【続報】JALマイレージバンクを騙る「アカウント継続のお願い」詐欺、No.違いで6通の波状攻撃——マイル失効を煽る手口を再解析

| 緊急性レベル | ★★★★☆ (4/5) ※「大切なマイルが消える前に」と失効を煽る文面 |
| 偽装工作精度 | ★★★☆☆ (3/5) ※表示URLと実際の誘導先が異なる巧妙な偽装あり |
■ メールヘッダー解析(送信者情報)
件名:[spam] JALマイレージバンク アカウント継続のお願い(期限:7月15日)No.373354
送信者名:JALマイレージバンク(表示アドレス:info@jal.co.jp ※表示名詐称)
真の送信元アドレス:sq07.grandlakefuneralhomes.com(envelope-from/HELO)
ドメインIP解析:20.48.38.23(sq07.grandlakefuneralhomes.com)
受信日時:2026年07月08日(水)09時20分頃
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、このメールは公式JALマイレージバンクを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
▲ 実際に届いた詐欺メールの画面です。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化のうえ掲載しています。
お客様各位 平素よりJALマイレージバンクをご利用いただき、誠にありがとうございます。 ────────── 大切なマイルが消える前に ────────── お客様がお持ちの JALマイル 23,151マイルの一部が、2026年7月15日 をもって失効いたします。 このまま何もしないと、せっかくのマイルがすべて無効になります。 ────────── 23,151マイルで今すぐできること ────────── あなたのマイルがあれば… ・国内線特典航空券(往復)で週末旅行 ・国際線特典航空券に向けてマイル追加 ・JAL Payで日常のお買い物(1マイル=1円) ・Amazonギフト券やJALショッピング商品券に交換 など、旅や暮らしを豊かにする様々な特典と交換いただけます。 ────────── 今すぐマイルを交換する (リンクは無効化済み) ※ログイン後、特典交換ページでお手続きください(所要時間約2分) ※有効期限を過ぎたマイルの再発行はできません ────────── ご不明な点は、JALマイレージバンクサービスセンターまでお問い合わせください。 今後ともJALグループをご愛顧賜りますよう、よろしくお願い申し上げます。 ────────── JALマイレージバンクサービスセンター (リンクは無効化済み) 6S944W
本文中のリンク表記をよく見ると、実は表示されているURLの「co.jp」の部分にわざと半角スペースが挿入されており「c o.jp」となっています。人の目にはほぼ気づかれない一方、URLを機械的に検出するフィルターを回避する狙いがあるとみられます。しかも実際にリンクを踏むと、表示されているURLとはまったく異なる誘導先に飛ばされる仕組みでした。表示と実態がここまで食い違うのは、なかなか手が込んでいます。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass (sender SPF authorized) client-ip=20.48.38.23; helo=sq07.grandlakefuneralhomes.com; envelope-from=sq07.grandlakefuneralhomes.com
【偽装判定】:
正規のJALマイレージバンクからのメールは「jal.com」等の公式ドメインから送信されます。本メールの送信ドメイン「grandlakefuneralhomes.com」は、直訳すると「グランドレイク葬儀会館」という、JALはおろか航空業界とすら一切関係のない、海外の葬儀会社を思わせるドメイン名です。攻撃者が乗っ取ったか、あるいは第三者から購入した既存ドメインを踏み台にしている可能性があります。送信者表示のみ「info@jal.co.jp」を騙っていますが、実際の配信元はこの無関係なドメインでした。
発信元ロケーション解析:
クラウド事業者:Microsoft Corporation(Azure、hosting)
緯度・経度:35.6764, 139.65
Googleマップ:【位置情報を確認する】
※クラウド事業者の代表所在地であり、実際の攻撃者の所在地とは限りません。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://kanelora.info/jp (一部伏字)
リンクドメイン:kanelora.info
サイトサーバーIP:43.167.180.140(Shenzhen Tencent Computer Systems Company Limited)
ロケーション:東京都渋谷区(Tencent Cloud東京リージョン) (35.6764, 139.65)
マップ:【Googleマップで表示】
※クラウド事業者の代表所在地であり、実際の攻撃者の所在地とは限りません。
【サイトの状態】:ウイルスバスター クラウドおよびChromeセーフブラウジングの両方でフィッシングサイトとしてブロック済みです。JALの会員ログイン画面(JMBお得意様番号・パスワード入力欄)を精巧に模倣しています。
▲ ウイルスバスター クラウドがフィッシングサイトとして検知・ブロックした際の警告画面。
▲ Chromeのセーフブラウジング機能による「危険なサイト」警告画面。
▲ JALの会員ログイン画面を模した偽サイト。デザインは本物とほぼ同じですが、URLはkanelora.infoというJALと無関係のドメインです。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
■ 注意点と対処法
- URLをクリックしない:本文中のリンクは、表示文字列と実際の誘導先が異なる場合があります。マイル確認は必ずJAL公式アプリまたはブックマークから行ってください。
- 送信元アドレスを確認:JALマイレージバンクからのメールは「jal.com」等の公式ドメインからのみ配信されます。それ以外のドメインからのメールは偽物です。
- 個人情報を入力しない:JMBお得意様番号やパスワードの入力を求めるページが表示されても、URLが公式ドメインでなければ絶対に入力しないでください。
- 公式注意喚起の参照:JAL公式 フィッシング詐欺にご注意ください
本レポートの結論
今回のメールは、4月に確認した同名件名の詐欺メールの後継とみられ、送信インフラ・誘導先ドメインを変えつつ、短時間に管理番号違いで大量送信するという同じ手口を続けています。表示URLと実際の誘導先を意図的に食い違わせるなど、手口自体は確実に巧妙化しています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
















