【実録】イオン銀行「セキュリティ認証の再確認」詐欺メール、件名にゼロ幅文字を混入——SPF/DKIM完全パスの高精度ななりすましを解析

HL-META: date=2026-07-16 | brand=イオン銀行(AEON Bank) | category=本人確認 | theme=Amethyst | permalink=aeonbank-zerowidth-spfpass-2026

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

今回ご紹介するのは、イオン銀行を騙り「セキュリティ認証の再確認」を求めてくるフィッシングメールです。件名には目に見えない特殊な文字が大量に埋め込まれ、迷惑メールフィルターの検知を回避する工作が施されていました。さらに、送信元はSPF・DKIMともに正規の認証をきちんと通過するという、手口が一段階進化した事例です。

※重要:SPF・DKIMが「認証成功」と表示されていても、それは「送信者が自称するドメインから確かに送られてきた」ことの証明に過ぎず、「安全なメールである」ことの証明にはなりません。今回のように攻撃者自身が取得したドメインでは、認証が通って当然です。認証結果だけを鵜呑みにしないでください。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★★☆ (4/5)

■ 調査レポート:概要

件名:【重要】セキュリティ認証の再確認のお願い|イオン銀行(実際の件名にはゼロ幅文字が1文字おきに混入。詳細は後述)

差出人表示:“AEON CARD” <knw16@knw16.uffeu.com>

送信元アドレス/ドメイン:knw16.uffeu.com(攻撃者が独自に取得・運用していると見られる自前ドメイン)

送信元IP(Received-SPF解析):4.197.158.22(SPF認証:Pass/DKIM署名:有効)

IPアドレスの国:オーストラリア

※メールヘッダー詳細(宛先・Message-ID等)は個人情報保護のため非掲載

この記事で取り上げるメールは詐欺(フィッシング)メールです。本文中のリンクは絶対にクリックしないでください。

メール本文の実データ表示。見た目には現れない特殊文字(ゼロ幅結合子・ゼロ幅スペース等)が単語の間にびっしり埋め込まれている

画面のコードの羅列にたじろいだ方もご安心ください。人間が普通にメールソフトで見る分には、これは単に「【重要】セキュリティ認証の再確認のお願い|イオン銀行」という何の変哲もない件名に見えます。迷惑メールフィルターだけが、この見えない文字の羅列に阻まれて「危険な単語」を検知できなくなる、という巧妙な仕掛けです。

※以下は届いた詐欺メールの本文を、ゼロ幅文字を除去したうえで技術検証のために再現したものです。

イオン銀行AEON Bank

【重要】セキュリティ認証の再確認のお願い

平素よりイオン銀行をご利用いただき、誠にありがとうございます。

お客様の口座などにイオンネットバンキングにご登録いただいており、
「セキュリティ認証(本人認証サービス・3Dセキュア)」の有効期限が
(以下、原文はここで途切れています)

■ 送信ルート及び偽装判定

【偽装判定】:差出人表示は「AEON CARD」となっていますが、実際のメールアドレスはknw16@knw16.uffeu.comという、イオン銀行・イオンカードとは一切関係のない独自ドメインです。DNS解決の結果、このドメイン自体が送信元IPアドレスと完全に一致しており、攻撃者が自分専用のメールサーバーを丸ごと構築し、正規の送信ドメイン認証まで自前で整えていることが分かりました。せっかくここまで手間をかけたのに、肝心の差出人名を「AEON CARD」のまま使い回してしまい、イオン銀行を騙るメールなのに表示名はイオンカードという、ちぐはぐな仕上がりになっている点はご愛敬です。

送信インフラの正体:Received-SPFのclient-ip値から、送信元IPアドレスは4.197.158.22であることが判明しました。国別データベースで調べたところ、オーストラリアと判定されています。

💡 ここで!用語解説

ゼロ幅文字:画面上には一切表示されないものの、データとしては存在する特殊な文字です。単語の間に挟み込むことで、人間の目には自然な文章に見えたまま、機械的な単語検索(迷惑メールフィルター等)だけを回避できます。

SPF Pass/DKIM署名:どちらも「送信ドメインの持ち主が、そのメールの送信を許可しているか」を確認する仕組みです。Passや署名成功は「送信者が自称するドメインの持ち主による送信」であることの証明にすぎず、その持ち主が善意の企業か悪意の攻撃者かまでは判定してくれません。今回のように攻撃者が自分でドメインを取得すれば、SPF・DKIMは当然パスします。

■ フィッシングサイト詳細解析(多段構成)

誘導先URL(伏せ字):hxxps://dghzf[.]com/UcdqseMZ/

サーバーIP(DNS解決結果):23.95.18.230

ロケーション:米国

リンクへのアクセス直後に表示される「安全な接続を確認しています」という偽の検証画面

リンクをクリックすると、まず「安全な接続を確認しています」という、いかにもブラウザ標準機能のような画面が表示され、「【確認】画面をクリックまたはタップしてください」というボタンの操作を求められます。これはセキュリティ企業の自動巡回プログラム(クローラー)による検知を足止めするための仕掛けで、人間が実際にクリックしないと先に進めない設計になっています。

調査中、ウイルスバスター クラウドがこのサイトを「フィッシング」として自動的にブロックした画面(これは弊社側のセキュリティソフトの正常な動作であり、攻撃者が用意した画面ではありません)

今回、実際にアクセスを試みたところ、途中でウイルスバスター クラウドが「このWebサイトは、安全ではない可能性があります」「脅威の種類:フィッシング」と自動的に警告・ブロックしました。せっかく自前ドメイン・正規SPF/DKIMまで用意して手間をかけたのに、肝心のフィッシングサイト自体はしっかりセキュリティソフトのブラックリストに載っていたようです。日頃からセキュリティソフトを導入している方であれば、この時点で被害を防げていたことになります。技術検証のため、以降は解析目的で警告を解除して先に進みましたが、通常はこの画面が出た時点で絶対にアクセスを続けないでください。

ブロックを解除して調査を続けた先に表示された、AEON CARD(暮らしのマネーサイト)を精巧に模した偽ログイン画面

最終的にたどり着いたのは、AEON Pay IDとパスワードの入力を求める偽ログイン画面でした。公式サイトのデザインを非常に精巧に再現しており、見た目だけで真偽を判断するのは困難です。

■ 注意点と対処法

  1. URLをクリックしない:「セキュリティ認証の再確認」等の文言があっても、メール内のリンクは開かないでください。
  2. SPF/DKIM Passを過信しない:認証が通っていても、送信ドメイン自体が攻撃者所有の可能性があります。
  3. セキュリティソフトの警告は絶対に解除しない:「安全でない可能性があります」と表示されたら、そこでアクセスを中止してください。
  4. 公式アプリ・ブックマークから確認:イオン銀行の手続きは、必ず公式アプリか日頃ブックマークしている正規ページから行ってください。
  5. 誤って情報を入力してしまった場合:直ちにAEON Pay ID・パスワードを変更し、イオン銀行のサポート窓口へ正規の連絡先を通じて連絡してください。

本レポートの結論

件名へのゼロ幅文字混入によるフィルター回避、自前ドメインによるSPF/DKIM完全パス、そして人間の手動操作を要求するクローキング画面と、手口全体を通じて従来より一段階手が込んだ攻撃でした。一方で差出人表示名の不一致など、細部には詰めの甘さも見られます。幸い今回はセキュリティソフトが自動的にブロックした実例も確認できました。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

この記事をLINEで送る

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る