【警告】イオン銀行「3Dセキュア認証」再登録メールは偽物、当日中の期限で急がせる手口を解析

| 緊急性レベル | ★★★★★ (5/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] 3Dセキュア認証(本人認証サービス)の再登録・ワンタイム認証手続き
送信者名:“AEON”
送信元アドレス:noreply@2gnmx.wafixc.com
ドメインIP解析:51.145.229.28(Microsoft Corporationのホスティング環境/オランダ・アムステルダム)
受信日時:2026年7月6日 15:11(JST)
添付ファイル:「asda.xzcas」(拡張子が不審なため当スタッフでは開封・解析していません)
※メールヘッダー詳細(Receivedフィールドの生ログ等)は個人情報保護のため非掲載
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
[IMAGE_URL_届いた詐欺メールの画面]
※実際に届いたメールの画面です。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
イオン銀行 AEON Bank 【重要】セキュリティ認証 再確認のお願い 平素よりイオン銀行をご利用いただき、誠にありがとうございます。 お客様の口座ならびにインターネットバンキングにご登録いただいております「セキュリティ認証(本人認証サービス・3Dセキュア)」の有効期限が切れているか、または再登録が必要な状態となっております。 セキュリティ強化のため、再認証手続きを弊行システムにてご依頼しております。 ※再認証が完了しない場合、一部のインターネット決済(イオン銀行デビット/オンライン振込等)がご利用いただけなくなる可能性がございます。 要対応期限:2026-07-06(当日中) 対応内容:3Dセキュア認証(本人認証サービス)の再登録・ワンタイム認証手続き 認証手続きは下記の専用ボタンより認証画面へお進みください。 (※セキュリティ保護のため、必ずご自身でブラウザを開き直接アクセスするか、イオン銀行公式アプリからお手続きください) [セキュリティ認証ページ](ボタン) ⚠ 本メールに心当たりがない場合や、不審な点がある場合は直ちにイオン銀行コールセンターまでご連絡ください。 ※本メールは送信専用アドレスより配信されています。返信いただいてもご回答できません。 🔒 不審なリンクはクリックせず、イオン銀行公式アプリからアクセスすることを推奨します。 イオン銀行 〒100-0005 東京都千代田区丸の内一丁目1-1 カスタマーサポート:0570-9085-4643(無料)
💡ここで!
「3Dセキュア認証」とは
クレジットカードのネット決済時に、カード番号とは別に本人確認用のパスワードやワンタイムコードの入力を求めるしくみのことです。不正利用を防ぐための正規の仕組みですが、今回のように「期限切れなので再登録を」と称して偽サイトに誘導し、その認証情報自体を盗み取る手口に悪用されるケースが増えています。
まず気になるのは、送信者名が「AEON」となっている一方で、メールアドレスのドメインがwafixc.comという、イオングループとは全く縁のない文字列になっている点です。正規のイオン銀行からのメールは「@aeonbank.co.jp」ドメインで届きます。ドメインを合わせずに送信者名だけ「AEON」を名乗るあたり、同じ楽屋を衣装だけ替えて使い回しているような雑さが見て取れます(笑)。
■ 送信ルート及び偽装判定
送信元IPアドレス:51.145.229.28(Received-SPF: pass 認証の結果から採用。SPFとは、送信元メールサーバーが正規のものかを確認する仕組みで、今回は形式上「認証済み」ですが、認証されているのは攻撃者自身のサーバーであり、イオン銀行の正規サーバーではありません)
【偽装判定】:
正規のイオン銀行からのメールは「aeonbank.co.jp」ドメインの正規サーバーから送信されます。本メールの送信元ドメイン「2gnmx.wafixc.com」は、Microsoft社のクラウドホスティング環境(AS8075)上に置かれた第三者のサーバーであり、イオン銀行の公式サーバーとは一切関係がありません。
発信元ロケーション解析:
オランダ・アムステルダム(緯度52.3676, 経度4.90414)
Googleマップ:【位置情報を確認する】
IP詳細:【ip-sc.netで詳細を確認する】(脅威レベル:低)
※ボタンを押すと、まずこのような「確認中」の画面が一瞬表示されます。
※セキュリティソフトが「安全でない可能性があります」と警告を表示するケースも確認されています。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://pgmbfc.com/mkRpxVuu/
リンクドメイン:pgmbfc.com(ホスト名:ckmabb.info)
サイトサーバーIP:192.227.190.150
運用元:RackNerd LLC(AS36352 ColoCrossing)のホスティング環境
ロケーション:アメリカ・ニューヨーク州バッファロー(緯度42.8864, 経度-78.8784)
Googleマップ:【Googleマップで表示】
IP詳細:【ip-sc.netで詳細を確認する】(脅威レベル:低)
【サイトの状態】:ウイルスバスター クラウドにより「フィッシング」の脅威として既にブロック対象となっていることを確認しています。ボタンを押すと「安全な接続を確認しています」という偽の読み込み画面を経由したのち、本物そっくりの「AEON CARD 暮らしのマネーサイト」ログイン画面(AEON Pay ID・パスワード入力欄)が表示される作りです。
※スマートフォンから開くと、本物そっくりの偽サイトが現れます。
ホスト名が「ckmabb.info」であるにもかかわらず、実際にアクセスするアドレスは「pgmbfc.com」という別のドメインになっている点も見逃せません。同じサーバー基盤を複数の使い捨てドメインで使い回す、よくあるフィッシングキットの典型的な構成です。
■ 注意点と対処法
- メール内のリンクやボタンは絶対にクリックしないでください。リンク先は本人認証情報を盗むための精巧な偽サイトです。
- 不審な添付ファイルは開かないでください。今回のような見慣れない拡張子のファイルは、開くだけで被害につながる恐れがあります。
- 公式サイト・公式アプリを利用:インターネットバンキングへのアクセスは、必ずお気に入り登録した公式サイトか「通帳アプリ」「AEON Payアプリ」などの公式アプリから行ってください。
- 公式注意喚起の参照:イオン銀行 フィッシング詐欺に関するご注意
- 心当たりのないメールを受け取った場合や、万が一情報を入力してしまった場合は、直ちにイオン銀行コールセンターへご連絡ください。
本レポートの結論
今回の詐欺メールは、「セキュリティ認証の期限切れ」「当日中の対応」という2つの言葉で読み手を焦らせ、冷静な判断をさせないよう仕組まれています。送信元も誘導先も、オランダとアメリカの海外サーバーというイオン銀行とは無縁のインフラであり、本物である要素は一切ありませんでした。身近な人が同じ手口に引っかかってからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
※ロケーション情報は調査時点(2026年7月6日)のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net















