【実録】JALマイレージバンク「マイル失効」詐欺メールが期限違いで二連続到達——送信元は別々でも同一のシンガポール製フィッシング基盤に着地

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 不審メールの基本情報
■ メール①
件名:[spam] JALマイレージバンク アカウント継続のお願い(期限:7月15日)No.6650655
送信者表示名:JALマイレージバンク <info@jal.co.jp>(アドレスは詐称)
受信日時:2026年7月15日 12:51
※メールヘッダー詳細は個人情報保護のため非掲載
■ メール②
件名:[spam] JALマイレージバンク アカウント継続のお願い(期限:7月30日)No.9886120
送信者表示名:JALマイレージバンク <info@jal.co.jp>(アドレスは詐称)
受信日時:2026年7月15日 12:44:27
※メールヘッダー詳細は個人情報保護のため非掲載
受信間隔はわずか7分。件名も「期限:7月15日」と「期限:7月30日」で異なり、末尾の管理番号(トラッキングコード)もNo.6650655とNo.9886120で別々です。同じテンプレートを使い、件名や番号だけを変えて大量生成・バラマキ送信している典型的なパターンです。
■ メール本文の再現
※以下の内容は届いた詐欺メール①を技術検証のために忠実に再現したものです。
お客様各位 平素よりJALマイレージバンクをご利用いただき、誠にありがとうございます。 ━━━━━━━━━━━━━━━━━━━━ 大切なマイルが消える前に ━━━━━━━━━━━━━━━━━━━━ お客様がお持ちの JALマイル 23,151マイル の一部が、2026年7月30日 をもって失効いたします。 このまま何もしないと、せっかくのマイルがすべて無効になります。 ━━━━━━━━━━━━━━━━━━━━ 23,151マイルで今すぐできること ━━━━━━━━━━━━━━━━━━━━ あなたのマイルがあれば… ・国内線特典航空券(往復)で週末旅行 ・国際線特典航空券に向けてマイル追加 ・JAL Payで日常のお買い物(1マイル=1円) ・Amazonギフト券やJALショッピング商品券に交換 など、旅や暮らしを豊かにする様々な特典と交換いただけます。 ━━━━━━━━━━━━━━━━━━━━ 今すぐマイルを交換する https://www.jal.co.jp/jp/ja/jmb/(※表示のみ。実際の遷移先は別ドメイン) ※ポイント交換の際、本人確認が必須です。ご記入にご協力お願いいたします。 ※ログイン後、特典交換ページでお手続きください(所要時間約2分) ※有効期限を過ぎたマイルの再発行はできません

実際に届いたメール①の画面

実際に届いたメール②の画面。文面はほぼ同一だが管理番号・期限日が異なる
なお、メール②の本文末尾には「ポイント交換の際、本人確認が必須です。ご記入にご協力お願いいたします。FONT>」という、本来読者には見えないはずの生のHTMLタグ(おそらく</font>の閉じ忘れ)がそのまま露出していました。大量生成システムの雑な作りが、思わぬところでボロを出した格好です。
■ 送信ルート及び偽装判定
■ メール①の送信元
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass client-ip=74.235.57.49; helo=sqlmuc.com
送信元IPアドレス:74.235.57.49(Microsoft Corporation・米国バージニア州のホスティング環境)
HELO名:sqlmuc.com(JALとは無関係の第三者ドメイン)
■ メール②の送信元
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass client-ip=4.157.245.158; helo=ixwcft.com
送信元IPアドレス:4.157.245.158
HELO名:ixwcft.com(JALとは無関係の第三者ドメイン)
【偽装判定】:両メールともSPF(送信ドメイン認証の仕組みの一つ)が「Pass」と表示されていますが、これは「sqlmuc.com」「ixwcft.com」という送信者が用意した別ドメインの認証をパスしているだけで、JALの正規ドメインとは一切関係ありません。SPF Passの表示があっても差出人が本物とは限らない、という典型例です。
💡 ここで!用語解説
SPF(エスピーエフ):「このメールは正規の送信元から届いたか」を判定する仕組みの一つ。今回のように、攻撃者が自分で用意した無関係なドメインの認証さえ通っていれば「Pass」と表示されてしまうため、SPF Passだけを見て安全と判断するのは危険です。
HELO(ヘロ):メール送信サーバーが最初に名乗るドメイン名。多くの場合、送信元の正体を知る手がかりになります。
■ フィッシングサイト詳細解析(多段構成)
本文中のリンクをブラウザで確認したところ、表示テキストは「www.jal.co.jp」ですが、実際の遷移先は別サイトであるという警告が表示されました。

リンクテキストは www.jal.co.jp だが、実際の遷移先は別ドメインである旨の警告
■ 第1段階:メール本文の埋め込みリンク
メール①の誘導先(伏せ字):hxxps://aikorevanta[.]com/link/xxxxxxxxxx
メール②の誘導先(伏せ字):hxxps://yunakirexo[.]com/link/xxxxxxxxxx
両ドメインのサーバーIP:43.167.210.181(同一)
ホスティング:Tencent(テンセント)Cloud、シンガポール
一見無関係に見える2つのドメイン「aikorevanta.com」と「yunakirexo.com」ですが、DNS解決(ドメイン名を実際のサーバー住所=IPアドレスに変換する処理)を行ったところ、どちらも同じIPアドレス43.167.210.181を指していることが判明しました。送信元のメールサーバーは別々でも、誘導リンクの中継先は同一という構成です。
■ 第2段階:最終着地の偽ログインサイト
誘導先ドメイン:miyokarexa[.]com/jp
サーバーIP:43.167.180.140
ホスティング:Tencent Cloud、シンガポール(AS132203 / Aceville Pte.Ltd.)
【サイトの状態】:Googleセーフブラウジングにより「危険なサイト」として既にブロック対象になっていることを確認しました。

アクセスを試みると表示されるGoogle Chromeの警告画面
警告を越えてアクセスすると、本物そっくりのJALマイレージバンク会員ログイン画面が表示されます。ロゴやレイアウトも精巧に模倣されており、見た目だけで真偽を判断するのは非常に困難です。

最終的に表示される偽のログインページ(本物と酷似)
整理すると、送信元メールサーバー(Microsoft系/別会社系)は別々でも、誘導リンクの中継先(同一IP)と最終着地の偽サイト(近接するTencentシンガポールの別IP)はいずれも同じ攻撃基盤上に構築されていることになります。同一の攻撃者、あるいは同じフィッシングキットを使う集団が、複数の送信経路を使い分けて同じ着地点に誘導する運用をしていると見られます。
■ 過去記事との関連
JALマイレージバンクを騙るフィッシングメールは今回が初めてではありません。過去にも「アカウント継続のお願い」という同系統の件名で、Google Cloud経由・香港サーバー着地のケースを確認しています(過去記事:JALマイレージバンク アカウント継続のお願いはフィッシング詐欺)。件名の骨格は使い回されつつ、送信インフラは毎回作り替えられているのが実態です。
■ 注意点と対処法
■ 注意点と対処法
- URLをクリックしない:表示されているリンク文字列と実際の遷移先が異なることがあります。メール内のリンクは開かないでください。
- 公式サイト・公式アプリから確認:マイルの状況を確認したい場合は、必ず日頃ブックマークしている公式サイトまたは公式アプリからログインしてください。
- 誤って情報を入力してしまった場合:直ちに公式サイトからパスワードを変更し、JALマイレージバンクサービスセンターにご連絡ください。
- 公式の注意喚起も参照:JALグループを装った不審メール・不審電話・偽サイトにご注意ください(JAL公式)
本レポートの結論
「マイルが失効する」という不安を煽り、期限違いの2通を短時間で送りつける物量作戦でした。送信元は別々でも、誘導先は同一のシンガポールのサーバー基盤に着地しており、組織的な運用がうかがえます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net














