【調査報告】ANAマイレージクラブ「マイル付与手続き」「マイル有効期限」同時2通は同一犯!東京渋谷の同じAzureサーバーから送信

HL-META: date=2026-07-02 | brand=ANAマイレージクラブ(なりすまし) | sender_geo=日本・東京都渋谷区(Microsoft Azure) | site_geo=日本・東京都(Tencent Cloud) | spf=pass | dkim=不明 | cloaking=no

【調査報告】ANAマイレージクラブ「マイル付与手続き」「マイル有効期限」同時2通は同一犯!東京渋谷の同じAzureサーバーから送信

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

今回ご紹介するのは「ANAマイレージクラブ」を騙るメールです。同じ日の朝に、件名・送信者名の異なる2通(「マイル付与手続きのお知らせ」「マイル有効期限迫るご連絡」)が届きましたが、本文の中身は一言一句同じ。ヘッダーを解析したところ、どちらも東京都渋谷区に割り当てられた同じMicrosoft Azureサーバーから送信されており、同一犯による同時配信であることが確認できました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★☆☆ (3/5)

■ メールヘッダー解析(送信者情報・2通比較)

【1通目】件名:[spam]【ご案内】ANAマイレージクラブ:マイル付与手続きのお知らせ!(期間限定)番号:35625545

送信者表示名:“ANA特典航空券デスク”/送信元アドレス:drop@cn-leisupc.com送信元IP:23.100.101.194


【2通目】件名:[spam]【注意】マイル有効期限迫るご連絡!(期間限定)番号:64200107

送信者表示名:“ANAマイレージクラブ事務局”/送信元アドレス:laugh@cn-leisupc.com送信元IP:52.246.162.218


SPF判定(両通とも):Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、ANAの正規メールであることの証明にはなりません)

受信日時:2026年07月02日(木)9時19分〜9時23分頃(4分差で連続着弾)

ご覧の通り、このメールはANAマイレージクラブを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※実際に届いたメールの画面です。ANAの公式デザインを模しています。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです(代表として1通目を掲載。2通目も本文は同一でした)。リンクは絶対にクリックしないでください。


ANA / ANA Group 企業情報

平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。

このたび、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただくい。
下記のボーナスマイルを獲得するチャンスです!

ボーナスマイル
6,605マイル
獲得可能期間
今月末まで

ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートにご回答ください。回答完了後、ボーナスマイルが自動的に加算されます

[ボーナスマイルを獲得](リンク先:hxxps://xvhta[.]com/JVqsVZhN/)

このキャンペーンは期間限定となっております。
獲得されたマイルの有効期間は積置日か望年間となります。

この機会にぜひボーナスマイルを獲得はご注意ください。
引き続きANAマイレージクラブをよろしくお願いいたします。

恥兵
ANA カスタマゼーセンター
© ANA CO., LTD. All rights reserved.

「平穏りより」「プレゼントさせていただくい」「積置日か望年間」「恥兵」など、正しい日本語と崩れた日本語が入り乱れています。機械的な文字置換やAI生成の失敗跡とみられ、正規のANAが「カスタマゼーセンター」などと表記することは決してありません(笑)。

💡ここで!

「盾アイコンをタップ」の偽セキュリティ確認画面とは

今回のリンク先では、本物のログイン画面が表示される前に「サイトへの接続が安全かどうか確認しています」という、盾アイコンを選ばせる画面が挟まれていました。これは本物のセキュリティチェック(reCAPTCHA等)を模した偽物で、実際のセキュリティ確認機能は一切ありません。人間が実際に操作していることを装うことで、自動解析ツール(ボット)による調査を遅らせたり、回避したりするための仕掛けです。「セキュリティ確認をしているから安全なサイトだ」と誤解させる効果も狙っていると考えられます。

■ 送信ルート及び偽装判定

送信元の正体:2通とも送信元ドメインは「cn-leisupc.com」のサブドメイン(drop.cn-leisupc.com/laugh.cn-leisupc.com)。ANAが利用する正規ドメインは「ana.co.jp」であり、このドメインは一切関係がありません。

送信元サーバーの解析:1通目の送信元IP(23.100.101.194)と2通目の送信元IP(52.246.162.218)は、いずれもMicrosoft Azureが管理する東京都渋谷区の全く同じ住所に割り当てられていました。件名・送信者名・送信元サブドメインを変えて複数パターンを同時配信する、典型的な量産型スパムの運用形態です。

※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。

1通目 送信元IPの詳細情報(ip-sc.net) 2通目 送信元IPの詳細情報(ip-sc.net)

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://xvhta[.]com/JVqsVZhN/

リンクドメイン:xvhta.com

サイトサーバーIP:43.153.170.202(Shenzhen Tencent Computer Systems Company Limited/東京)

誘導先サーバーIPの詳細情報(ip-sc.net)

【サイトの状態】:偽の盾アイコンによる「セキュリティ確認」画面を突破すると、ウイルスバスター クラウドが「脅威の種類:フィッシング」として即座に警告・ブロック。それでも先に進むと、「ANA Inspiration of JAPAN」と書かれた本物そっくりの偽ログイン画面が表示され、お客様番号(10桁)とWebパスワードの入力を求められます。

※本物のCAPTCHA認証を模した偽の確認画面です。

※誘導先URLはウイルスバスターにフィッシングサイトとして検知・ブロックされています。

※本物そっくりに作られた偽のログイン画面です。ここにお客様番号・Webパスワードを入力すると、そのまま攻撃者に渡ってしまいます。

■ 注意点と対処法

  1. URLをクリックしない:リンク先は情報を盗むための偽サイトです。
  2. 件名・送信者が違っても油断しない:今回のように、同じ内容のメールが件名・送信者名だけを変えて複数パターン届くことがあります。
  3. お客様番号・Webパスワードを入力しない:ANAが公式メールでこれらの入力を求めることはありません。
  4. 公式サイトを確認:必ず公式アプリまたはブックマークからアクセスしてください。ANAが利用する正規ドメインは「ana.co.jp」のみです。
  5. 公式注意喚起の参照:ANA公式「ANAを装ったフィッシング詐欺にご注意ください」

本レポートの結論

「マイル付与手続き」「マイル有効期限」という異なる件名・送信者名で同時に届いた2通のメールは、本文もインフラも同一の、ANAマイレージクラブを騙る偽メールでした。送信元は東京都渋谷区の同じMicrosoft Azureサーバー、誘導先は偽のセキュリティ確認画面とウイルスバスターの警告を経て、本物そっくりの偽ログイン画面に至ります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る