【調査報告】ANAマイレージクラブ「マイル付与手続き」「マイル有効期限」同時2通は同一犯!東京渋谷の同じAzureサーバーから送信

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★☆☆ (3/5) |
■ メールヘッダー解析(送信者情報・2通比較)
【1通目】件名:[spam]【ご案内】ANAマイレージクラブ:マイル付与手続きのお知らせ!(期間限定)番号:35625545
送信者表示名:“ANA特典航空券デスク”/送信元アドレス:drop@cn-leisupc.com/送信元IP:23.100.101.194
【2通目】件名:[spam]【注意】マイル有効期限迫るご連絡!(期間限定)番号:64200107
送信者表示名:“ANAマイレージクラブ事務局”/送信元アドレス:laugh@cn-leisupc.com/送信元IP:52.246.162.218
SPF判定(両通とも):Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、ANAの正規メールであることの証明にはなりません)
受信日時:2026年07月02日(木)9時19分〜9時23分頃(4分差で連続着弾)
ご覧の通り、このメールはANAマイレージクラブを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。ANAの公式デザインを模しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです(代表として1通目を掲載。2通目も本文は同一でした)。リンクは絶対にクリックしないでください。
ANA / ANA Group 企業情報 平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。 このたび、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただくい。 下記のボーナスマイルを獲得するチャンスです! ボーナスマイル 6,605マイル 獲得可能期間 今月末まで ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートにご回答ください。回答完了後、ボーナスマイルが自動的に加算されます [ボーナスマイルを獲得](リンク先:hxxps://xvhta[.]com/JVqsVZhN/) このキャンペーンは期間限定となっております。 獲得されたマイルの有効期間は積置日か望年間となります。 この機会にぜひボーナスマイルを獲得はご注意ください。 引き続きANAマイレージクラブをよろしくお願いいたします。 恥兵 ANA カスタマゼーセンター © ANA CO., LTD. All rights reserved.
「平穏りより」「プレゼントさせていただくい」「積置日か望年間」「恥兵」など、正しい日本語と崩れた日本語が入り乱れています。機械的な文字置換やAI生成の失敗跡とみられ、正規のANAが「カスタマゼーセンター」などと表記することは決してありません(笑)。
💡ここで!
「盾アイコンをタップ」の偽セキュリティ確認画面とは
今回のリンク先では、本物のログイン画面が表示される前に「サイトへの接続が安全かどうか確認しています」という、盾アイコンを選ばせる画面が挟まれていました。これは本物のセキュリティチェック(reCAPTCHA等)を模した偽物で、実際のセキュリティ確認機能は一切ありません。人間が実際に操作していることを装うことで、自動解析ツール(ボット)による調査を遅らせたり、回避したりするための仕掛けです。「セキュリティ確認をしているから安全なサイトだ」と誤解させる効果も狙っていると考えられます。
■ 送信ルート及び偽装判定
送信元の正体:2通とも送信元ドメインは「cn-leisupc.com」のサブドメイン(drop.cn-leisupc.com/laugh.cn-leisupc.com)。ANAが利用する正規ドメインは「ana.co.jp」であり、このドメインは一切関係がありません。
送信元サーバーの解析:1通目の送信元IP(23.100.101.194)と2通目の送信元IP(52.246.162.218)は、いずれもMicrosoft Azureが管理する東京都渋谷区の全く同じ住所に割り当てられていました。件名・送信者名・送信元サブドメインを変えて複数パターンを同時配信する、典型的な量産型スパムの運用形態です。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://xvhta[.]com/JVqsVZhN/
リンクドメイン:xvhta.com
サイトサーバーIP:43.153.170.202(Shenzhen Tencent Computer Systems Company Limited/東京)
【サイトの状態】:偽の盾アイコンによる「セキュリティ確認」画面を突破すると、ウイルスバスター クラウドが「脅威の種類:フィッシング」として即座に警告・ブロック。それでも先に進むと、「ANA Inspiration of JAPAN」と書かれた本物そっくりの偽ログイン画面が表示され、お客様番号(10桁)とWebパスワードの入力を求められます。
※本物のCAPTCHA認証を模した偽の確認画面です。
※誘導先URLはウイルスバスターにフィッシングサイトとして検知・ブロックされています。
※本物そっくりに作られた偽のログイン画面です。ここにお客様番号・Webパスワードを入力すると、そのまま攻撃者に渡ってしまいます。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための偽サイトです。
- 件名・送信者が違っても油断しない:今回のように、同じ内容のメールが件名・送信者名だけを変えて複数パターン届くことがあります。
- お客様番号・Webパスワードを入力しない:ANAが公式メールでこれらの入力を求めることはありません。
- 公式サイトを確認:必ず公式アプリまたはブックマークからアクセスしてください。ANAが利用する正規ドメインは「ana.co.jp」のみです。
- 公式注意喚起の参照:ANA公式「ANAを装ったフィッシング詐欺にご注意ください」
本レポートの結論
「マイル付与手続き」「マイル有効期限」という異なる件名・送信者名で同時に届いた2通のメールは、本文もインフラも同一の、ANAマイレージクラブを騙る偽メールでした。送信元は東京都渋谷区の同じMicrosoft Azureサーバー、誘導先は偽のセキュリティ確認画面とウイルスバスターの警告を経て、本物そっくりの偽ログイン画面に至ります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net














