【実録】ETCマイレージサービス「ポイント還元交換」の罠──Google Safe Browsingも検知した偽NEXCOサイトの正体

Heartland-Lab(ハートランド・ラボ)専門調査レポート
【実録】ETCマイレージサービス「ポイント還元交換」の罠──Google Safe Browsingも検知した偽NEXCOサイトの正体
調査レポート:概要
| 件名 | [spam] 重要なお知らせ ETCマイレージサービスからの重要なお知らせ- 1784241878 |
| 差出人表示名 | “お客さまサポート x 1784241878” |
| 送信元ドメイン | nexaho.gooaecreekcandle.top |
| 送信元IP(SPF authorized) | 34.97.239.1(GeoLite2上はJP判定/Googleクラウド帯域) |
| 誘導先ドメイン | hxxps://26cpykqvhzjf.kasynohotel[.]com/refund.php |
| 誘導先IP | 104.21.9.55(Cloudflare anycast/origin隠蔽のため地理情報は意味を持たない) |
| 検知状況 | Google Safe Browsingがすでにフィッシングサイトとして検知・警告表示 |
危険度評価
| URLクリック危険度 | ★★★★☆(Google側で既に警告表示あり) |
| 個人情報詐取リスク(想定) | ★★★★★(クレジットカード登録・ログイン情報を狙う設計) |
| 信憑性演出度 | ★★★★★(具体的なポイント数・受付番号まで作り込み) |
⚠️ NEXCO東日本/中日本/西日本、およびETCマイレージサービスとは一切関係のない詐欺メールです。リンク先でクレジットカード情報やログイン情報を絶対に入力しないでください。
届いたメールの内容
今回届いたのは、ETCマイレージサービス(高速道路利用のポイント制度)を騙る詐欺メールです。差出人表示名は「”お客さまサポート x 1784241878″」と、いかにも自動発行されたチケット番号のような数字が付与されています。件名にも同じ数字列(1784241878)が使われており、大量配信であることを隠すためか、あるいは受信者ごとに一意の番号を振ることで「自分専用の通知だ」と錯覚させる狙いがあると考えられます。
いつもETCマイレージサービスをご利用いただき、厚く御礼申し上げます。 お客様のアカウントにおいて、還元可能なポイント残高が確認されました。 ポイントを還元額に交換いただきますと、ETC通行料金のお支払い額から相応の日本円が差し引き(割引)される形でご利用いただけます。 以下のご案内をご確認いただき、専用ページより交換手続きをお済ませください。 ■ポイント交換内容 ・対象事業者:NEXCO東日本/中日本/西日本 ・保有残高:9,130ポイント ・交換還元額:8,000円 ・還元方法:通行料金より割引適用 ■交換手続きはこちら ▼以下のリンクよりお手続き専用ページへアクセスしてください▼ [ポイント交換手続きへ進む] ■注意事項・ご確認事項 ・還元額の交換および反映は、アカウントに対してのみ行われます。銀行口座・電子マネー等の現金還元はお取り扱いできません。 ・お手続きにはマイレージIDまたはご登録のメールアドレスによるログインが必要となります。 ・お手続き完了後、還元額がアカウントに反映されるまで3〜5営業日程度かかる場合がございます。 ・セキュリティの都合上、本リンクの有効期限は発行日より7日間となります。

受信トレイに表示されたメール本文(差出人・宛先は伏せています)
※メールヘッダー詳細は個人情報保護のため非掲載です。
注目すべきは、この詐欺メールが単に「ポイントがあります」で終わらせず、「保有残高9,130ポイント」「交換還元額8,000円」「受付番号ETC-MA-202607170852298926」といった、実在サービスさながらの細かい数値を作り込んでいる点です。抽象的な文言だけの詐欺メールよりも、具体的な数字が並ぶだけで人は「本物らしい」と感じやすくなります。これは詐欺メール全般に共通する「数字の説得力」を悪用した典型的な手口です。
送信ルートの解析
Received-SPF: Pass(sender SPF authorized)
client-ip=34.97.239.1
helo=nexaho.gooaecreekcandle.top
送信元IP 34.97.239.1 はGeoLite2の国別データベース上では日本(JP)と判定されますが、IPアドレスの帯域自体はGoogleクラウド(GCP:Google Cloud Platform)が保有するレンジに属しています。逆引き(PTRレコード:IPアドレスから元のドメイン名を調べる仕組み)を確認したところ、送信元ドメイン自身を指し示すのみで、Google標準の汎用ホスト名は表示されませんでした。これはGCP上でカスタムのPTR設定を行っていることを示しており、見た目上の身元をぼかす工夫がされている可能性があります。SPF認証は「Pass」ですが、これは詐欺師が自分で取得したドメイン(gooaecreekcandle.top)に対して自分でSPFを設定しているだけであり、ETCマイレージサービス公式であることを何ら保証するものではありません。
💡 ここで!用語解説
Google Safe Browsing:Googleが提供する、危険なウェブサイトを検知してユーザーに警告する仕組み。Chromeなど多くのブラウザに組み込まれており、既知のフィッシングサイトやマルウェア配布サイトにアクセスしようとすると、赤い警告画面でブロックしてくれます。今回のケースでは、この仕組みがすでに機能していました。
Cloudflare anycast:世界中に分散配置されたCloudflareのサーバー群が、同じIPアドレスで通信を受け付ける技術。アクセスした利用者から見えるIPアドレスだけでは、実際にどの国のどのサーバーが応答しているかを特定できません。詐欺サイトの運営者が、自分たちのサーバーの本当の所在地を隠すためにもよく利用されます。
フィッシングサイトの多段構成
メール内の「ポイント交換手続きへ進む」ボタンをクリックすると、以下のような多段階の誘導が確認できました。
第1段階:人間確認チェック画面
「あなたが人間であることを確認します」という、CloudflareのTurnstile(自動巡回ツールを排除するための確認機能)に似せた画面が表示されます。これは正規サイトでもよく使われる仕組みですが、詐欺サイトがセキュリティ調査ツールによる自動検出を回避する目的で悪用するケースも増えています。

第1段階:Cloudflare風の「SECURE CHECK」画面
第2段階:Google Safe Browsingによる警告
人間確認を通過した先で、GoogleのChromeブラウザが「危険なサイト」という赤い警告画面を表示しました。これはGoogle Safe Browsingが、このサイトを既にフィッシングサイトとして検知・登録済みであることを意味します。本来はここで多くの利用者がアクセスを止めるはずですが、警告文の「この安全でないサイトにアクセスしてください」というリンクをあえてクリックしてしまう方が一定数いることが、こうした詐欺の温床になっています。

第2段階:Google Safe Browsingによる警告表示
第3段階:偽のETCマイレージサービスページ
警告を無視して進むと、本物そっくりのETCマイレージサービスのデザインを模したページが表示されます。「保有ポイント残高9,130ポイント」「交換還元額8,000円」といったメール本文と一致する数値が再掲され、ログインページへ誘導する「step1 ログイン → step2 カード登録 → step3 本人認証 → step4 交換完了」という4段階のステップ表示まで用意されていました。ログインID・パスワードに加え、最終的にはクレジットカード情報の入力まで求める設計になっていると見られます。

第3段階:警告を無視した先に表示される偽サイト
誘導先ドメイン kasynohotel.com のサブドメイン部分(26cpykqvhzjf)は、ランダムな英数字の羅列です。こうした無意味な文字列のサブドメインを大量発行する手法は、1つのドメインが検知・遮断されても次々と新しいサブドメインに切り替えて延命を図る、詐欺インフラでよく見られるパターンです。
注意点と対処法
- Chromeなどのブラウザが「危険なサイト」と警告した場合は、絶対に「安全でないサイトにアクセスする」を選ばない
- ETCマイレージサービスのポイント確認は、メール内リンクではなく公式サイト(ブックマークや検索から辿った正規URL)に直接アクセスして行う
- 「具体的な数字(ポイント数・還元額・受付番号等)」が書かれているからといって、それだけで信用しない。詐欺メールでも簡単に作り込める要素です
- クレジットカード情報の入力を求められた時点で、一度立ち止まって公式サイトかどうかを再確認する
- 同様のメールを見かけたら、フィッシング対策協議会への情報提供も検討してください
まとめ
今回のケースで興味深いのは、Google Safe Browsingという強力な防御線がすでに機能していたにもかかわらず、詐欺サイトへの誘導自体は止まっていなかった点です。技術的な防御は万能ではなく、最終的には「怪しいと感じたら公式サイトへ直接アクセスする」という利用者側の習慣が最後の砦になります。具体的な数字が並んでいるからと油断せず、送信元がメールという時点で一呼吸置くようにしましょう。
Data Provided by Heartland-Lab Security Research Unit














