【実録】JALマイレージバンク詐欺、件名は「期限:7月15日」なのに本文は「7月30日」で自己矛盾——From偽装とSPF Passの罠を解析

Heartland-Lab(ハートランド・ラボ)専門調査レポート
相変わらず届き続けているJALマイレージバンクを騙る詐欺メールですが、今回は文面そのものに面白い矛盾が見つかりました。件名と本文で失効日が食い違うという、なんともお粗末な仕上がりです。
調査レポート:概要
| 件名 | [spam] JALマイレージバンク アカウント継続のお願い(期限:7月15日)No.693448421 |
| 差出人表示 | “JALマイレージバンク” <info@jal.co.jp>(表示のみ、実際は偽装) |
| 真の送信元IP | 20.51.247.174(米国/Microsoft Azure) |
| 誘導先ドメイン | hxxps://sorunavika[.]info/jp/ |
| 偽装工作精度 | ★★★★☆(誘導先の会員ログイン画面はJAL公式そっくり) |
| 文面の整合性 | ★☆☆☆☆(件名と本文で失効日が矛盾) |
これはJALとは一切関係のない詐欺メールです。本文中の「今すぐマイルを交換する」というリンクは絶対にクリックしないでください。
届いたメールの内容を、技術検証のためそのまま再現します。
件名:[spam] JALマイレージバンク アカウント継続のお願い(期限:7月15日)No.693448421 送信者:"JALマイレージバンク" <info@jal.co.jp> お客様各位 平素よりJALマイレージバンクをご利用いただき、誠にありがとうございます。 ──────────── 大切なマイルが消える前に ──────────── お客様がお持ちの JALマイル 23,151マイルの一部が、2026年7月30日 をもって 失効いたします。 このまま何もしないと、せっかくのマイルがすべて無効になります。 ──────────── 23,151マイルで今すぐできること ──────────── あなたのマイルがあれば… ・国内線特典航空券(往復)で週末旅行 ・国際線特典航空券に向けてマイル追加 ・JAL Pay で日常のお買い物(1マイル=1円) ・Amazonギフト券や JALショッピング商品券に交換 など、旅や暮らしを豊かにする様々な特典と交換いただけます。 ──────────── 今すぐマイルを交換する https://www.jal.co.jp/jp/ja/jmb/ /A> ※ ポイント交換の際、本人確認が必須です。ご記入にご協力お願いいたします。 FONT> ※ログイン後、特典交換ページでお手続きください(所要時間約2分) ※有効期限を過ぎたマイルの再発行はできません ──────────── ご不明な点は、JALマイレージバンクサービスセンターまでお問い合わせください。 今後ともJALグループをご愛顧賜りますよう、よろしくお願い申し上げます。 ──────────── JALマイレージバンクサービスセンター https://www.jal.co.jp/jp/ja/jmb/ /A> SADIN88

▲ 実際に届いた詐欺メールの画面です。
※メールヘッダー詳細は個人情報保護のため非掲載です。
まず気づくのが、件名では「期限:7月15日」なのに、本文では「2026年7月30日をもって失効」と書かれている点です。7月18日に受信したこのメールは、件名の期限だけで見ればすでに3日過ぎています。おそらく件名のテンプレート(No.違いで大量生成される部分)と、本文のテンプレートが別々に作られており、両者の整合性を取らないまま機械的に組み合わせて送信しているのでしょう。
また、リンクのURL表記も「https://www.jal.co.jp/jp/ja/jmb/ /A>」となっており、末尾に本来表示されるはずのないHTMLタグの断片「/A>」が紛れ込んでいます。テンプレートのHTML構造が崩れたまま送信されている証拠と考えられます。なお、表示されているURL自体はJAL公式ドメインに見えますが、実際のリンク先は全く別のサイトに設定されています。
送信ルートおよび偽装判定
ヘッダーを解析したところ、次の情報が確認できました。
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=20.51.247.174; helo=jzwapp.com; envelope-from=noreply-ota=[受信者ドメイン]@jzwapp.com
ここで注意したいのが、「SPF: Pass」という表示に安心してはいけないという点です。メール画面上の差出人表示は「info@jal.co.jp」となっていますが、実際にSPF認証の対象になっているのは、封筒送信者(envelope-from)である「jzwapp.com」というドメインです。攻撃者は自分で取得したこの「jzwapp.com」に対して正しくSPFを設定しているだけなので、当然Passします。つまり、SPFがPassしているのはjzwapp.comの正当性であって、JALからのメールであることの証明にはなりません。
DKIM署名も「d=jal.co.jp」を名乗っていますが、これも攻撃者側が用意した自己署名とみられ、JAL公式の正規の署名鍵とは無関係です。表示上の差出人(Fromヘッダー)と、実際の送信認証の対象(envelope-from)が異なるという、典型的ななりすましの手口が使われています。
用語解説
From(表示送信者)とenvelope-from(封筒送信者):メールには「画面に表示される差出人」と「配送のために使われる本当の宛先情報」の2つの送信者情報があります。攻撃者は前者だけを偽装し、後者は自分の管理するドメインを使うことで、SPFなどの認証チェックを不正に通過させることができます。
SPF(エスピーエフ):「このメールは、このドメインの管理者が許可した送信元から送られた」ことを証明する仕組みです。ただし、その対象は表示上の差出人ではなく封筒送信者のドメインである点に注意が必要です。
真の送信元IP「20.51.247.174」はMicrosoft Azureが管理する米国の帯域でした。クラウド基盤のため、この所在地情報がそのまま攻撃者の実在地を意味するわけではありません。
フィッシングサイト詳細解析
誘導先の「sorunavika.info」にアクセスすると、JAL公式サイトとほぼ同じデザインの会員ログイン画面が表示されます。

▲ デザインは本物とほぼ同じだが、URLはJALとは無関係のドメイン。JMBお得意様番号とパスワードの入力を狙う。
このドメインのDNS解決先IPは43.167.8.159でした。GeoLite2の国別データベース上ではJP(日本)と表示されますが、このIPレンジは記憶にある通りTencent Cloudでしばしば見られる誤判定パターンに該当するため、実際のホスティング拠点が本当に日本国内かどうかは慎重に見る必要があります。
なお、当サイトでは以前にもJALマイレージバンクを騙る「アカウント継続のお願い」がNo.違いで6通の波状攻撃として届いた事例を解析しています。今回のような期限違いの複数パターンが同時に出回っているのは、その延長線上の動きと考えられます。
注意点と対処法
- 件名や本文の「期限」表記を鵜呑みにせず、複数の日付が矛盾していないか確認する。矛盾があれば詐欺と判断できる。
- マイルの状況を確認したい場合は、メール内のリンクではなくJAL公式アプリやブックマークから直接アクセスする。
- 「SPF認証済み」等の技術的な話を聞いても、それだけで安全とは判断しない。
- 同様のメールを見かけたら、ご家族や周囲の方にも注意を呼びかける。
今回のメールは、件名と本文の期限が食い違うという分かりやすい矛盾がありました。急かす文面ほど、実は細部の詰めが甘いことが多いものです。慌てずに文面全体を読み比べる習慣が、被害を防ぐ一番の近道かもしれません。ぜひご家族にもこの記事を共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net














