【実録】「ANAカードご利用者様必見：ボーナスマイル申請はお早めに」は詐欺！全文字を暗号化したワードサラダとTencentサーバーの罠を暴く

2026年6月15日

🔴 緊急度：高

【実録】ANA騙り「ボーナスマイル申請はお早めに」の正体：日本語を全文字暗号化するワードサラダと「zh-」同一犯インフラを暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「会員への感謝として6,605マイルをプレゼント」——そんな甘い言葉でANA（全日本空輸）のマイレージクラブ会員を狙うフィッシングメールが2026年6月14日に確認されました。今回の手口で特に注目すべきは、メール本文の日本語を全文字HTMLの数値コード（〇〇〇〇; 形式）に置き換えて迷惑メールフィルターをかわす「ワードサラダ（スパムフィルターを混乱させるために意味のある言葉を無意味な文字列や記号に置き換える偽装手法）」が使われている点です。さらに、送信元ドメインとフィッシングサイトのドメインがともに「zh-」で始まる共通パターンを持ち、同一の攻撃グループによる組織的な犯行と見られます。フィッシングサイトでは独自のCAPTCHA（コンピュータと人間を区別するための確認テスト）風関門でセキュリティ検査をかわし、本物そっくりのANA会員ログイン画面に誘導します。Heartland-Labが全手口を徹底解析します。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)　SPF/DKIM両Pass・ワードサラダ偽装・クローキング実装
偽装工作精度	★★★★☆ (4/5)　多段階フィルター回避・同一犯インフラ・本物そっくりのANA偽ログイン画面

■ メールヘッダー解析（送信者情報）

件名：ANAカードご利用者様必見：ボーナスマイル申請はお早めに

送信者名：ANAマイレージクラブ事務局

送信元アドレス：baby@baby.home-zh-178sports.com

送信元ドメインIP：161.153.82.109（Oracle Corporation / Oracle Cloud、米国・アリゾナ州フェニックス）

SPF認証（送信元が本物かどうかを確認する仕組み）：Pass

DKIM署名（メールが改ざんされていないか確認する仕組み）：Pass（2重署名）（d=baby.home-zh-178sports.com および d=baby.home-zh-178sports.com s=default）

受信日時：2026年6月14日（日）09:22

▲ 届いた詐欺メール。「6,605マイルプレゼント」の甘い言葉でANA会員を狙う

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

1. 詐欺メール本文の再現
2. ワードサラダ（日本語全文字暗号化）の実態
3. 送信ルート及び偽装判定・同一犯仮説
4. クローキング（偽装アクセス制御）の確認
5. フィッシングサイト詳細解析
6. 注意点と対処法

詐欺メール本文の再現

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

件名：ANAカードご利用者様必見：ボーナスマイル申請はお早めに

ANA Group　企業情報

平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。

このたび、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただくさい。
下記のボーナスマイルを獲得するチャンスです！

ボーナスマイル
6,605マイル

獲得可能期間
今月末まで

ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートに
ご回答ください。回答完了後、ボーナスマイルが自動的に加算されます

　　　　　　【ボーナスマイルを獲得】←（※フィッシングリンク・クリック禁止）

このキャンペーンは期間限定となっております。
獲得されたマイルの有効期間は積置日か翌年間となります。

この機会にぜひボーナスマイルを獲得はご注意ください。
引き続きANAマイレージクラブをよろしくお願いいたします。

恥兵
ANAカスタマゼーセンター
© ANA CO., LTD. All rights reserved.

⚠️ ここが怪しい！スタッフが気づいた偽物のサイン

送信元が baby@baby.home-zh-178sports.com——スポーツ関連の全く無関係なドメイン
「このたび、会員のひとわたまのご感謝を込めて」「恥兵　ANAカスタマゼーセンター」——機械翻訳丸出しの不自然な日本語。本物のANAがこんな文章を送るはずがない
「獲得されたマイルの有効期間は積置日か翌年間」——意味不明な文章。日本語として成立していない
「この機会にぜひボーナスマイルを獲得はご注意ください」——日本語が破綻している
マイル数が「6,605」という中途半端な数字——無差別大量送信のため受信者ごとにランダム生成している可能性が高い

ワードサラダ（日本語全文字暗号化）の実態

■ ワードサラダ：スパムフィルターを混乱させる高度な偽装手法

このメールのHTML本文には、日本語テキストが一切含まれていません。メールソフトには「平穏りよりANAマイレージクラブをご利用いただき……」と日本語で表示されますが、実際のHTMLソースコードでは全ての文字が以下のような数値コード（HTMLエンティティ参照）に変換されています。

【画面に表示される日本語】

平穏りよりANAマイレージ

【実際のHTMLソースコード】

平穏りよりANAマイレージ

▲ メールのHTMLソース。日本語テキストが一文字残らず「〇〇〇〇;」形式の数値コードに変換されている

この手法により、「ANAマイレージ」「ボーナスマイル」といったキーワードがHTMLソース上には存在しない状態となり、キーワードフィルター（迷惑メールフィルターが危険なキーワードを検出して振り分ける仕組み）をかわします。読者の目には普通の日本語メールとして映りますが、セキュリティシステムからは「日本語のないメール」として処理される——巧妙な二重構造です。

送信ルート及び偽装判定・同一犯仮説

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from baby.home-zh-178sports.com (unknown [161.153.82.109])

【偽装判定】：
ANAの正規メールは @ana.co.jp または @mileage.ana.co.jp 等のドメインから送信されます。本メールの送信ドメイン baby.home-zh-178sports.com はスポーツ関連と思われる全く無関係の第三者ドメインです。にもかかわらず、SPF認証とDKIM署名を2重にPassするよう事前に細工されており、多くのメールセキュリティフィルターをすり抜けます。

送信サーバーIPアドレス：161.153.82.109

インフラ：Oracle Corporation（Oracle Cloud / AS31898 ORACLE-BMC-31898）

発信元ロケーション：米国・アリゾナ州・フェニックス（緯度：33.466、経度：-112.012）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

「zh-」プレフィックス同一犯仮説：
今回の事案で特に注目すべきは、送信元ドメインとフィッシングサイトのドメインがともに「zh-」で始まる点です。

送信元：baby.home-zh-178sports.com
フィッシングサイト：zh-m-9games-live.com

さらに両サイトのインフラが同じTencent Cloud（中国系クラウドサービス）上で稼働していることも確認されています。「zh」は中国語（Zhōngwén）の略称として広く使われており、中国を拠点とする攻撃グループが命名規則として使っている可能性が高いと当スタッフは判断します。

クローキング（偽装アクセス制御）の確認

■ 独自CAPTCHA風クローキングの実態

フィッシングサイトへのアクセス時、「サイトへの接続が安全かどうか確認しています」という画面が表示され、「4個の盾アイコンを選択してください」という独自の確認テスト（CAPTCHA：コンピュータと人間を区別するための確認テスト）が出現します。これは、自動検査プログラム（bot）をふるい落とし、実際の人間だけをフィッシングページに誘導するための関門です。

▲ 「盾アイコンを4個タップしてください」——一見セキュリティチェックに見えるが、botをふるい落とすための罠

この関門を突破すると、本物そっくりのANAマイレージクラブ会員ログイン画面が表示されます。「お客様番号（数字10桁）」と「Webパスワード」の入力を求めてきます。入力した瞬間、情報は攻撃者のサーバーへ送信されます。

▲ 関門突破後に現れる偽ANAログイン画面。「A STAR ALLIANCE MEMBER」のロゴまで精巧に再現されている

フィッシングサイト詳細解析

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://jillsurplusoutlet[.]com/MLBTzHkt/（一部伏字）

リンクドメイン：jillsurplusoutlet.com（ANA・全日本空輸とは一切無関係のドメイン）

中継サイトURL（伏せ字）：hxxps://zh-m-9games-live[.]com/pd5R1PEbTD.co.jp.net（一部伏字）

中継ドメイン：zh-m-9games-live.com（「.co.jp.net」という偽装パスでANA公式に見せかける手口）

フィッシングサイトIP：101.32.98.168（Tencent Cloud）

中継サイトIP：43.167.216.27（Tencent Cloud）

ロケーション：中国本土またはHong Kong（Tencent Cloud拠点）
Googleマップ：【位置情報を確認する（参考・香港付近）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【パスによる偽装手口】：
中継URLのパス部分が /pd5R1PEbTD.co.jp.net となっており、一見すると日本の公式ドメイン（.co.jp）のように見えます。しかし実際のドメインは zh-m-9games-live.com であり、「.co.jp」はパス（URLの一部）として付け加えられた偽装文字列にすぎません。URLの見方に不慣れな方を騙す狡猾な手口です。

【セキュリティソフトによるブロック状況】：

🛡️ ウイルスバスタークラウド：中継サイト（zh-m-9games-live.com）をフィッシングとして検出・ブロック済み

▲ ウイルスバスタークラウドが中継サイトを「フィッシング」として検出・ブロック

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

注意点と対処法

■ 注意点と対処法

リンクをクリックしない：「ボーナスマイルを獲得」ボタンは偽物です。絶対にクリックしないでください。
ANAの正規ドメインを確認する：ANAからの正規メールは @ana.co.jp や @mileage.ana.co.jp 等から届きます。それ以外は偽物と判断してください。
日本語の不自然さで判断する：「恥兵　ANAカスタマゼーセンター」「会員のひとわたまのご感謝」のような機械翻訳丸出しの不自然な文章は詐欺の証拠です。
公式アプリ・ブックマークからアクセスする：マイル残高の確認は、必ずANA公式アプリまたは以前ご自身で登録したブックマークからアクセスしてください。
入力してしまった場合：ANA お客様サービスセンター（0570-029-709）に速やかにご連絡ください。
公式注意喚起の参照：ANAグループを装った詐欺メール・詐欺電話等にご注意ください（公式）

■ 関連記事

当ブログでは過去にもANAを騙る詐欺メールを取り上げています。あわせてご覧ください。

ANA 関連記事一覧

本レポートの結論

「6,605マイルをプレゼント」という甘い言葉でANAマイレージ会員を狙うフィッシングメールが確認されました。今回の手口の最大の特徴は、メール本文の日本語を全文字HTMLの数値コードに置き換えて迷惑メールフィルターをかわす「ワードサラダ」偽装です。さらに送信元とフィッシングサイトが「zh-」という共通の命名規則を持ち、同一の攻撃グループによる組織的犯行と見られます。機械翻訳丸出しの不自然な日本語という致命的なボロが出ているものの、SPF・DKIM認証を2重にクリアしており、セキュリティフィルターには本物として扱われます。マイルに関するメールが届いたら、メール内のリンクは絶対にクリックせず、必ず公式アプリから確認する習慣をつけてください。身近な方にも一言伝えてあげてください。

📲 LINEで家族に共有する

調査日：2026年6月15日／ Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元：ip-sc.net