【必読・緊急警告】「ANAカードご利用者様必見:対象のお客様限定|特典内容のご確認を」は詐欺!特別感を装いワードサラダ+デバイス判別クローキングでANA会員ログイン情報を狙う手口を完全解説
🔴 緊急度:高
| 緊急性レベル | ★★★★★(5/5) |
| 偽装工作精度 | ★★★★★(5/5)SPF・DKIM両Pass+ワードサラダ+デバイス判別クローキング |
■ メールヘッダー解析(送信者情報)
件名:ANAカードご利用者様必見:対象のお客様限定|特典内容のご確認を
送信者名:“ANAマイレージクラブ事務局”(表示名のみ偽装)
送信元アドレス:band@band.anjxjy.com(ANAとは無関係の中国系ドメイン)
送信元ドメインIP:170.9.1.98
受信日時:2026年6月9日(火)07:28:32 +0900
SPF認証:Pass(送信元が正規サーバーかどうかを確認する仕組みを通過)
DKIM署名:Pass(メールが改ざんされていないことを証明する電子署名も通過。d=band.anjxjy.com、d=anjxjy.com の2署名)
▲ 実際に届いたフィッシングメール。ANAのロゴ・デザインを精巧に模倣し「ボーナスマイル6,605マイル」という具体的な数字と「今月末まで」という期限で焦りと期待を同時に煽る。
ご覧の通り、このメールはANAマイレージクラブを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
詐欺メール本文(忠実再現)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
平穏よりANAマイレージクラブをご利用いただき、誠にありがとうございます。 このたび、会員のひとりわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただくさい。 下記のボーナスマイルを獲得するチャンスです! ボーナスマイル 6,605マイル 獲得可能期間 今月末まで ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートに ご回答ください。回答完了後、ボーナスマイルが自動的に加算されます [ ボーナスマイルを獲得 ](※リンク無効化済み) このキャンペーンは期間限定となっております。 獲得されたマイルの有効期間は積置日か翌年間となります。 この機会にぜひボーナスマイルを獲得はご注意ください。 引き続きANAマイレージクラブをよろしくお願いいたします。 恥兵 ANAカスタマゼーセンター © ANA CO., LTD. All rights reserved.
※「平穏より」「ひとりわたまのご感謝」「獲得はご注意ください」「恥兵」「カスタマゼーセンター」など、不自然な日本語が随所に見られます。機械翻訳による作成と思われます。
ワードサラダ(フィルター回避工作)の検出
■ HTMLソース内に仕込まれた「ワードサラダ」(16進数エンティティ形式)
メール本文のHTMLソースには、日本語テキストを16進数のHTMLエンティティ(数値文字参照)に変換した文字列が大量に埋め込まれていました。これは「ワードサラダ」と呼ばれる回避手法で、ブラウザ上では普通の日本語として表示されますが、メールサーバーや一部のスパムフィルター(迷惑メール検知機能)はエンティティ文字列のまま解析するため、フィルターをすり抜けやすくなります。
▲ HTMLソースに埋め込まれたワードサラダ。「平穏よりANA…」のような16進数エンティティが羅列されているが、ブラウザで表示すると普通の日本語になる。スパムフィルターを欺くための工作。
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダー(メールがどのサーバーを経由してきたかの通過記録)の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from band.anjxjy.com (unknown [170.9.1.98]) by 受信者側サーバー(非公表) with ESMTPS
【偽装判定】:
正規のANAマイレージクラブからのメールは ana.co.jp または amc.ana.co.jp ドメインから送信されます。本メールの送信元 band@band.anjxjy.com はANAとまったく無関係の中国系ドメインです。SPF・DKIMが両方Passしているのは、攻撃者が偽ドメイン(anjxjy.com)のDNS設定(インターネット上の住所録のような仕組み)を正しく構成し、そのドメインとしての認証を意図的に通過させているためです。
送信元ドメインIP:170.9.1.98
Googleマップ:【位置情報を確認する(中国・北京付近)】
フィッシングサイト詳細解析
フィッシングサイトはパソコンからのアクセスにはタイムアウトエラーを返し、スマートフォンからのアクセスには偽のANAマイレージクラブログイン画面を表示する「デバイス判別クローキング(端末の種類によって表示内容を切り替える偽装手法)」を採用しています。セキュリティ研究者による自動解析ツールをブロックしながら、スマートフォンユーザーだけを狙い撃ちにする悪質な手口です。
▲ ウイルスバスター クラウドによる警告画面。「フィッシング」として正確に検出・ブロックされている。
▲ スマートフォンからアクセスすると最初に表示されるボット判定画面。「4個の盾アイコンを選択してください」と人間確認を求め、自動解析ツールをブロックする仕掛け。
▲ ボット判定を通過した先に表示される偽ANAマイレージクラブ会員ログイン画面。お客様番号とWebパスワードの入力を求める。
▲ パソコンからアクセスするとタイムアウトエラーが返される。スマートフォンユーザーだけを偽ログイン画面へ誘導するデバイス判別クローキングの証拠。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://baojiefenleixinxi[.]com/wzvwxtvh/(一部伏せ字)
フィッシングドメイン:baojiefenleixinxi.com(中国語で「包装分類情報」を意味するランダム文字列。使い捨て目的)
サイトサーバーIP:43.133.2.37(Tencent Cloud(テンセントクラウド)/ 中国系クラウドサービス)
Googleマップ:【位置情報を確認する(香港付近)】
🔗 同一グループ確認:フィッシングサイトIP(43.133.2.37)およびTencent Cloudインフラが、当ラボが先日解析したANAキャンペーン偽装フィッシングメールと完全一致。同一の攻撃グループがANA会員を標的に複数の手口で連続攻撃を行っていることが確認されました。
注意点と対処法
■ このようなメールが届いた場合の対処法
- リンクをクリックしない:「対象のお客様限定」「ボーナスマイル獲得」という魅力的な文面でも、メール内のリンクは絶対にクリックしないでください。スマートフォンからは偽ログイン画面に直結します。
- 送信元アドレスを確認する:送信者名が「ANAマイレージクラブ事務局」でも、アドレスが
@ana.co.jp以外であれば偽物です。本件のband@band.anjxjy.comはANAとは無関係の中国系ドメインです。 - 不自然な日本語に注意:本文中の「平穏より」「恥兵」「カスタマゼーセンター」など、不自然な日本語表現は機械翻訳による偽物の証拠です。
- 公式アプリまたはブックマークからアクセス:マイル残高の確認は必ず公式アプリまたはブラウザのブックマークから直接ANAマイレージクラブにアクセスして行ってください。
- 既に入力してしまった場合:すぐにANAマイレージクラブのWebパスワードを変更してください。お客様番号を入力した場合はカード再発行の手続きが必要です。
- 公式注意喚起の参照:ANAグループを装った詐欺メール・詐欺電話等にご注意ください(ANA公式)
■ 関連記事
同一グループによるANA偽装フィッシングメールを当ブログでは複数確認しています。あわせてご覧ください。
【実録】ANAマイレージクラブ偽キャンペーンメール——同一Tencent CloudインフラによるSPF・DKIM両Pass偽装を解析
本レポートの結論
本件はSPF・DKIM認証を両方通過させる最高レベルの偽装に加え、16進数エンティティのワードサラダでスパムフィルターを欺き、デバイス判別クローキングでスマートフォンユーザーだけを偽ログイン画面へ誘導するという三重の工作が施されたフィッシングメールです。フィッシングサイトのIPアドレスが先日解析したANAキャンペーン詐欺と完全一致しており、同一グループがANA会員を標的に手口を変えながら連続攻撃を行っていることが確認されました。「対象のお客様限定」「ボーナスマイル6,605マイル」という特別感と具体的な数字で冷静な判断を奪う手口が特徴です。ANAマイレージクラブをご利用の方は特にご注意ください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
