【緊急・実録】ANAを騙る偽「ボーナスマイルキャンペーン」詐欺メール発覚——SPF/DKIM両Pass偽装+難読化の二重工作を徹底解説
🔴 緊急度:高
■ メールヘッダー解析(送信者情報)
件名:[spam]【ANA限定】ボーナスマイルキャンペーン開催中
送信者名:“ANA”
送信元アドレス:day@day.harsyee.com
送信元ドメインIP:150.136.96.16(Oracle Cloud Infrastructure・逆引き失敗)
受信日時:2026年6月9日 10:50 +0900(JST)
SPF認証:Pass(authorized) ※要注意
DKIM署名:Pass(d=day.harsyee.com、s=day) ※要注意
届いた詐欺メールの全体像です。
▲ ANAのロゴと青いデザインで本物に見せかけた詐欺メール。「6,605マイル」という具体的な数字で信頼感を演出している
ご覧の通り、このメールは公式ANAマイレージクラブを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
件名:【ANA限定】ボーナスマイルキャンペーン開催中 平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。 このたび、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただくことになりました。 下記のボーナスマイルを獲得するチャンスです! ボーナスマイル 6,605マイル 獲得可能期間 今月末まで ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートにご回答ください。 回答完了後、ボーナスマイルが自動的に加算されます 【ボーナスマイルを獲得】 このキャンペーンは期間限定となっております。 獲得されたマイルの有効期間は積算日か翌年間となります。 この機会にぜひボーナスマイルを獲得はご注意ください。 引き続きANAマイレージクラブをよろしくお願いいたします。 恥兵 ANAカスタマゼーセンター © ANA CO., LTD. All rights reserved.
🔍 ワードサラダ(難読化)を発見
このメールの本文は、人間の目には普通の日本語に見えますが、実際のHTMLソースでは文字がすべて HTMLエンティティ(例:「平」→ 平)という特殊なコードに置き換えられています。これはスパムフィルター(迷惑メール自動検出の仕組み)に「日本語のテキスト」として認識させないためのワードサラダ(フィルターをかいくぐるための文章難読化手口)です。
| 📧 メールクライアントの表示(人間が読める) | 💻 HTMLソースの実態(スパムフィルターが見るもの) |
| 平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。 | 平穏りよりANAマイレ… |
さらに本文には「恥兵」「カスタマゼーセンター」「ひとわたまのご感謝」など不自然な日本語が混入しており、機械生成による粗さが随所に見られます。
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from day.harsyee.com (unknown [150.136.96.16])
SPF・DKIM両Pass の意味:
SPF認証(送信元サーバーが事前登録済みかどうかを確認する仕組み)とDKIM署名(メールが改ざんされていないことを証明する電子署名の仕組み)がいずれも「Pass(合格)」となっています。これは攻撃者が harsyee.com ドメインを自ら取得・設定し、正規の送信インフラとして構築したためです。メールセキュリティの観点では「正しく設定されたメール」と判定されてしまうため、フィルターをすり抜けやすい非常に危険な手口です。
【偽装判定】:
正規のANAからのメールは @ana.co.jp などANA公式ドメインから送信されます。本メールの送信ドメイン harsyee.com はANAとは一切関係のない第三者ドメインです。件名の[spam]タグは受信サーバーが別の判断基準(送信パターンや行動履歴など)により迷惑メールと判定した証拠です。
発信元ロケーション解析:
送信元IP 150.136.96.16 → Oracle Cloud Infrastructure(米国系クラウドサービス)
Googleマップ:【米国・カリフォルニア州周辺を確認する】
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://szxinmei[.]com/qiyfB1wDQn.jp.net
リンクドメイン:szxinmei.com
DNS解決:[IP取得不可:DNS失効の可能性] → 調査時点でサイトは閉鎖済み
ドメインの特徴:szxinmei.com の「sz」は中国・深圳(Shenzhen)の略称として使われることが多く、「xinmei」も中国語由来の文字列です。攻撃者が短期間の使い捨てを目的として取得したドメインとみられます。
URLの偽装:/qiyfB1wDQn.jp.net というパス(URLの後半部分)に「.jp」を含めることで、日本の公式サイトのように見せかける手口が使われています。
【サイトの状態】:調査時点でDNSが失効しており、ブラウザで「DNS_PROBE_FINISHED_NXDOMAIN(ドメインが存在しないというエラー)」が表示される状態です。既にサイトは使用不能となっています。
※攻撃者はドメインを短期間で使い捨てる傾向があります。サイトが閉鎖されていても、同一グループが新たなドメインで同様の攻撃を継続する可能性があります。引き続きご注意ください。
▲ 調査時点でフィッシングサイトは既に閉鎖。「DNS_PROBE_FINISHED_NXDOMAIN」はドメインが存在しないことを示すエラーです
■ 注意点と対処法
- URLをクリックしない:「マイルがもらえる」という魅力的な内容でも、送信元がANA公式ドメインでない限りリンクは絶対にクリックしないでください。
- SPF・DKIM Passでも安全ではない:「認証に合格しているから本物」とは限りません。攻撃者が独自ドメインを取得すれば認証をPassさせることは誰でもできます。送信元アドレスのドメイン(@以降)が公式かどうかを必ず確認してください。
- 不自然な日本語に注目:「恥兵」「カスタマゼーセンター」「ひとわたまのご感謝」など、本物のANAが使わない不自然な表現が含まれています。少しでも違和感を感じたら公式サイトで確認しましょう。
- マイル残高の確認は公式アプリから:ANA公式アプリまたはブックマークから ANAマイレージクラブ公式サイト に直接アクセスして確認してください。
- 公式の注意喚起を参照:ANA フィッシング詐欺メールに関する公式注意喚起
■ 関連記事
当ブログでは過去にも同様の手口によるANAマイレージクラブを騙る詐欺メールを取り上げています。あわせてご覧ください。
本レポートの結論
「6,605マイル獲得のチャンス」という甘い言葉で誘う本メールは、ANAとは無関係のOracleクラウド上のサーバーから送信された完全な偽物です。SPFとDKIMという二つのメール認証を両方クリアする高度な偽装に加え、本文をHTMLエンティティで難読化するワードサラダという二重の工作が施されています。フィッシングサイト自体は調査時点で閉鎖済みですが、同一グループが新たなドメインで攻撃を継続している可能性があります。マイル情報や個人情報を入力してしまった方は、すぐにANA公式サポートへご連絡ください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月9日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
