【続報・同一犯確定】イオン銀行に続きJCBも標的に——フィッシングサイトのIPが完全一致、複数ブランド並行攻撃の実態

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★★ (5/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【MyJCB】セキュリティシステム更新に伴う再認証の手続き
送信者表示名:MyJCB
送信元アドレス:noreply@xhaqfx.cwpxqp.com
送信元ドメインの実体:「Email Relay」という外部のメール中継サービス上にアカウントを作成し、そこから送信
受信日時:2026年6月30日(火)15:07
ご覧の通り、このメールは公式MyJCBを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。受信者のメールアドレスのローカル部は個人情報保護のため伏せ字にしています。
MyJCB 【重要】3Dセキュア認証 再確認のお願い 平素よりJCBカードをご利用いただだき、誠にありがとうございます。 お客様のカードに紐づく3Dセキュア認証(本人認証サービス・JCB Secure)の有効期限が切れております。 セキュリティ向上の観点から、再認証をお願いしております。 再認証が行われない場合、一部のインターネット決済サービス(オンラインショッピング等)がご利用いただけなくなる可能性がございます。 要対応期限:2026-06-30 対応内容:3Dセキュア認証(本人認証サービス)の再登録・認証手続き 認証手続きは下記の専用ボタンより認証画面へお進みください。 (※セキュリティ保護のため、必ずご自身でブラウザを開き直接アクセスするか、JCB公式アプリからお手続きください) [3Dセキュア認証を実行する](ボタン) ⚠ 本メールに心当たりがない場合や、不審な点がある場合は直ちにJCBカードコールセンターまでご連絡ください。 ※本メールは送信専用アドレスより配信されています。返信いただいてもご回答できませんのでご了承ください。 🔒セキュリティ対策の観点から、不審なメールのリンクを直接クリックせず、JCB公式サイトのブックマークまたはJCB公式アプリからアクセスすることを推奨いたします。 株式会社ジェーシービー 東京都港区南青山5丁目1番22号 青山JCBビル JCBインフォメーションセンター(案内窓口):0570-900-729(有料) *紛失・盗難のご連絡は、24時間年中無休で承っております。 JCB Co., Ltd. All Rights Reserved.
※実際に届いた詐欺メールの画面です。MyJCBの公式デザインを精巧に模倣しています。
■ 送信ルート及び偽装判定
SPF・DKIM認証結果:
SPF(送信元のメールサーバーがそのドメインの正規サーバーとして登録されているかを確認する仕組み)はPass、DKIM署名(メールが送信後に改ざんされていないことを証明する電子的な署名)も正しく検証されました。前回のイオン銀行のケースと同様、これは送信元ドメイン「xhaqfx.cwpxqp.com」自体の設定が正しいだけで、JCBとは一切無関係です。DKIMの「セレクタ」(署名に使う鍵を区別するための識別名)が、前回のイオン銀行の事例と同じ「selector2」であった点も、同一の送信ツール・同一グループの関与を示す技術的な手がかりです。
※メールヘッダー詳細は個人情報保護のため非掲載
フィルター回避の工作:
本メールのプレーンテキスト版(HTML非対応のメールソフト向けの予備データ)にも、前回のイオン銀行の事例と同様、一文字ずつの間に画面には表示されない特殊文字(ゼロ幅文字)が大量に挿入されていました。同一の詐欺ツールキットが使われている可能性が高いです。
発信元ロケーション解析:
最初にメール中継サービスへ接続した記録には、IPアドレス「70.33.235.38」と、ホスト名として「smtp.signup-reminder.fukuoka.jp」が記載されていました。イオン銀行の事例で確認された「mail.bf51ddg.go.jp」と同様、日本の公的機関・地域名を装った自己申告のホスト名であり、実在する登録ドメインではありません。調査の結果、このIPはアメリカ・カリフォルニア州ロサンゼルス周辺のホスティング業者(Aptum Technologies)が管理する回線でした。
ロケーション詳細:【ip-sc.netで70.33.235.38を確認する】
Googleマップ:【周辺エリアを確認する】
中継サーバーのロケーション:
20.223.156.162はMicrosoft社が運用するクラウド基盤(Azure、インターネット経由で利用できるサーバーの貸し出しサービス)上のサーバーで、アイルランド・レンスター地方ダブリン周辺に設置されています。
ロケーション詳細:【ip-sc.netで20.223.156.162を確認する】
※イオン銀行の事例と同じ手法で、画面には見えない特殊文字が大量に挿入されています。
■ イオン銀行の事例との比較
| 項目 | イオン銀行(前回) | MyJCB(今回) |
| DKIMセレクタ | selector2 | selector2(一致) |
| 中継サーバー基盤 | Azure(オランダ) | Azure(アイルランド) |
| 自称ホスト名 | mail.bf51ddg.go.jp(偽装) | smtp.signup-reminder.fukuoka.jp(偽装) |
| フィッシングサイトIP | 23.95.137.188 | 23.95.137.188(完全一致) |
送信インフラだけは律儀にブランドごとに国もサービスも変えているのに、着地点となるフィッシングサイトのサーバーだけは使い回してしまうあたり、手間のかけどころを完全に間違えています(笑)。おかげでこちらとしては、動かぬ証拠を発見できたわけですが。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://xcrjb.com/AxHdXURI (一部伏字)
リンクドメイン:xcrjb.com
サイトサーバーIP:23.95.137.188 — イオン銀行の事例(fgygg.com)と完全に同一のサーバーです。
ロケーション:アメリカ合衆国・ニューヨーク州バッファロー周辺(イオン銀行の事例と同じ場所)
ロケーション詳細:【ip-sc.netで23.95.137.188を確認する】
【サイトの状態】:イオン銀行の事例と全く同じ多段階の仕組みでした。まず「安全な接続を確認しています」という偽の検証画面が表示され、続いてウイルスバスターが「フィッシング」と判定してブロック。この警告が出た時点で、絶対にそれ以上先へ進まないでください。警告を無視して進むと、MyJCBの公式デザインを精巧に模した偽のログイン画面が表示されます。
※イオン銀行の事例と全く同じ、時間稼ぎ用の画面です。
※URL欄に表示されているドメインが今回のフィッシングサイトです。
※警告を無視して進んだ先に表示される、本物そっくりの偽サイトです。
■ 注意点と対処法
- セキュリティソフトの警告が出たら絶対に先へ進まない:「安全と思って解除」した先には、本物そっくりの偽サイトが待っています。
- メール内のリンクやボタンは絶対にクリックしない:SPF・DKIM認証が「合格」でも、差出人が本物である証明にはなりません。
- 公式サイトを確認:必ずJCB公式アプリまたはブックマークからアクセスしてください。
- 複数のブランドから同様のメールが届いていないか家族にも確認:同一犯グループが複数ブランドへ並行攻撃を行っています。
- 公式注意喚起の参照:フィッシング詐欺にご注意ください(JCB公式)
本レポートの結論
JCBを騙るこの詐欺メールは、イオン銀行を騙る詐欺メールと同じ日に、同じ文面構成・同じDKIMセレクタで届きました。送信インフラの国やサービスはブランドごとに変えられていましたが、誘導先のフィッシングサイトは完全に同一のサーバーでした。つまり同一の攻撃者グループが、複数の金融ブランドへ並行して攻撃を仕掛けているということです。一つのブランドを警戒するだけでは不十分です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月1日)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net














