「至急対応」ANAマイル未処理のお知らせは詐欺!偽CAPTCHA×使い捨てドメインの多段誘導を解析

| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【至急対応】マイル未処理のお知らせ!(期間限定)番号:34267914
送信者名:ANAマイレージクラブ事務局
送信元アドレス:soft@soft.hnpetw.com
送信元IP(Received-SPF client-ip):150.136.221.152
SPF認証:Pass(soft.hnpetw.comの正規送信元として登録済み)
DKIM署名:あり(d=soft.hnpetw.com)
受信日時:2026年7月8日
※メールヘッダー詳細(生ログ)は個人情報保護のため非掲載
ご覧の通り、このメールは公式ANAを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。 このたび、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただきます。 下記のボーナスマイルを獲得するチャンスです! ボーナスマイル 6,605マイル 獲得可能期間 今月まで ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートにご回答ください。回答完了後、ボーナスマイルが自動的に加算されます [ボーナスマイルを獲得] このキャンペーンは期間限定となっております。 獲得されたマイルの有効期間は積置日か壁年間となります。 この機会にぜひボーナスマイルを獲得はご注意ください。 引き続きANAマイレージクラブをよろしくお願いいたします。 恥兵 ANA カスタマーゼーセンター © ANA CO., LTD. All rights reserved.

実際に届いたメールの表示画面
本文をよく見ると「平素より」が「平穏りより」に、「カスタマーセンター」が「カスタマーゼーセンター」になっているなど、日本語が随所で崩れています。極めつけは署名部分。本来「ANAカスタマーセンター」と名乗るべきところが、なぜか意味不明な「恥兵」という2文字に化けていました。自動生成テキストの品質チェックを怠った、詐欺師側のうっかりミスと言えそうです。
■ 送信ルート及び偽装判定
Received-SPF:
Received-SPF: Pass (sender SPF authorized) client-ip=150.136.221.152; helo=soft.hnpetw.com
【偽装判定】:
ANAの公式メールは「ana.co.jp」等の正規ドメインからのみ配信されます。本メールの送信ドメイン「soft.hnpetw.com」はANAとは一切無関係の、攻撃者が独自に用意したドメインです。SPFやDKIMが設定されていても、ドメイン名そのものが公式でなければ意味がありません。
発信元ロケーション解析:
送信元IP 150.136.221.152 → プロバイダー:Oracle Corporation(Oracle Public Cloud、AS31898)
所在地:アメリカ合衆国 バージニア州 ラウドン郡 アッシュバーン
💡ここで!メール本文の「文字化け」から分かること
今回のメールのソースデータを確認したところ、日本語の文章部分がHTMLエンティティ(「あ」を「あ」のように、文字を数値コードに変換して表す表記方法。本来は特殊記号などをブラウザで正しく表示するための仕組み)で書かれている箇所がありました。人間の目には普通の日本語に見えても、メールの中身は文字コードの羅列になっているということです。この手法は、迷惑メールフィルターが本文中の「詐欺」「マイル」といった単語をそのまま検知できないようにするための難読化(意図的に読み取りにくくする加工)テクニックの一種です。見た目は普通の日本語メールでも、裏側では検知回避の工夫が凝らされている点に注意が必要です。

メール原文をテキスト表示した際の様子。日本語が文字コード表記になっている
■ フィッシングサイト詳細解析(多段リダイレクト構成)
第1段階の誘導先URL(伏せ字):hxxps://h5-web-wanqiu[.]com/9IBvkCKJWd.jspf (一部伏字)
サイトサーバーIP:43.167.18.212
ロケーション:ip-sc.netでの調査により、プロバイダーはShenzhen Tencent Computer Systems Company Limited(Tencent Cloud、AS132203)と判明。所在地は東京都渋谷区渋谷(北緯35.6764, 東経139.65)と表示されていますが、これはTencent Cloudの日本リージョンのサーバー拠点であり、攻撃者自身の所在地を示すものではありません。
【Googleマップで表示】
【サイトの状態】:ウイルスバスター クラウドが「フィッシング」として即座にブロック。

第1段階の誘導先がフィッシングとしてブロックされた画面
セキュリティソフトの警告を回避するためか、誘導先はさらに別の入口も用意されていました。そこで待っていたのは「盾アイコンを3つタップしてください」という偽の人間認証(CAPTCHA)画面。これは自動解析ツールやセキュリティ研究者のクローラーを弾き、本当に興味を持ってクリックした人間だけを最終的な偽サイトへ通す悪質な仕掛けです。

解析・ボット避けのための偽の人間確認ページ
■ フィッシングサイト詳細解析(第2段階)
第2段階の誘導先URL(伏せ字):hxxps://niyououzhou[.]com/buGDteuP (一部伏字)
【サイトの状態】:ウイルスバスター クラウドが再度「フィッシング」としてブロック。さらにChromeのセーフブラウジング機能も独自に「危険なサイト」として警告を表示しました。二重三重の防御網でブロックされるほど悪質性が高いと判定されているサイトです。
【現況】:調査時点で当該ドメインはDNS解決ができない状態(NXDOMAIN)になっており、既にサイトごと閉鎖されていました。攻撃者が短期間でドメインを使い捨てにする典型的なパターンです。

第2段階の誘導先も同様にフィッシングとしてブロックされた画面

Chromeのセーフブラウジング機能による独自の警告表示

調査時点で誘導先ドメインが既に閉鎖されていたことを示す画面
■ 過去記事との関連・並行送信の確認
本文の骨格(「会員の皆様への感謝を込めて」「簡単なアンケートにご回答ください」等の文言)は、当ラボが2025年5月に解析した以下の記事とほぼ同一で、マイル数だけが6,623→6,605に変更されていました。件名を変えて使い回されている実態が分かります。
・『詐欺メール』『ANAマイレージクラブ 特別ボーナスマイルのお知らせ』と、来た件(2025年5月)
また今回、同一内容・同一犯とみられる「【緊急】マイル未登録の重要通知!(期間限定)番号:33978533」という件名違いのメールも並行して届いていることを確認しています。件名の切り口を変えて広く網を張る、典型的なばらまき型の手口です。
■ 注意点と対処法
- URLをクリックしない:多段リダイレクトの先には、個人情報を盗むための偽サイトが待ち構えています。
- 件名と本文の矛盾に注目:「未処理」という不安を煽る件名なのに、本文は「ボーナス獲得」という真逆の内容——このちぐはぐさ自体が詐欺のサインです。
- 公式アプリ・サイトで確認:マイルの状況は必ずANA公式アプリまたはブックマークした公式サイトから確認してください。
- 公式注意喚起の参照:ANA公式「弊社および弊社グループ会社名を使用した不審なメールにご注意ください」
本レポートの結論
「至急対応マイル未処理」を名乗るこのメールは、2025年に確認済みの「特別ボーナスマイル」詐欺と同じ文面を使い回し、件名だけを変えたものでした。今回は偽CAPTCHAと多段リダイレクトという新しい仕掛けも追加されており、手口が着実に進化しています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















