss1/member1/personalauth1/entrance1/(伏字・無効化済み) ・本更新手続きはセキュリティ強化のため必須です ・お手続きを完了いただかない場合、決済認証に失敗する可能性があります ・お客様の情報保護のため、定期的な確認をお願いしております ご不明な点がございましたら、JCBカスタマーサービスまでご連絡ください。 本メールの送信アドレスは送信専用となっております。 返信メールでのお問い合わせは承りかねますので、あらかじめご了承願います。 ■発行元:JCB Webmaster 株式会社ジェーシービー 東京都港区南青山5-1-22 青山ライズスクエア Copyright (c) JCB Co., Ltd. All rights reserved.

※実際に届いたMyJCB偽装メールの画面です。

「カードに異常が検出された」という具体性のない曖昧な表現で、まず不安を植え付ける手口です。実際に何が異常だったのかを一切説明しないまま、本人確認という名目でリンクへ誘導する構成は、詐欺メールに共通する典型パターンです。

■ 送信ルート及び偽装判定

送信元IPアドレス:35.240.164.11(Received-SPFヘッダーのclient-ip値より特定)

SPF認証:Pass(成功)

【偽装判定】:
逆引きすると送信元は「bc.googleusercontent.com」——本日別記事で解析した三井住友カード「Vポイント有効期限」詐欺メールと全く同じ、Google Cloud Platform(グーグルのクラウドサービス)のIPアドレスでした。しかも国レベルのロケーションも同じシンガポールで一致しています。送信ドメイン「service-updates.nomruajapaneg.com」も、あちらの事例で使われた「product-updates.nomruajapanh.com」と酷似した命名規則(同じ単語列+末尾のみ変更)です。これらの一致は偶然とは考えにくく、同一の攻撃グループが複数ブランドを並行して騙っていると判断できます。

発信元ロケーション:シンガポール(クラウドサーバーの所在リージョンに基づく)
詳細:ip-sc.netで35.240.164.11を確認する

■ フィッシングサイト詳細解析

メール内の誘導先URL(伏せ字):hxxps://my-jcb1-co-jp[.]sophziain1.com/iss1/member1/(一部伏字)

このURLはブラウザの広告ブロック拡張機能(フィルタリングルールで危険サイトを検知するもの)で最初にブロックされ、さらにGoogle Chrome(Googleセーフブラウジング)からも「危険なサイト:フィッシングが検出されました」と警告されました。

実際に到達したページのURL(伏せ字):hxxps://miy.jcb[.]walpoleu.com/index/login(一部伏字)

この2つの異なるドメインも同一のサーバーIPアドレスに割り当てられており、Vポイント案件と全く同じ「複数ドメインの使い回し」インフラでした。誘導先ページはMyJCB公式サイトを精巧に模しており、「カード利用制限のお知らせ」というモーダルウィンドウで本人確認を促す構成です。

サイトサーバーIP:8.216.49.64(クラウドサービス, 日本国内リージョンとみられる)
詳細:ip-sc.netで8.216.49.64を確認する

※広告ブロック拡張機能がフィッシングサイトとして検知しブロックした画面です。

※Googleセーフブラウジングによる警告画面です。

※本物そっくりのMyJCBサイトに表示される偽の確認モーダルです。

■ 注意点と対処法

  1. 「確認手続きを進める」ボタンは絶対にクリックしない:リンク先は情報を盗むための偽サイトです。
  2. 「異常が検出された」という曖昧な文言に焦らない:具体的な内容を示さない警告文は詐欺メールの典型です。
  3. 確認は必ずMyJCB公式アプリまたはブックマークから:メール内のリンクからはアクセスしないでください。
  4. 公式の注意喚起の参照:JCB公式:不審なメールがきた場合について

本レポートの結論

「カード利用制限のお知らせ」を騙るこのメールは、本日別記事で解析した三井住友カード偽装メールと送信元IPの国・クラウド基盤・ドメインの命名パターンまで一致する、同一犯による攻撃と判断できます。今朝のイオン銀行×JCB同一犯確定の記事と合わせて、この攻撃グループは複数ブランドを次々と使い回して攻撃を展開していることが見えてきました。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族や職場のLINEグループで『これ気をつけて!』と共有してあげてください。

※ロケーション等の情報は調査時点(2026年7月1日)のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る