【実録・発覚】えきねっとを騙る「システム点検・本人確認」詐欺メールの正体——送信元はゲームサイトドメイン、Googleも即座に「危険なサイト」と警告
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆ (3/5) ※誘導先はGoogleブロック済み・DNS失効 |
| 偽装工作精度 | ★★★★☆ (4/5) ※SPF/DKIM両Pass・具体的日時記載・本物そっくりのレイアウト |
■ メールヘッダー解析(送信者情報)
件名:【えきねっと】本人確認情報の確認・補完のお願い(システム点検に伴うお知らせ)
送信者名:“JR東日本”(表示名だけJR東日本を名乗っている)
送信元アドレス:noreply@g5h7j9k1.china-9game.com
送信元ドメインのIPアドレス:161.33.181.103(国内IP・詳細不明)
SPF認証(送信元が本物かどうかを確認する仕組み):Pass(独自ドメインで認証を通過)
DKIM署名(メールが途中で改ざんされていないことを確認する仕組み):あり(d=g5h7j9k1.china-9game.com; s=s1)
受信日時:2026年6月13日(土)12:46:40 JST
このメールはえきねっと・JR東日本の公式サービスを装った真っ赤な偽物です。新幹線や特急を頻繁に利用する方はもちろん、えきねっとに登録しているご家族にも、ぜひこの解析結果を共有してください。
📧 届いた詐欺メールの内容(再現)
▲ 届いた詐欺メールの全体像。えきねっとの公式メールに酷似したレイアウトで、本文には実際の受信日時まで記載されている
※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。
【会員情報管理】本人確認情報の確認・更新について 平素はえきねっとサービスをご利用いただき、誠にありがとうございます。 当社では会員様の情報セキュリティを万全に保つため、定期的にシステムの点検・強化を実施しております。 2026-06-13 12:46:40頃のシステム点検において、一部の会員様のアカウント認証情報に不備が確認されました。 ┌─────────────────────────────┐ アカウントの正常なご利用を確保するため、会員情報の確認・補完をお願いいたします。 期日までに手続きを完了されない場合、えきねっとの一部サービス利用が制限される場合がございます。 └─────────────────────────────┘ ■情報確認・補完の手続き方法 1. 以下のボタンよりえきねっと公式サイトにアクセスしてください 【えきねっと公式サイトへ】←詐欺リンク・クリック禁止 3. トップページより「会員ログイン」を実施してください 4. 「マイページ」→「会員情報管理」より本人確認情報の確認・補完を行ってください 5. 情報に変更がある場合は最新の内容に修正し、「保存」をクリックしてください 手続き期限:2026-06-13(当日中) なお、今回のシステム点検に伴う情報不備は、外部からの不正アクセスによるものではございません。 会員様の個人情報漏洩のリスクは極めて低い状況であるため、ご安心ください。 ※本メールは配信専用アドレスより送信しております。返信いただいても対応できませんのでご了承ください。 ※えきねっとの最新情報は公式サイトにて随時掲載しております。 えきねっと 運営:ジェイアール東日本旅客鉄道株式会社 本社:東京都千代田区丸の内1丁目5番2号 コールセンター:0570-000-888(平日 7:00〜23:00、休日 8:00〜22:00) Copyright (c) 2026 East Japan Railway Company. All Rights Reserved. 許可なく転載することを禁じます。
🔍 ここが偽物のサイン——見破るための4つのポイント
① 送信元ドメインが「china-9game.com」——ゲームサイトがえきねっとの通知を送るわけがない
本物のえきねっとからのメールは @eki-net.com ドメインから届きます。今回の送信元は noreply@g5h7j9k1.china-9game.com ——「china-9game(中国のゲーム)」という名前のドメインです。JR東日本のチケット予約サービスが、見知らぬゲーム関連ドメインからメールを送ってくることは絶対にありません。差出人の名前が「JR東日本」と表示されていても、実際のアドレスを必ず確認してください。
② 「2026-06-13 12:46:40頃のシステム点検」——具体的な日時で信憑性を演出
本文に受信日時とほぼ同じ日時が「システム点検の時刻」として記載されています。これは受信者に「本当に自分のアカウントで何かが起きた」と思い込ませるための巧妙な演出です。実際には、このような具体的な時刻の記載は自動的に差し込まれた数字に過ぎず、何の根拠もありません。
③ 「手続き期限:当日中」——焦らせてクリックさせる典型手口
「当日中に手続きしないとサービスが制限される」という言葉で受信者を焦らせています。正規のサービスが「今日中に手続きしないと使えなくなる」などと急かす形で通知メールを送ることはほとんどありません。焦りを感じたら、むしろ一呼吸おいて公式サイトに直接アクセスして確認しましょう。
④ 手順番号が「1→3→4→5」——2番が抜けている
メール本文の手順を見ると「1→3→4→5」と番号が並んでおり、「2」が抜けています。あわてて大量送信した詐欺メール特有のミスです。本物の企業が公式通知で手順番号を飛ばすことはまずありません。
📡 送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(メールがどのサーバーを経由して届いたかの記録):
Received: from g5h7j9k1.china-9game.com (unknown [161.33.181.103])
SPF認証(送信元が本物かどうかを確認する仕組み):
Pass — mailfrom: g5h7j9k1.china-9game.com; client-ip=161.33.181.103
攻撃者が「china-9game.com」という独自ドメインに対してSPF設定を行い、認証を通過させています。SPF認証がPassしていても、それは「china-9game.comとして正規に送られた」という意味であり、「えきねっとやJR東日本として本物」という意味では一切ありません。
DKIM署名(メールが途中で改ざんされていないことを確認する仕組み):
あり(d=g5h7j9k1.china-9game.com; s=s1)
こちらも同様に、あくまで「china-9game.comドメインとして正規に署名されている」という意味です。
【偽装判定】:
本物のえきねっとからのメールは @eki-net.com から送信されます。今回の送信ドメイン「china-9game.com」はえきねっと・JR東日本の公式サーバーとは一切関係がありません。えきねっとを名乗るメールが「ゲームサイトのドメイン」から届いた時点で、詐欺メールと断定できます。
発信元ロケーション解析:
IPアドレス:161.33.181.103
ロケーション:日本国内(詳細プロバイダ情報は調査中)
Googleマップ:【推定エリアを確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
日本国内のIPアドレスからの送信は、海外サーバー発のメールを弾くフィルターを回避する目的と考えられます。国内から発信されているからといって安全とは言えません。
🌐 フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字・クリック禁止):
hxxps://aaccsadcac4[.]ch-vip-yuyan[.]com/
フィッシングドメイン:aaccsadcac4.ch-vip-yuyan.com
フィッシングサイトのIPアドレス:[IP取得不可:DNS失効の可能性]
【Googleセーフブラウジングによる警告】:
アクセスを試みたところ、ChromeブラウザのGoogleセーフブラウジング機能(ブラウザに組み込まれた詐欺サイト自動検出の仕組み)が即座に真っ赤な警告画面を表示しました。「危険なサイト——攻撃者がユーザーを騙してソフトウェアをインストールさせたり、パスワード・電話番号・クレジットカード番号などを開示させたりする可能性があります」という内容で、フィッシングサイトとして認定されています。
▲ フィッシングサイトへのアクセスを試みると、Chromeが即座に赤い警告画面を表示。「最近フィッシングが検出されました」と明記されている
【サイトの状態】:Googleセーフブラウジングによりフィッシングサイトとして検出済み。また調査時点ではDNS(インターネット上の住所情報)も失効しており、ブラウザに「このサイトにアクセスできません。aaccsadcac4.ch-vip-yuyan.com にタイプミスがないか確認してください」というエラーも表示されます。
▲ DNS失効によるアクセス不能エラー。フィッシングサイトはすでに閉鎖されているとみられる
💡 Googleが警告を出しているなら安全?——いいえ、第2波に備えてください
今回のフィッシングサイトはGoogleに検出され、DNSも失効しています。しかしこのメール自体は今も大量送信が続いている可能性があります。攻撃者は新しいドメインに切り替えた第2波・第3波を仕掛けることが多く、同じ件名・本文で別のURLが届くケースも珍しくありません。メール自体を削除し、今後届く類似メールにも警戒を続けてください。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
🛡️ 注意点と対処法
■ 注意点と対処法
- メール内のリンクは絶対にクリックしない:「えきねっと公式サイトへ」というボタンのリンク先は、えきねっとのログインIDやパスワード、クレジットカード情報を盗む偽サイトです。
- 送信元アドレスを必ず確認する:本物のえきねっとからのメールは
@eki-net.comドメインから届きます。それ以外のドメインであれば偽物です。特に「JR東日本」と表示されていても、アドレス欄を開いて確認してください。 - 公式サイトへは直接アクセスする:えきねっとへのログインは、メールのリンクからではなく、ブックマークまたはブラウザで「eki-net.com」と直接入力してアクセスしてください。
- えきねっとは「システム点検を口実にした本人確認メール」を送らない:公式が明言している通り、えきねっとは2022年3月以降「自動退会の事前通知メール」を送っていません。また「システム点検で認証情報に不備が確認された」という内容のメールも公式では送信しません。
- えきねっと公式セキュリティページを確認する:えきねっとをかたる偽メール・偽サイトにご注意ください(えきねっと公式)
本レポートの結論
今回の詐欺メールは、ゲームサイトのドメイン「china-9game.com」を踏み台にしてSPF認証とDKIM署名の両方をPassさせ、さらに受信日時とほぼ同じ時刻を「システム点検の時刻」として本文に埋め込む、巧妙な偽装が施されていました。さらに手順番号の「2」が抜けているという初歩的なミスが偽物の証拠として残っており、詐欺師も急いで量産していることがわかります。えきねっとをご利用の方はもちろん、新幹線・特急をよく使うご家族にも、この記事のURLを「こんな詐欺メールが来てるって!」と送って注意を促してあげてください。
調査日:2026年6月14日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
