ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。フィッシングリンクは無効化しています。

---

件名：【要対応】[さくらインターネット] 決済エラーに伴う支払手続きのお願い

平素はさくらインターネットをご利用いただき、誠にありがとうございます。
当月のご請求につき、ご指定のクレジットカードでの決済が正常に完了いたしませんでした。
大変お手数ですが、下記内容をご確認のうえ、お支払手続きをいただきますようお願い申し上げます。

■ ご請求内容
【お支払期限】　2026年06月15日
【ご請求番号】　34588284
【ご請求金額】　6,220円（消費税等含む）

ご請求明細は会員メニューよりご確認いただけます。

▼ 会員メニュー（ログイン）
https://www.lastquarterr.com/secure-vps-ountacc/ ←（※フィッシングリンク・クリック禁止）

■ お支払方法
「クレジットカード決済（即時決済）」または「銀行振込」にてお支払いください。

【１】クレジットカード決済（即時決済）の場合
会員メニューより手動でクレジットカード決済を行っていただけます。

【２】銀行振込の場合
振込先口座情報は、会員メニューの「請求書のご確認」よりご確認ください。
※振込手数料はお客様負担となります。
※ご契約者様名義でお振込みください。異なる名義の場合は会員IDを追記してください。
銀行振込時の注意事項は下記URLをご確認ください。
https://help.sakura.ad.jp/purpose_beginner/2517/　←（本物のさくらURL）

■ お支払後のご確認について
入金確認後、ご登録メールアドレス宛に入金確認の通知メールを送信いたします。
・入金確認に要する時間について：
https://help.sakura.ad.jp/purpose_beginner/2531/　←（本物のさくらURL）
・会員メニューでの支払状況の確認：
https://help.sakura.ad.jp/purpose_beginner/2530/　←（本物のさくらURL）

■ 決済エラーおよび次回請求について
カード情報の変更・更新が必要な場合は、下記URLよりお手続きをお願いいたします。
https://help.sakura.ad.jp/purpose_beginner/2519/　←（本物のさくらURL）

■ お問い合わせ
さくらインターネット株式会社カスタマーセンター
■サポートサイト：https://help.sakura.ad.jp/　←（本物のさくらURL）
■お問い合わせ：https://help.sakura.ad.jp/contact/　←（本物のさくらURL）

■ 「本物URL包囲作戦」——6箇所中5箇所は本物、1箇所だけ偽物

今回のメールに含まれるURLを全て検証した結果、以下のことが判明しました。

URL	用途	判定
lastquarterr.com/secure-vps-ountacc/	会員メニュー（ログイン）	偽サイト
help.sakura.ad.jp/purpose_beginner/2517/	銀行振込の注意事項	本物
help.sakura.ad.jp/purpose_beginner/2531/	入金確認の時間	本物
help.sakura.ad.jp/purpose_beginner/2530/	支払状況の確認	本物
help.sakura.ad.jp/purpose_beginner/2519/	カード情報変更手続き	本物
help.sakura.ad.jp/、help.sakura.ad.jp/contact/	サポートサイト・お問い合わせ	本物

「本物のURLが並んでいるから安心」と思ったところで、最も重要な「会員メニュー（ログイン）」のリンクだけが偽サイトへの入口になっています。URLをひとつひとつ確認する習慣がない限り、容易に騙されてしまう巧妙な設計です。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from support-0nfdss.ad-composites.com (M106185144216.v4.enabler.ne.jp [106.185.144.216])

【偽装判定】：
さくらインターネットの正規メールは @sakura.ad.jp 等から送信されます。本メールの送信ドメイン ad-composites.com はさくらインターネットとは全く無関係の第三者ドメインです。SPF認証がFailしており（送信元として正規に登録されていないドメインから送信されている）、メールサーバーの設定によっては迷惑メールフォルダに振り分けられますが、フィルターの設定次第では受信トレイに届いてしまいます。

実際の送信元IPアドレス（client-ip）：106.185.144.216

インフラ：KDDI Corporation（AS2516 / KDDI KDDI CORPORATION）——日本国内、東京都千代田区の通信回線が使用されています

発信元ロケーション：東京都千代田区神田須田町（緯度：35.6968、経度：139.767）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

中継ドメイン：support-0nfdss.ad-composites.com（DNSに存在しない失効サブドメイン）——送信経路を隠蔽するための使い捨てサブドメインと判断されます。

■ 本物のCloudflare認証を悪用したbot排除の関門

フィッシングサイト（lastquarterr.com/secure-vps-ountacc/turnstile-check）へのアクセス時、本物のCloudflare Turnstile（クラウドフレア社が提供する正規のセキュリティ認証サービス）が起動し、bot（自動プログラム）か人間かを判別します。これにより、セキュリティ会社の自動調査をかわし、実際の人間だけを偽ログイン画面に誘導する仕組みです。本物のセキュリティサービスを悪用しているため、利用者が「安全なサイト」と誤認しやすい特に悪質な手口です。

▲ ウイルスバスター クラウドがフィッシングサイトを検出・ブロック。URLに「turnstile-check」が含まれているのが確認できる

この関門を突破すると、本物そっくりのさくらインターネット会員認証画面が表示されます。「会員ID」と「会員メニューのパスワード」の入力を求めてきます。入力した瞬間、情報は攻撃者のサーバーへ送信されます。

▲ 偽さくらインターネット会員認証画面。「2要素認証設定についての重要なお知らせ」まで再現した精巧な偽画面

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://www.lastquarterr[.]com/secure-vps-ountacc/login（一部伏字）

リンクドメイン：lastquarterr.com（「lastquarter＝最終四半期」に「r」を1文字余分に追加したタイポスクワッティング（正規ドメインに似せた偽ドメイン）の可能性）

ドメイン登録日：whois.domaintools.com で確認

【サイトの状態】：調査時点でDNS失効済み（ドメインが無効化されておりアクセス不可）。ただし同様の偽ドメインが引き続き使用される可能性があります。

【セキュリティソフトによるブロック状況】：

• ウイルスバスター クラウド：フィッシングとして検出・ブロック済み

■ 注意点と対処法

1. 会員メニューのURLを必ず確認する：さくらインターネットの正規ログインURLは https://secure.sakura.ad.jp/auth/login のみです。それ以外のURLは偽物と判断してください。
2. 本物URLが混じっていても油断しない：本物のヘルプページURLが含まれていても、全てのリンクが本物とは限りません。特に「ログイン」「会員メニュー」へのリンクは必ずURLを確認してください。
3. 会員IDと契約者名の記載を確認：さくらインターネットからの正規メールには本文中に会員IDと契約者名が記載されています。これらがないメールは偽物と判断してください。
4. 請求状況は公式から直接確認：メール内のリンクはクリックせず、ブラウザのブックマークまたは直接URLを入力してさくらインターネットの会員メニューにアクセスしてください。
5. 入力してしまった場合：すぐにさくらインターネットの会員メニュー（https://secure.sakura.ad.jp/auth/login）からパスワードを変更してください。2要素認証の設定もあわせてご確認ください。
6. 公式注意喚起の参照：さくらインターネット「なりすまし・フィッシング詐欺などの迷惑メール」「偽サイト」にご注意ください（公式）

■ 関連記事

当ブログでは過去にもさくらインターネットを騙る詐欺メールを取り上げています。あわせてご覧ください。

さくらインターネット 関連記事一覧

本レポートの結論

「決済エラーが発生したので支払い手続きを」というさくらインターネット騙りフィッシングメールが確認されました。最大の特徴は、本物のさくらヘルプページURLを本文中に5箇所も埋め込み、フィッシングリンクはたった1箇所だけ紛れ込ませる「本物URL包囲作戦」です。URL確認の習慣がある人でも、本物のURLが並ぶ中の1箇所だけを見落とすリスクがあります。さくらインターネット会員の方は、ログインする際は必ずブックマークまたは直接URLを入力してアクセスし、メール内のリンクは絶対にクリックしないようにしてください。この記事を、さくらインターネットを使っている方の周りの人にもぜひ共有してください。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

件名：ご登録情報の更新をお願いいたします

（Appleロゴ）　　　　　　　　　　　　　　請求書

APPLE ACCOUNT　　　　　　　日付
[-email-]　　　　　　　　　[-datetime-]

ご注文番号　　　　　　　　　書類番号
MX93YH32U2　　　　　　　[-digit12-]

────────────────────────────────────
iCloud　　　　　　　　　　　　　　　　　　¥450
200 GBのiCloud+（月額）
iPhone
JCT（10%）を含む ¥41

iCloud+ ストレージプランの更新を完了できませんでした。
現在のお支払い方法に問題がある可能性があります。
お支払い情報をご確認のうえ、必要に応じて更新をお願いいたします。
情報が更新されない場合、一部のサービスをご利用いただけなくなることがあります。
────────────────────────────────────
　　　　　　合計　　　　　　　　　　　　¥450

　　　　　　【お支払い情報を更新してください】←（※フィッシングリンク・クリック禁止）

このメールは自動送信されています。返信しないでください。

© 2026 Apple Inc. All Rights Reserved.
〒106-6140 東京都港区六本木6-10-1 六本木ヒルズ森タワー

■ プレースホルダー（穴埋め変数）が置換されないまま送信された決定的証拠

フィッシングメールの大量送信ツールは通常、受信者ごとに名前やメールアドレス・日付などを自動的に差し込んで「あなた宛ての請求書」に見せかけます。しかし今回のメールでは、その差し込み処理が完全に失敗しています。

欄	本来入るはずの内容	実際に届いた内容（失敗）
APPLE ACCOUNT	受信者のメールアドレス	[-email-]
日付	請求日付	[-datetime-]
書類番号	12桁の書類番号	[-digit12-]

この凡ミスのおかげで、「誰宛てかもわからない請求書」という不自然なメールが届くことになりました。慣れた目には一目で偽物とわかりますが、フィッシングサイト自体は本物そっくりの精巧な作りになっているため、リンクをクリックしてしまうと油断は禁物です。

ここが怪しい！スタッフが気づいた偽物のサイン

• 送信元が icloud.no-reply@reivs.com——Appleの正規ドメイン（apple.com）とは全く別のドメイン
• [-email-][-datetime-][-digit12-] がそのまま表示——「あなた宛ての請求書」のはずが誰宛てかすら書いていない
• ¥450という金額——実際のiCloud+ 200GBは月額450円（税込）と一致させているが、本物のAppleからの請求メールは正しいメールアドレスが表示される
• 「東京都港区六本木ヒルズ森タワー」——Appleの日本法人住所を正確に記載してそれらしく見せているが、送信元は香港

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from mail.5kcOds.info (unknown [193.239.154.70])

【偽装判定】：
Appleの正規メールは @apple.com または @id.apple.com 等から送信されます。本メールの送信ドメイン reivs.com はAppleとは全く無関係の第三者ドメインです。SPFレコード（送信元認証情報）が未設定のため、一部のメールフィルターに「なりすまし」として検出されるリスクがある一方、フィルターの設定によっては素通りしてしまう場合もあります。

送信サーバーIPアドレス（client-ip）：193.239.154.70

インフラ：IP Transit / HOTIOCCLOUD-AS-AP（AS136038）——脅威レベル：高（ip-sc.net判定：サイバーアタックの攻撃元）

発信元ロケーション：香港・油尖旺区・旺角（Mong Kok）（緯度：22.3148、経度：114.17）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

中継ドメイン：mail.5kcOds.info（DNSに存在しない失効ドメイン）——送信経路を隠蔽するための使い捨てドメインと判断されます。

■ 本物のCloudflare認証を悪用したクローキング（アクセス端末によって表示内容を変える偽装手法）

フィッシングサイトへのアクセス時、「接続を確認しています　下の認証を完了してください」という画面が表示されます。画面には本物のCloudflare Turnstile（クラウドフレア社が提供する正規のセキュリティ認証サービス）のロゴと「検証中…」という表示が出ます。これは攻撃者がCloudflareのサービスをそのまま悪用してbot（自動プログラム）を選別しているものです。本物のセキュリティサービスを使っているため、利用者が「安全なサイトだ」と誤認しやすい特に悪質な手口です。

▲ 「Cloudflare」のロゴが表示されるクローキング関門。本物のCloudflareサービスが悪用されており、安全に見えてしまう

この関門を突破すると、本物そっくりのApple Account（アップルアカウント）サインイン画面が表示されます。「メールまたは電話番号」の入力を求めてきます。

▲ 関門突破後に表示される偽Apple Accountサインイン画面。本物と見分けがつかないほど精巧

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://mxbobnz[.]info/stance/mFY3joiA7GPOTFUqB3j（一部伏字）

リンクドメイン：mxbobnz.info（Appleとは一切無関係の意味不明な文字列ドメイン）

サイトサーバーIP：104.21.35.53

インフラ：Cloudflare CDN（コンテンツ配信ネットワーク）——Cloudflare経由で配信されているため実際のサーバー所在地は隠蔽されています

ドメイン登録日：whois.domaintools.com で確認

【セキュリティソフトによるブロック状況】：

• ウイルスバスター クラウド：フィッシングとして検出・ブロック済み
• Google セーフブラウジング（Chrome）：「危険なサイト」として警告表示

▲ ウイルスバスター クラウドが「フィッシング」として検出・ブロック

▲ Google Chromeでも「危険なサイト」として赤い警告画面が表示される

■ 注意点と対処法

1. リンクをクリックしない：「お支払い情報を更新してください」ボタンは偽物です。絶対にクリックしないでください。
2. Appleの正規送信元を確認する：Appleからの正規メールは @apple.com や @id.apple.com から届きます。それ以外のドメインは偽物です。
3. テンプレート変数が残っていたら確実に偽物：[-email-]や[-datetime-]のような記号が含まれるメールは、攻撃ツールが誤作動した偽メールです。即削除してください。
4. iCloudの支払い情報の確認は公式から：iCloudのお支払い状況は、iPhone/iPadの「設定」→ Apple IDをタップ→「サブスクリプション」から確認できます。メール内のリンクからは絶対にアクセスしないでください。
5. 入力してしまった場合：すぐに Apple IDの公式サイト からパスワードを変更してください。二段階認証（本人確認を2回行うことでセキュリティを高める仕組み）の設定も合わせてご確認ください。
6. 公式注意喚起の参照：Apple をかたる詐欺メールや詐欺電話に注意する（Apple公式）

■ 関連記事

当ブログでは過去にもApple・iCloudを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

Apple 関連記事一覧

本レポートの結論

「iCloudのお支払い情報に問題がある」と焦らせるApple騙りフィッシングメールが確認されました。今回は攻撃ツールの誤作動で「[-email-]」「[-datetime-]」というテンプレート変数が丸出しのまま届くという大失態を演じましたが、笑えないのはフィッシングサイト自体は本物そっくりの精巧な作りで、本物のCloudflareセキュリティ認証まで悪用したクローキングが仕掛けられていることです。メールの不自然さに気づかずリンクをクリックしてしまえば、精巧な偽サインイン画面でApple IDとパスワードを盗まれます。Apple IDが乗っ取られると、iPhone内の全データへのアクセス・App Store決済・iCloudバックアップの盗視など甚大な被害につながります。Apple関連メールが届いたら、メール内リンクは絶対にクリックせず、必ずデバイスの「設定」から直接確認する習慣をつけてください。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

件名：【重要】アメリカン・エキスプレス®会員様限定「プレミアム・カード保険」無償提供開始のご案内

AMERICAN EXPRESS®

東京海上日動 × アメックス共同開発

【重要】すべての会員様へ無償提供
「プレミアム・カード保険」開始のお知らせ

日本最大の損害保険会社である東京海上日動火災保険株式会社との提携により、日
常のすべてのカード決済に最高峰の安心をお届けします。

いつもアメリカン・エキスプレス®をご愛顧いただき、誠にありがとうございます。

この度、カード決済における安全性をさらに強固なものへ引き上げるため、
すべての会員様（一般・ゴールド・プラチナ・センチュリオン）を対象とした
「プレミアム・カード保険」をご用意いたしました。本案内よりプログラム
をご承認（有効化）いただくことで、1年間の安心補償が無償で付帯されます。

PROTECTION 01　盗難・紛失・不正利用
万が一のカード盗難・紛失、カード情報の漏洩によるインターネットでの不正利用被害を1年間、全額100%完全補償いたします。

PROTECTION 02　ショッピング＆返品
本カードで購入された商品の破損・盗難（最高500万円）や、購入店が返品を拒否した際の払い戻し（最高3万円）を幅広くカバーします。

PROTECTION 03　オンライン・不正アクセス安心補償
フィッシング詐欺被害や、各種オンラインサービスにおけるアカウントの不正な悪用（なりすまし決済）に対しても、会員様専用の特約窓口にてスピーディーに対応いたします。

　　　　　　【無料の補償プログラムを有効化する】←（※フィッシングリンク・クリック禁止）

※本プログラムは、アメリカン・エキスプレス®の基本カード会員様（全てのカードランク）が対象となります。
※無償補償プラン（1年間）の適用を受けるには、上記リンク（マイアカウント）より事前の有効化（エントリー）手続きが必要となります。
※有効化手続き完了後、翌日の午前0時より自動的に補償が開始されます。保険証券等の郵送はございません。
※引受保険会社：東京海上日動火災保険株式会社（共同開発特約プログラム）

ここが怪しい！スタッフが気づいた偽物のサイン

• 送信元が info@aericaxnexprzes.com——「americanexpress」の文字を巧みに並べ替えた偽ドメイン。正規ドメインは americanexpress.com
• 「東京海上日動火災保険株式会社との提携」——実在する損害保険会社の名前を無断で悪用。このような共同保険プログラムは実在しない
• 「全額100%完全補償」「最高500万円」など過剰に魅力的な補償内容——不安よりも「お得感」で行動を促す巧妙な心理操作
• 全カードランク（一般・ゴールド・プラチナ・センチュリオン）が対象——アメックスカードを持つ不特定多数に無差別送信していることの証拠
• 「保険証券等の郵送はございません」——紙の証拠を残さないための逃げ口上

■ タイポスクワッティング（正規ドメインに酷似した偽ドメインを使う手口）の実態

今回の送信元ドメイン aericaxnexprzes.com は、アメリカン・エキスプレスの正規ドメイン americanexpress.com の文字を意図的に並べ替え・変形させたものです。

パッと見ると似ているように感じますが、american → aericaxn、express → exprzes と文字が入れ替えられています。メールソフトでは送信者名「American Express」として表示されるため、アドレスをよく見ない限り気づきません。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from mail.aericaxnexprzes.com (unknown [163.43.129.150])

【偽装判定】：
アメリカン・エキスプレスの正規メールは @americanexpress.com から送信されます。本メールの送信ドメイン aericaxnexprzes.com は正規ドメインとは全く別の偽ドメインです。SPF・DKIMを両方Passするよう細工されており、多くのメールフィルターをすり抜けます。

送信サーバーIPアドレス：163.43.129.150

インフラ：SAKURA Internet Inc.（さくらインターネット株式会社）——日本国内、大阪府大阪市の国産レンタルサーバーが悪用されています

発信元ロケーション：大阪府大阪市（緯度：34.706、経度：135.493）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

X-Mailer（送信に使用したソフトウェア）：Mozilla Thunderbird 115.12.0
一般向けの無料メールソフト「Thunderbird（サンダーバード）」を使って送信されていることが判明しています。高度な専用ツールではなく、誰でも入手できるフリーソフトで犯行が行われている点が特徴的です。

■ 「leqiuzhibo」ドメインが結ぶ同一攻撃グループの痕跡

今回のAmexフィッシングサイトのインフラに使用されたドメインは nb-leqiuzhibo.com です。当スタッフが同日（2026年6月13〜14日）に確認した三井住友カード偽メールでは、a8s9d0f1.china-leqiuzhibo.com というドメインが送信元として使用されていました。

確認日	騙ったブランド	leqiuzhiboドメイン
2026/06/13	三井住友カード	a8s9d0f1.china-leqiuzhibo.com（送信元）
2026/06/14	American Express	nb-leqiuzhibo.com（フィッシングサイト）

「leqiuzhibo」という特徴的な文字列が複数のブランドを狙うフィッシングキャンペーンで共通して使われていることは、同一の攻撃グループが複数ブランドへの攻撃を組織的・並行的に行っている証拠とHeartland-Labは判断します。なお、フィッシングサイト nb-leqiuzhibo.com は調査時点でDNS失効（ドメインが無効化）されており、サイトへのアクセスはできない状態です。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://www.nb-leqiuzhibo[.]com/datacenter/login（一部伏字）

リンクドメイン：nb-leqiuzhibo.com

【サイトの状態】：調査時点でDNS失効済み（ドメインが無効化されておりアクセス不可）。ただし、同系列の別ドメインが引き続き稼働している可能性があります。

偽ログイン画面（調査時点）：American Expressの会員ログイン画面を精巧に模倣。ユーザーIDとパスワードの入力を促します。

▲ 偽Amexログイン画面。カードのサンプル画像の名義欄に「ZHU YAMIN」という中国人名が消し忘れのままになっている

■ 注意点と対処法

1. リンクをクリックしない：「無料の補償プログラムを有効化する」ボタンは偽物です。絶対にクリックしないでください。
2. 送信元アドレスをよく確認する：アメックスの正規メールは @americanexpress.com から届きます。よく似た別のドメインからのメールは偽物です。
3. 「無償保険」の案内は疑う：アメリカン・エキスプレスが突然「東京海上日動との共同保険を無償提供」とメールで連絡してくることはありません。魅力的な内容ほど慎重に。
4. 公式アプリ・ブックマークからアクセスする：カード情報の確認は必ず公式アプリまたは以前登録したブックマークから行ってください。
5. 入力してしまった場合：アメリカン・エキスプレス紛失・盗難受付（24時間）0120-020-120に速やかにご連絡ください。
6. 公式注意喚起の参照：アメックスを騙った迷惑メール（フィッシング詐欺）にご注意ください（公式）

■ 関連記事

当ブログでは過去にもアメリカン・エキスプレスを騙る詐欺メールを取り上げています。あわせてご覧ください。

アメックス 関連記事一覧

同日確認の三井住友カード偽メール（leqiuzhibo同一インフラ）：【実録】三井住友カード「セキュリティシステム更新に伴う再認証の手続き」は詐欺！

本レポートの結論

「東京海上日動とアメックスの共同保険を無償提供」という一見魅力的な内容で会員を騙るフィッシングメールが確認されました。送信元ドメインはamericanexpress.comの文字を巧みに並べ替えた偽ドメインで、SPF・DKIMを両方クリアする高度な偽装が施されています。さらにフィッシングサイトのインフラが同日確認の三井住友カード偽メールと同じ「leqiuzhibo」系列であることから、複数ブランドへの同時並行攻撃を行う組織的な犯行グループの存在が浮かび上がりました。偽ログイン画面には犯人の「ZHU YAMIN」という名前まで消し忘れで残っていましたが、笑えないのはその被害の深刻さです。身近な方への一言が被害を防ぎます。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

件名：ANAカードご利用者様必見：ボーナスマイル申請はお早めに

ANA Group　企業情報

平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。

このたび、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただくさい。
下記のボーナスマイルを獲得するチャンスです！

ボーナスマイル
6,605マイル

獲得可能期間
今月末まで

ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートに
ご回答ください。回答完了後、ボーナスマイルが自動的に加算されます

　　　　　　【ボーナスマイルを獲得】←（※フィッシングリンク・クリック禁止）

このキャンペーンは期間限定となっております。
獲得されたマイルの有効期間は積置日か翌年間となります。

この機会にぜひボーナスマイルを獲得はご注意ください。
引き続きANAマイレージクラブをよろしくお願いいたします。

恥兵
ANAカスタマゼーセンター
© ANA CO., LTD. All rights reserved.

ここが怪しい！スタッフが気づいた偽物のサイン

• 送信元が baby@baby.home-zh-178sports.com——スポーツ関連の全く無関係なドメイン
• 「このたび、会員のひとわたまのご感謝を込めて」「恥兵　ANAカスタマゼーセンター」——機械翻訳丸出しの不自然な日本語。本物のANAがこんな文章を送るはずがない
• 「獲得されたマイルの有効期間は積置日か翌年間」——意味不明な文章。日本語として成立していない
• 「この機会にぜひボーナスマイルを獲得はご注意ください」——日本語が破綻している
• マイル数が「6,605」という中途半端な数字——無差別大量送信のため受信者ごとにランダム生成している可能性が高い

■ ワードサラダ：スパムフィルターを混乱させる高度な偽装手法

このメールのHTML本文には、日本語テキストが一切含まれていません。メールソフトには「平穏りよりANAマイレージクラブをご利用いただき……」と日本語で表示されますが、実際のHTMLソースコードでは全ての文字が以下のような数値コード（HTMLエンティティ参照）に変換されています。

▲ メールのHTMLソース。日本語テキストが一文字残らず「〇〇〇〇;」形式の数値コードに変換されている

この手法により、「ANAマイレージ」「ボーナスマイル」といったキーワードがHTMLソース上には存在しない状態となり、キーワードフィルター（迷惑メールフィルターが危険なキーワードを検出して振り分ける仕組み）をかわします。読者の目には普通の日本語メールとして映りますが、セキュリティシステムからは「日本語のないメール」として処理される——巧妙な二重構造です。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from baby.home-zh-178sports.com (unknown [161.153.82.109])

【偽装判定】：
ANAの正規メールは @ana.co.jp または @mileage.ana.co.jp 等のドメインから送信されます。本メールの送信ドメイン baby.home-zh-178sports.com はスポーツ関連と思われる全く無関係の第三者ドメインです。にもかかわらず、SPF認証とDKIM署名を2重にPassするよう事前に細工されており、多くのメールセキュリティフィルターをすり抜けます。

送信サーバーIPアドレス：161.153.82.109

インフラ：Oracle Corporation（Oracle Cloud / AS31898 ORACLE-BMC-31898）

発信元ロケーション：米国・アリゾナ州・フェニックス（緯度：33.466、経度：-112.012）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

「zh-」プレフィックス同一犯仮説：
今回の事案で特に注目すべきは、送信元ドメインとフィッシングサイトのドメインがともに「zh-」で始まる点です。

• 送信元：baby.home-zh-178sports.com
• フィッシングサイト：zh-m-9games-live.com

さらに両サイトのインフラが同じTencent Cloud（中国系クラウドサービス）上で稼働していることも確認されています。「zh」は中国語（Zhōngwén）の略称として広く使われており、中国を拠点とする攻撃グループが命名規則として使っている可能性が高いと当スタッフは判断します。

■ 独自CAPTCHA風クローキングの実態

フィッシングサイトへのアクセス時、「サイトへの接続が安全かどうか確認しています」という画面が表示され、「4個の盾アイコンを選択してください」という独自の確認テスト（CAPTCHA：コンピュータと人間を区別するための確認テスト）が出現します。これは、自動検査プログラム（bot）をふるい落とし、実際の人間だけをフィッシングページに誘導するための関門です。

▲ 「盾アイコンを4個タップしてください」——一見セキュリティチェックに見えるが、botをふるい落とすための罠

この関門を突破すると、本物そっくりのANAマイレージクラブ会員ログイン画面が表示されます。「お客様番号（数字10桁）」と「Webパスワード」の入力を求めてきます。入力した瞬間、情報は攻撃者のサーバーへ送信されます。

▲ 関門突破後に現れる偽ANAログイン画面。「A STAR ALLIANCE MEMBER」のロゴまで精巧に再現されている

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://jillsurplusoutlet[.]com/MLBTzHkt/（一部伏字）

リンクドメイン：jillsurplusoutlet.com（ANA・全日本空輸とは一切無関係のドメイン）

中継サイトURL（伏せ字）：hxxps://zh-m-9games-live[.]com/pd5R1PEbTD.co.jp.net（一部伏字）

中継ドメイン：zh-m-9games-live.com（「.co.jp.net」という偽装パスでANA公式に見せかける手口）

フィッシングサイトIP：101.32.98.168（Tencent Cloud）

中継サイトIP：43.167.216.27（Tencent Cloud）

ロケーション：中国本土またはHong Kong（Tencent Cloud拠点）
Googleマップ：【位置情報を確認する（参考・香港付近）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【パスによる偽装手口】：
中継URLのパス部分が /pd5R1PEbTD.co.jp.net となっており、一見すると日本の公式ドメイン（.co.jp）のように見えます。しかし実際のドメインは zh-m-9games-live.com であり、「.co.jp」はパス（URLの一部）として付け加えられた偽装文字列にすぎません。URLの見方に不慣れな方を騙す狡猾な手口です。

【セキュリティソフトによるブロック状況】：

• ウイルスバスター クラウド：中継サイト（zh-m-9games-live.com）をフィッシングとして検出・ブロック済み

▲ ウイルスバスター クラウドが中継サイトを「フィッシング」として検出・ブロック

■ 注意点と対処法

1. リンクをクリックしない：「ボーナスマイルを獲得」ボタンは偽物です。絶対にクリックしないでください。
2. ANAの正規ドメインを確認する：ANAからの正規メールは @ana.co.jp や @mileage.ana.co.jp 等から届きます。それ以外は偽物と判断してください。
3. 日本語の不自然さで判断する：「恥兵　ANAカスタマゼーセンター」「会員のひとわたまのご感謝」のような機械翻訳丸出しの不自然な文章は詐欺の証拠です。
4. 公式アプリ・ブックマークからアクセスする：マイル残高の確認は、必ずANA公式アプリまたは以前ご自身で登録したブックマークからアクセスしてください。
5. 入力してしまった場合：ANA お客様サービスセンター（0570-029-709）に速やかにご連絡ください。
6. 公式注意喚起の参照：ANAグループを装った詐欺メール・詐欺電話等にご注意ください（公式）

■ 関連記事

当ブログでは過去にもANAを騙る詐欺メールを取り上げています。あわせてご覧ください。

ANA 関連記事一覧

本レポートの結論

「6,605マイルをプレゼント」という甘い言葉でANAマイレージ会員を狙うフィッシングメールが確認されました。今回の手口の最大の特徴は、メール本文の日本語を全文字HTMLの数値コードに置き換えて迷惑メールフィルターをかわす「ワードサラダ」偽装です。さらに送信元とフィッシングサイトが「zh-」という共通の命名規則を持ち、同一の攻撃グループによる組織的犯行と見られます。機械翻訳丸出しの不自然な日本語という致命的なボロが出ているものの、SPF・DKIM認証を2重にクリアしており、セキュリティフィルターには本物として扱われます。マイルに関するメールが届いたら、メール内のリンクは絶対にクリックせず、必ず公式アプリから確認する習慣をつけてください。身近な方にも一言伝えてあげてください。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

件名：【三井住友カード】セキュリティシステム更新に伴う再認証の手続き

三井住友カード　SMBC Card

【重要】セキュリティ認証 再確認のお願い

平素より三井住友カードをご利用いただき、誠にありがとうございます。

お客様のカードにご登録いただいております「セキュリティ認証（本人認証サービス）」の有効期限が
切れているか、または再登録が必要な状態となっております。
セキュリティ強化のため、再認証手続きを弊社システムにてご依頼しております。

※再認証が完了しない場合、一部のインターネット決済（オンラインショッピング等）がご利用いた
だけなくなる可能性がございます。

─────────────────────────────
要対応期限　　2026-06-13（当日中）
対応内容　　　セキュリティ認証（本人認証サービス）の再登録・ワンタイム認証手続き
対象カード　　三井住友カード 全般（Visa / Mastercard / JCB）
─────────────────────────────

ご対応手順（至急お願いいたします）

1. 下記「認証ページ」ボタンより三井住友カード公式サイトへアクセス
2. 会員メニューにログイン後、「セキュリティ設定」を選択
3. 画面の案内に従い、再認証（ワンタイム認証）を完了

誠にお手数をおかけしますが、期限内に手続きを完了いただけますようお願い申し上げます。

　　　　　　【セキュリティ認証ページ】←（※フィッシングリンク・クリック禁止）

────────────────────────────────────
重要なご案内 / カスタマーサポート
────────────────────────────────────
三井住友カード カスタマーサポート
お問い合わせ窓口：0120-324-310（日本国内通話無料）
※上記番号をご利用いただけない場合：03-5539-2745
受付時間：平日 9:00〜17:00（土日祝日を除く）
カード紛失・盗難専用窓口（24時間）：0120-956-999

本メールはセキュリティ認証の期限が近いお客様に送信しております。三井住友カード株式会社からの重要な
お知らせです。
〒100-0005 東京都千代田区丸の内一丁目1番2号
© 2026 三井住友カード株式会社 / SMBC Card　|　プライバシー規約

ここが怪しい！スタッフが気づいた偽物のサイン

• 送信元アドレスが noreply@a8s9d0f1.china-leqiuzhibo.com——「china-」の文字が入った明らかに三井住友カードとは無関係のドメイン
• 要対応期限が「当日中」——時間的プレッシャーで冷静な判断を奪う常套手段
• 「セキュリティ認証の有効期限が切れている」という根拠のない理由——実際にそのような通知を三井住友カードが送ることはありません
• Visa・Mastercard・JCBすべての保有者に無差別送信している（対象を絞れないため全ブランドを列挙）

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from a8s9d0f1.china-leqiuzhibo.com (unknown [161.33.203.191])

【偽装判定】：
三井住友カードの正規メールは @smbc-card.com または @smbc.co.jp ドメインから送信されます。本メールの送信ドメイン a8s9d0f1.china-leqiuzhibo.com はサブドメイン名に「china-（中国）」の文字を含む、三井住友カードとは一切無関係の第三者ドメインです。にもかかわらず、SPF認証（送信元が本物かどうかを確認する仕組み）とDKIM署名（メールが改ざんされていないか確認する仕組み）の両方をPassするよう事前に細工されており、多くのメールセキュリティフィルターをすり抜けます。これは攻撃者が専用のドメインと送信サーバーを用意してフィルター回避に多大な手間をかけている証拠であり、犯行の計画性の高さを示しています。

送信サーバーIPアドレス：195.54.171.126

インフラ：Contabo GmbH（ドイツ系格安VPS事業者。匿名性が高く犯罪者に悪用されやすい）

発信元ロケーション：香港近傍（195.54.171.x 帯のトレースルートによる推定）
Googleマップ：【位置情報を確認する（参考）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

List-Unsubscribeヘッダー（配信停止リンク）の悪用：
メールヘッダーに https://li.amartapura.com/unsubscribe?email=... という配信停止URLが記載されていますが、amartapura.com はDNS（インターネット上の住所録）が存在しない失効ドメインです。正規のメールマガジン配信を装うための偽装工作と判断されます。

■ クローキング（アクセスした端末の種類によって表示内容を変える偽装手法）の実態

フィッシングサイトへのアクセス時、まず「安全な接続を確認しています。ブラウザのセキュリティを確認中です。」という画面が表示されます。これはセキュリティbot（自動検査プログラム）かどうかを見極めるための「関門」です。クリックやタップなどの人間らしい操作を確認したうえで偽ログイン画面を表示する仕組みになっており、自動検査をすり抜けるための巧妙な工夫です。

▲ アクセス直後に表示される「安全な接続を確認しています」画面。bot（自動プログラム）を篩にかける関門

この関門を突破すると、本物そっくりのVpass（三井住友カードの会員サービス）ログイン画面が表示されます。IDとパスワードを入力した瞬間、情報は攻撃者のサーバーへ送信されます。

▲ クローキングを突破した先に現れる偽Vpassログイン画面。本物と見分けがつかない精巧な作り

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://yxtdcj[.]com/ZXlTkIQZ/?ts=1781479516&sig=2cba39…（一部伏字）

リンクドメイン：yxtdcj.com（三井住友カード・SMBCとは一切無関係の意味不明な文字列ドメイン）

ドメイン登録日：whois.domaintools.com で確認

サイトサーバーIP：198.46.210.172

インフラ：ColoCrossing（米国のデータセンター事業者）

ロケーション：米国（ColoCrossing拠点）
Googleマップ：【位置情報を確認する（参考・Buffalo NY付近）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【セキュリティソフトによるブロック状況】：

• ウイルスバスター クラウド：フィッシングとして検出・ブロック済み
• Google セーフブラウジング（Chrome）：「危険なサイト」として警告表示
• Cloudflare：「Suspected Phishing（フィッシングの疑い）」として警告表示

▲ ウイルスバスター クラウドが「フィッシング」として検出・ブロック

▲ Google Chromeでも「危険なサイト」として赤い警告画面が表示される

■ 注意点と対処法

1. リンクをクリックしない：メール内の「セキュリティ認証ページ」ボタンは偽物です。絶対にクリックしないでください。
2. 送信元アドレスを確認する：三井住友カードの正規メールは @smbc-card.com または @smbc.co.jp から届きます。それ以外のドメインからのメールは偽物です。
3. 公式アプリ・ブックマークからアクセスする：Vpassへのログインは、必ずスマートフォンの公式Vpassアプリか、以前ご自身で登録したブックマークからアクセスしてください。
4. 情報を入力してしまった場合：三井住友カードのカード紛失・盗難専用窓口（24時間）0120-956-999へ速やかにご連絡ください。カードの利用停止手続きを取ることが最優先です。
5. 公式注意喚起の参照：三井住友カード フィッシング詐欺にご注意（公式）

■ 関連記事

当ブログでは過去にも三井住友カードを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

三井住友 関連記事一覧

本レポートの結論

「当日中に再認証しないとショッピングが使えなくなる」という焦りを煽る三井住友カード偽メールが大量出回りしています。送信元には堂々と「china-（中国）」が入るドメインが使われているにもかかわらず、SPF・DKIMという2種類のメール認証を両方クリアするよう巧妙に偽装。さらにフィッシングサイトではクローキングでセキュリティ検査をかわし、本物そっくりの偽Vpassログイン画面でIDとパスワードを盗み取ろうとします。この手口はかなり手間をかけた計画的な犯行です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

■ メールヘッダー解析（送信者情報）

件名：＜JACCS＞2026年06月度お支払い金額確定のご案内

送信者名：“株式会社ジャックス”（表示名だけジャックスを名乗っている）

送信元アドレス：no-reply-S2gV@outlook.com（Microsoftのフリーメール！）

X-Mailer（送信に使用したメールソフト）：iPhone Mail (21G81)（iPhoneのメールアプリから送信！）

送信元クライアントIPアドレス：2.59.152.36（ヨーロッパ系IPレンジ）

中継サーバー：sp38617-mie877.mie.zaq.ne.jp（三重県のプロバイダ）

SPF認証（送信元が本物かどうかを確認する仕組み）：Fail（outlook.comは2.59.152.36からの送信を明示的に否認）

DKIM署名（メールが改ざんされていないことを確認する仕組み）：なし

受信日時：2026年6月13日（土）18:41:55 JST

このメールはジャックスカードを装った真っ赤な偽物です。本文デザインは本物そっくりですが、送信元はOutlookのフリーアカウントという致命的な証拠があります。ジャックスカードをお持ちのご家族にぜひ共有してください。

LINEで家族に共有する

※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

【JACCS】6月25日のお支払い金額

ジャックスインターコムクラブをご利用いただき、誠にありがとうございます。
今月の以下のカードについてお支払い金額が確定いたしました。

ジャックスカード VISA
98,597円

Webで明細を確認【←詐欺リンク・クリック禁止】

ポイントについて
今回のJACCSポイント   27ポイント

最新の保有ポイントは、上記「Webで明細を確認」よりご確認ください。
ポイント獲得の対象の方には、カードのご利用金額に対する獲得ポイントを表示しています。

※キャンペーン、サービス利用による獲得ポイント（ポイント上乗せ分）は含まれません。
※ポイント獲得の条件に満たない場合、獲得ポイントは表示されません。

アプリ・LINEでもお支払い金額を確認できます

JACCSアプリ
アプリを開くだけ！金額確定通知の機能も！
iPhone用    Android用

JACCS LINEミニアプリ
いつものLINEで簡単アクセス
友だち追加

※Apple、App Store、iPhoneは、Apple Inc.の商標です。
※Android、Google PlayはGoogle LLCの商標です。

発行者
株式会社ジャックス
大阪市中央区今橋4丁目5-15
登録番号　近畿財務局長第00209号

※本メールは送信専用です。
※本メールに関する一切の記事の無断転載および再配布を禁じます。

お問い合わせ先 | ハンドルネーム設定

Copyright(C) JACCS Co.,Ltd. All Rights Reserved.

① 送信元がMicrosoftのフリーメール「outlook.com」——企業がフリーメールで公式通知は送らない

本物のジャックスからのメールは @jaccs.co.jp ドメインから届きます。今回の送信元は no-reply-S2gV@outlook.com ——誰でも無料で作れるMicrosoftのフリーメールアカウントです。大手クレジットカード会社が、請求金額という重要な情報をフリーメールで通知することは絶対にありません。これだけで偽物確定です。

② X-Mailer が「iPhone Mail」——iPhoneのメールアプリで送られた企業の自動配信メール？

メールのヘッダーに記録された送信ソフト（X-Mailer）の情報が「iPhone Mail (21G81)」となっています。これは個人のiPhoneのメールアプリから送られた証拠です。ジャックスのような大企業が、毎月数十万件の支払い確認メールを個人のiPhoneで送るなどあり得ません。攻撃者が自分のスマートフォンから手動送信（または自動送信スクリプト）で配信していたとみられます。

③ フィッシングドメインが「paypiy.com」——PayPayと混同させる巧妙な命名

誘導先URLのドメインは jaccs-ccony.paypiy.com です。「paypiy」という文字列は、日本最大級の決済サービス「PayPay（paypay）」と非常に似ています。URLをさっと見たとき「paypay」と誤認させることを狙った命名です。実際のJACCSのドメインは jaccs.co.jp であり、「paypiy.com」とは一切関係がありません。

④ 白背景＋水色フッターは詐欺メールの「典型テンプレ」

今回のメールのデザインは、白い背景に本文を配置し、末尾数行だけ水色の背景にする構成です。これは多くのクレジットカード偽メールで使い回されている典型的なテンプレートです。「本物そっくりのデザイン」に見えますが、実際は複数ブランドの公式メールを模倣するために汎用的に作られた偽装テンプレートです。デザインが本物らしいからといって安心しないことが重要です。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（メールがどのサーバーを経由して届いたかの記録）：
Received: from sp38617-mie877.mie.zaq.ne.jp (unknown [2.59.152.36])
→ dmail03.kagoya.net → 受信者側サーバー（非公表）

SPF認証（送信元が本物かどうかを確認する仕組み）：
Fail — identity=mailfrom; client-ip=2.59.152.36; helo=sp38617-mie877.mie.zaq.ne.jp; envelope-from=no-reply-s2gv@outlook.com
outlook.comのSPFレコードが「2.59.152.36からの送信は許可しない」と明示しており、認証に失敗しています。本物のMicrosoftのサーバーを経由していないことが証明されています。

【偽装判定】：
ジャックスの公式メールは @jaccs.co.jp から送信されます。今回の no-reply-S2gV@outlook.com はジャックスと一切関係がありません。SPF Failにより、Microsoft自身もこのメールの正規性を否認しています。

発信元ロケーション解析：
クライアントIP：2.59.152.36（ヨーロッパ系IPレンジ）
中継：sp38617-mie877.mie.zaq.ne.jp（三重県のプロバイダ）
Googleマップ：【三重県付近の位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字・クリック禁止）：
hxxps://jaccs-ccony[.]paypiy[.]com/uFvazNrl/

フィッシングドメイン：jaccs-ccony.paypiy.com（paypiy.com のサブドメイン）

フィッシングサイトのIPアドレス：195.86.16.135

逆引きホスト名：195-86-16-135.easynet.nl（オランダのホスティング事業者）

ロケーション：オランダ（推定：52.3676, 4.9041）
Googleマップ：【Googleマップで表示】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【ウイルスバスターによる検出】：
アクセスを試みたところ、ウイルスバスタークラウドが即座に警告画面を表示しました。

▲ ウイルスバスタークラウドが「このWebサイトは、安全ではない可能性があります」と警告。脅威の種類：フィッシング、URLはjaccs-ccony.paypiy.comと明記されている

【フィッシングサイトの内容】：
ウイルスバスターのブロックを回避した場合、JACCSインターコムクラブのログイン画面そっくりの偽サイトが表示されます。

▲ JACCSインターコムクラブの公式ログイン画面を完全コピーした偽サイト。ユーザーIDとログインパスワードを入力させてアカウント情報を盗む

「INTERCOM CLUB MEMBERSHIP」のロゴ・JACCS公式ロゴ・緑のデザインと、本物のJACCSインターコムクラブのログイン画面を精巧にコピーした偽サイトです。ここでユーザーIDとパスワードを入力すると、攻撃者にアカウント情報が送られ、不正ログインによるカードの不正利用につながります。

■ 注意点と対処法

1. 送信元アドレスを必ず確認する：本物のJACCSからのメールは @jaccs.co.jp ドメインから届きます。@outlook.com などフリーメールアドレスからの「JACCS」メールは全て偽物です。
2. メール内のリンクはクリックしない：「Webで明細を確認」というリンクの先はJACCSアカウントのID・パスワードを盗む偽ログイン画面です。JACCSへのログインは公式アプリかブックマークした www.jaccs.co.jp から直接アクセスしてください。
3. 「paypiy」「jaccs-ccony」など不審なドメインに注意：URLに「jaccs」という文字が含まれていても、ドメインが jaccs.co.jp 以外であれば偽サイトです。特に「paypiy」「paypay」を模したドメインは詐欺の可能性が高いです。
4. セキュリティソフトを常に最新の状態に保つ：今回はウイルスバスターがフィッシングサイトを即座にブロックしました。セキュリティソフトを導入・更新しておくことが被害防止の第一歩です。
5. JACCS公式の注意喚起を確認する：フィッシング詐欺メールにご注意ください（JACCS公式）

■ 関連記事

当ブログではJACCSを騙る詐欺メールをこれまでも多数取り上げています。手口は異なりますが、狙いはアカウント情報やカード情報の詐取という点で一貫しています。あわせてご覧ください。

JACCS関連詐欺メール記事一覧

本レポートの結論

今回の詐欺メールは、JACCSの公式支払い確認メールのデザインを精巧にコピーした本文でありながら、送信元はOutlookフリーアカウント・送信ツールはiPhoneのメールアプリという、企業の公式メールとしてあり得ない構成でした。「98,597円」という具体的な金額と「27ポイント」という細かい数字で本物らしさを演出していますが、これはランダムな数字を当てはめただけです。見破るポイントはシンプル——送信元が @jaccs.co.jp 以外なら即削除。ジャックスカードをお使いのご家族や友人に、この記事のURLを送って注意を促してあげてください。

■ メールヘッダー解析（送信者情報）

件名：お客様情報最新化のお願い

送信者名：“Visaカード”（表示名だけVisaカードを名乗っている）

送信元アドレス：support-apple9f3@net-friends.co.jp

送信元サーバー：r43888-okinawa373.okinawa.bbiq.jp（沖縄のプロバイダ経由）→ net-friends.co.jp（さくらインターネット）

送信元クライアントIPアドレス：193.239.154.100（ヨーロッパ系IPレンジ・詳細調査中）

SPF認証（送信元が本物かどうかを確認する仕組み）：Softfail（ドメイン所有者自身が「このホストからの送信は推奨しない」と宣言している状態）

DKIM署名（メールが改ざんされていないことを確認する仕組み）：なし

受信日時：2026年6月13日（土）20:52:29 JST

このメールはVISAカードを装った真っ赤な偽物です。フィッシングサイトは現在も稼働中で、クレジットカード情報が即座に盗まれる危険があります。クレジットカードをお持ちの家族・友人への注意喚起をお願いします。

LINEで家族に共有する

※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

一時的な利用制限のお知らせ

Visaカードサービス
一時的な利用制限のお知らせ
カードが一時停止されています
セキュリティ上の理由により、現在ご利用できません

お客様のVisaカードで通常と異なる動作が検出されました。
安全維持のため、カード利用を一時的に止め、確認手続きへのご協力をお願いしています。

確認された内容:
通常外の地域での決済試行
短時間での高額利用の連続
不審なオンライン購入の検出

■セキュリティ対策
万一の不正利用を防ぐため、異常な活動が見つかると自動で利用制限がかかる場合があります。
心当たりのない取引は速やかにカード会社までご連絡ください。

本人確認を行い利用再開する【←詐欺リンク・クリック禁止】

Visaカードから直接確認手続きを求めるメールは送信しません
本人確認手続きは必ず上記公式サイトから行ってください
不審なリンクや電話での情報入力を求められることはありません

このメールについて
このメールはVisaカードをご利用のお客様にお送りしています。
配信停止はこちらから行えます。
お問い合わせはお問い合わせフォームからご連絡ください。
※本メールにご返信頂いてもお答えできませんのでご了承ください。

【発行元】Visaカードセキュリティセンター
Visaカスタマーサポート

① 送信元アドレスに「apple」が入っている——VisaでもなくAppleでもない謎のアドレス

送信元は support-apple9f3@net-friends.co.jp です。「Visaカード」を名乗りながら、アドレスには「apple」という文字が含まれています。AppleでもVisaでもない「net-friends.co.jp」というドメインから届いた時点で偽物確定です。本物のVisaカードに関するメールは、各カード発行会社（三井住友カード・三菱UFJニコス等）の公式ドメインから届きます。

② 本文に「Visaカードから直接確認手続きを求めるメールは送信しません」と自分で書いている

メール本文の中に「Visaカードから直接確認手続きを求めるメールは送信しません」という一文があります。これはVISA公式の注意喚起文をコピーして貼り付けたものですが、結果として「このメールは偽物です」と自分で宣言しているという、前代未聞の自爆です。攻撃者が本物らしく見せようとしてVISAの公式文言を丸ごとコピーした結果、完全に矛盾した内容になっています。

③ SPF Softfail——ドメイン所有者自身が「このメールは信頼しないで」と言っている

SPF認証（送信元が本物かどうかを確認する仕組み）の結果は「Softfail」でした。これはドメインの所有者自身が「このサーバーからのメール送信は推奨しない」とあらかじめ宣言している状態です。つまりドメイン所有者の意図に反して無断でメールを送り付けている、いわば「ドメインの不法占拠」です。

④ フィッシングサイトがVISA・Master・AMEX・Diners・JCBの全ブランド対応

誘導先の偽サイトに表示されるカード情報入力フォームには、VISA・マスターカード・AMEX・Diners・JCBのロゴがすべて並んでいます。「Visaカードのサービス」を名乗りながら、実際にはどのブランドのカード情報でも盗み取る設計になっています。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（メールがどのサーバーを経由して届いたかの記録）：
Received: from r43888-okinawa373.okinawa.bbiq.jp (unknown [193.239.154.100])
→ dmail02.kagoya.net → 受信者側サーバー（非公表）

SPF認証： Softfail
Received-SPF: Softfail (domain owner discourages use of this host) identity=mailfrom; client-ip=193.239.154.100; helo=r43888-okinawa373.okinawa.bbiq.jp
ドメイン「net-friends.co.jp」の所有者が「このIPアドレスからの送信は推奨しない」と設定しているにもかかわらず、攻撃者が強引に利用して送信しています。

【偽装判定】：
本物のVisaカードに関する通知は、三井住友カードなら @smbc-card.com、三菱UFJニコスなら @cr.mufg.jp といった各カード発行会社の公式ドメインから届きます。「net-friends.co.jp」はVisaカードとは一切関係のないドメインです。

発信元ロケーション解析：
クライアントIP：193.239.154.100（ヨーロッパ系IPレンジ・詳細調査中）
中継サーバー：r43888-okinawa373.okinawa.bbiq.jp（沖縄県のプロバイダ）
送信元サーバーIP：182.48.12.192（さくらインターネット・日本）
Googleマップ：【沖縄県付近の位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

国内のさくらインターネットサーバーを踏み台（不正に経由するサーバー）として利用することで、海外サーバー発のメールを弾くフィルターをすり抜ける狙いがあると考えられます。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字・クリック禁止）：
hxxps://iumoata[.]info/UdDkDx

フィッシングドメイン：iumoata.info

フィッシングサイトのIPアドレス：104.21.27.98（Cloudflare CDN・稼働中）

インフラ：Cloudflare CDN（世界中にサーバーを分散配置するインターネットインフラ企業）を経由しており、実際のサーバーの所在地を特定することが困難な構成です。

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【第1段階】Cloudflare ボット確認画面

▲ アクセスすると最初にCloudflareの「接続を確認しています」画面が表示される。自動収集ロボットを弾き、人間だけを通過させるための仕掛け

「接続を確認しています——下の認証を完了してください」という画面が表示されます。Cloudflareの正規機能を悪用することで、セキュリティ調査ツールや自動スキャンをかわし、人間の被害者だけを先の偽サイトへ誘導する仕掛けです。

【第2段階】VISA公式そっくりの偽サイト

▲ VISAのロゴと青いデザインを使った偽サイト。「カードセキュリティアップグレードのお知らせ」として携帯番号の本人確認を求める

VISAの公式サイトと酷似した青系のデザインで「カードセキュリティアップグレードのお知らせ——お客様のVISAカードに登録された携帯番号の本人確認が必要です。本日中に認証を完了してください」と表示されます。「確認手続きを進める」ボタンをクリックすると、第3段階の情報収集フォームへ移行します。

【第3段階】カード情報を根こそぎ盗む入力フォーム

▲ 「保護の強化」と称してカード名義人・電話番号・メールアドレス・カード番号・有効期限・セキュリティコードを一括収集するフォーム。VISA/Master/AMEX/Diners/JCB全ブランドのロゴが並ぶ

「保護の強化——プロセスを完了するために、あなたの情報を確認してください」として以下の情報を要求します。

• カード名義人（氏名）
• 電話番号
• メールアドレス
• カード番号（16桁）
• カード有効期限（MM/YY）
• セキュリティコード（CVV・3〜4桁）

これらの情報があれば、ネットショッピングでカードを不正利用し放題です。フォームにはVISA・マスターカード・AMEX・Diners・JCB全ブランドのロゴが表示されており、どのカードでも情報を収集できる設計になっています。

■ 注意点と対処法

1. メール内のリンクは絶対にクリックしない：「本人確認を行い利用再開する」というリンクの先はカード情報を盗む偽サイトです。フィッシングサイトは現在も稼働中のため特に注意が必要です。
2. 送信元アドレスを確認する：VISAカードのサービスに関するメールは、各カード発行会社の公式ドメインから届きます。「net-friends.co.jp」はVISAと無関係のドメインです。
3. カードの利用状況は公式アプリで確認する：カードの一時停止や不正利用の心配がある場合は、メールのリンクからではなく、カード会社の公式アプリまたはブックマークした公式サイトから直接確認してください。
4. すでに情報を入力してしまった場合：すぐにカード会社の裏面記載の電話番号に連絡してカードを利用停止にしてください。時間が経つほど被害が広がります。
5. VISA公式の注意喚起を確認する：Visaのセキュリティ（Visa公式サイト）

■ 関連記事

当ブログではVISAカードを騙る詐欺メールを多数取り上げています。手口はさまざまですが、狙いはいつも同じ——カード情報の詐取です。あわせてご覧ください。

Visaカード関連詐欺メール記事一覧

本レポートの結論

今回の詐欺メールは、国内のさくらインターネットサーバーを踏み台に使いSPF Softfailで到着しました。フィッシングサイトはCloudflare CDNで稼働中という、調査時点では「現在進行形の脅威」です。特筆すべきは本文に「Visaカードから直接確認手続きを求めるメールは送信しません」と自ら書いてしまっている点——本物のVISA注意喚起文をコピーしすぎた結果の自爆です。偽物を見分けるには送信元アドレスの確認が最も確実です。「Visa」の名前が表示されていても、アドレスが公式ドメイン以外であれば即削除。クレジットカードをお持ちのご家族に、この記事を「こんな詐欺が来てる！」とLINEで送って注意を促してあげてください。

■ メールヘッダー解析（送信者情報）

件名：【えきねっと】本人確認情報の確認・補完のお願い（システム点検に伴うお知らせ）

送信者名：“JR東日本”（表示名だけJR東日本を名乗っている）

送信元アドレス：noreply@g5h7j9k1.china-9game.com

送信元ドメインのIPアドレス：161.33.181.103（国内IP・詳細不明）

SPF認証（送信元が本物かどうかを確認する仕組み）：Pass（独自ドメインで認証を通過）

DKIM署名（メールが途中で改ざんされていないことを確認する仕組み）：あり（d=g5h7j9k1.china-9game.com; s=s1）

受信日時：2026年6月13日（土）12:46:40 JST

このメールはえきねっと・JR東日本の公式サービスを装った真っ赤な偽物です。新幹線や特急を頻繁に利用する方はもちろん、えきねっとに登録しているご家族にも、ぜひこの解析結果を共有してください。

LINEで家族に共有する

※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

【会員情報管理】本人確認情報の確認・更新について

平素はえきねっとサービスをご利用いただき、誠にありがとうございます。

当社では会員様の情報セキュリティを万全に保つため、定期的にシステムの点検・強化を実施しております。
2026-06-13 12:46:40頃のシステム点検において、一部の会員様のアカウント認証情報に不備が確認されました。

┌─────────────────────────────┐
アカウントの正常なご利用を確保するため、会員情報の確認・補完をお願いいたします。
期日までに手続きを完了されない場合、えきねっとの一部サービス利用が制限される場合がございます。
└─────────────────────────────┘

■情報確認・補完の手続き方法

1. 以下のボタンよりえきねっと公式サイトにアクセスしてください

  【えきねっと公式サイトへ】←詐欺リンク・クリック禁止

3. トップページより「会員ログイン」を実施してください
4. 「マイページ」→「会員情報管理」より本人確認情報の確認・補完を行ってください
5. 情報に変更がある場合は最新の内容に修正し、「保存」をクリックしてください

手続き期限：2026-06-13（当日中）

なお、今回のシステム点検に伴う情報不備は、外部からの不正アクセスによるものではございません。
会員様の個人情報漏洩のリスクは極めて低い状況であるため、ご安心ください。

※本メールは配信専用アドレスより送信しております。返信いただいても対応できませんのでご了承ください。
※えきねっとの最新情報は公式サイトにて随時掲載しております。

えきねっと 運営：ジェイアール東日本旅客鉄道株式会社
本社：東京都千代田区丸の内1丁目5番2号
コールセンター：0570-000-888（平日 7:00〜23:00、休日 8:00〜22:00）

Copyright (c) 2026 East Japan Railway Company. All Rights Reserved.
許可なく転載することを禁じます。

① 送信元ドメインが「china-9game.com」——ゲームサイトがえきねっとの通知を送るわけがない

本物のえきねっとからのメールは @eki-net.com ドメインから届きます。今回の送信元は noreply@g5h7j9k1.china-9game.com ——「china-9game（中国のゲーム）」という名前のドメインです。JR東日本のチケット予約サービスが、見知らぬゲーム関連ドメインからメールを送ってくることは絶対にありません。差出人の名前が「JR東日本」と表示されていても、実際のアドレスを必ず確認してください。

② 「2026-06-13 12:46:40頃のシステム点検」——具体的な日時で信憑性を演出

本文に受信日時とほぼ同じ日時が「システム点検の時刻」として記載されています。これは受信者に「本当に自分のアカウントで何かが起きた」と思い込ませるための巧妙な演出です。実際には、このような具体的な時刻の記載は自動的に差し込まれた数字に過ぎず、何の根拠もありません。

③ 「手続き期限：当日中」——焦らせてクリックさせる典型手口

「当日中に手続きしないとサービスが制限される」という言葉で受信者を焦らせています。正規のサービスが「今日中に手続きしないと使えなくなる」などと急かす形で通知メールを送ることはほとんどありません。焦りを感じたら、むしろ一呼吸おいて公式サイトに直接アクセスして確認しましょう。

④ 手順番号が「1→3→4→5」——2番が抜けている

メール本文の手順を見ると「1→3→4→5」と番号が並んでおり、「2」が抜けています。あわてて大量送信した詐欺メール特有のミスです。本物の企業が公式通知で手順番号を飛ばすことはまずありません。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（メールがどのサーバーを経由して届いたかの記録）：
Received: from g5h7j9k1.china-9game.com (unknown [161.33.181.103])

SPF認証（送信元が本物かどうかを確認する仕組み）：
Pass — mailfrom: g5h7j9k1.china-9game.com; client-ip=161.33.181.103
攻撃者が「china-9game.com」という独自ドメインに対してSPF設定を行い、認証を通過させています。SPF認証がPassしていても、それは「china-9game.comとして正規に送られた」という意味であり、「えきねっとやJR東日本として本物」という意味では一切ありません。

DKIM署名（メールが途中で改ざんされていないことを確認する仕組み）：
あり（d=g5h7j9k1.china-9game.com; s=s1）
こちらも同様に、あくまで「china-9game.comドメインとして正規に署名されている」という意味です。

【偽装判定】：
本物のえきねっとからのメールは @eki-net.com から送信されます。今回の送信ドメイン「china-9game.com」はえきねっと・JR東日本の公式サーバーとは一切関係がありません。えきねっとを名乗るメールが「ゲームサイトのドメイン」から届いた時点で、詐欺メールと断定できます。

発信元ロケーション解析：
IPアドレス：161.33.181.103
ロケーション：日本国内（詳細プロバイダ情報は調査中）
Googleマップ：【推定エリアを確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

日本国内のIPアドレスからの送信は、海外サーバー発のメールを弾くフィルターを回避する目的と考えられます。国内から発信されているからといって安全とは言えません。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字・クリック禁止）：
hxxps://aaccsadcac4[.]ch-vip-yuyan[.]com/

フィッシングドメイン：aaccsadcac4.ch-vip-yuyan.com

フィッシングサイトのIPアドレス：[IP取得不可：DNS失効の可能性]

【Googleセーフブラウジングによる警告】：
アクセスを試みたところ、ChromeブラウザのGoogleセーフブラウジング機能（ブラウザに組み込まれた詐欺サイト自動検出の仕組み）が即座に真っ赤な警告画面を表示しました。「危険なサイト——攻撃者がユーザーを騙してソフトウェアをインストールさせたり、パスワード・電話番号・クレジットカード番号などを開示させたりする可能性があります」という内容で、フィッシングサイトとして認定されています。

▲ フィッシングサイトへのアクセスを試みると、Chromeが即座に赤い警告画面を表示。「最近フィッシングが検出されました」と明記されている

【サイトの状態】：Googleセーフブラウジングによりフィッシングサイトとして検出済み。また調査時点ではDNS（インターネット上の住所情報）も失効しており、ブラウザに「このサイトにアクセスできません。aaccsadcac4.ch-vip-yuyan.com にタイプミスがないか確認してください」というエラーも表示されます。

▲ DNS失効によるアクセス不能エラー。フィッシングサイトはすでに閉鎖されているとみられる

■ 注意点と対処法

1. メール内のリンクは絶対にクリックしない：「えきねっと公式サイトへ」というボタンのリンク先は、えきねっとのログインIDやパスワード、クレジットカード情報を盗む偽サイトです。
2. 送信元アドレスを必ず確認する：本物のえきねっとからのメールは @eki-net.com ドメインから届きます。それ以外のドメインであれば偽物です。特に「JR東日本」と表示されていても、アドレス欄を開いて確認してください。
3. 公式サイトへは直接アクセスする：えきねっとへのログインは、メールのリンクからではなく、ブックマークまたはブラウザで「eki-net.com」と直接入力してアクセスしてください。
4. えきねっとは「システム点検を口実にした本人確認メール」を送らない：公式が明言している通り、えきねっとは2022年3月以降「自動退会の事前通知メール」を送っていません。また「システム点検で認証情報に不備が確認された」という内容のメールも公式では送信しません。
5. えきねっと公式セキュリティページを確認する：えきねっとをかたる偽メール・偽サイトにご注意ください（えきねっと公式）

■ 関連記事

当ブログでは過去にもえきねっとを騙る詐欺メールを多数取り上げています。手口は変わっても狙いは同じです。あわせてご覧ください。

えきねっと関連詐欺メール記事一覧

本レポートの結論

今回の詐欺メールは、ゲームサイトのドメイン「china-9game.com」を踏み台にしてSPF認証とDKIM署名の両方をPassさせ、さらに受信日時とほぼ同じ時刻を「システム点検の時刻」として本文に埋め込む、巧妙な偽装が施されていました。さらに手順番号の「2」が抜けているという初歩的なミスが偽物の証拠として残っており、詐欺師も急いで量産していることがわかります。えきねっとをご利用の方はもちろん、新幹線・特急をよく使うご家族にも、この記事のURLを「こんな詐欺メールが来てるって！」と送って注意を促してあげてください。

■ メールヘッダー解析（送信者情報）

件名：ニンテンドーアカウント認証方法変更のお知らせと期限設定について

送信者名：“任天堂からのお知らせ”（表示名だけ任天堂を名乗っている）

送信元アドレス：pbzocys@info03.uupyd.com

送信元ドメインのIPアドレス：138.2.17.179（Oracle Cloud Infrastructure・東京リージョン）

SPF認証（送信元確認）：Pass（独自ドメインで認証を通過）

DKIM署名（改ざん防止）：あり（d=info03.uupyd.com）

受信日時：2026年6月13日（土）02:38 JST

このメールは任天堂の公式サイトを装った真っ赤な偽物です。Nintendo Switch Onlineのユーザーに広く拡散されています。家族や友人のLINEグループでこの解析結果を共有し、被害を未然に防いでください。

LINEで家族に共有する

※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

Nintendo Switch Online
公式サービスからのお知らせ
アカウント確認のお願い

平素よりNintendo Switch Onlineをご利用いただき、誠にありがとうございます。
このたび、セキュリティ強化の一環として、一部のお客様のアカウント情報のご確認をお願いしております。

 ご連絡の理由
システム上の定期チェックにより、登録情報の更新が必要なアカウントとして検出されました。お手数をおかけしますが、以下のいずれかの状況が該当する可能性がございます。

  • ご登録いただいているお支払い情報の更新時期が近づいている
  • お支払い方法における認証の再確認が必要な状態
  • 最新のご利用規約またはプライバシーポリシー改定に伴う確認

※該当しない場合でも、定期的な確認としてアカウント保護のためにご協力をお願いしております。

 ご対応目安：ご確認いただくまでサービスは通常通りご利用いただけますが、
お早めのご確認をおすすめいたします。（推奨期限: 2026年6月13日まで）

 Nintendo Switch Onlineの継続特典
アカウントを引き続きご利用いただくことで、以下のメリットを変わらずお楽しみいただけます。

 オンラインプレイ・クラウドセーブデータ
 ファミコン＆スーパーファミコン タイトル
 限定アイテム・キャンペーン情報

アカウント情報を確認・更新【←詐欺リンク・クリック禁止】
このリンクは24時間有効です

 安心してご対応いただくために
- これまでのプレイデータやセーブデータはすべて維持されます。
- ご登録情報の更新後、すぐにオンラインサービスをご利用いただけます。
- 万が一、今回のご連絡に心当たりがない場合は、以下のサポート窓口までご連絡ください。

   サポートセンター（無料）：0570-011-120
   公式ヘルプページ: support.nintendo.co.jp

本メールは配信専用です。ご返信いただいてもお答えできません。
© 2026 Nintendo Co., Ltd. All Rights Reserved.
このメールは、Nintendo Switch Online のご利用者様にお送りしています。
もし配信を希望されない場合でも、アカウント確認の重要なご連絡のためご了承くださいませ。

① 送信元アドレスが「任天堂」と無関係

本物の任天堂からのメールは @nintendo.co.jp や @accounts.nintendo.com などのドメインから届きます。今回のメールの送信元は pbzocys@info03.uupyd.com という任天堂とまったく関係のないドメインです。「任天堂からのお知らせ」という名前が表示されていても、実際の送信元アドレスを確認することが重要です。

② 「期限：6月13日まで」で焦らせる典型手口

「推奨期限: 2026年6月13日まで」「このリンクは24時間有効です」という言葉で受信者を急かしています。冷静に考える時間を奪い、確認せずにリンクをクリックさせることが目的です。本物のサービスが「今日中に手続きしないと使えなくなる」などと脅す形でメールを送ることはほとんどありません。

③ 「配信を希望されない場合でもご了承くださいませ」は本物ではあり得ない

本文最後の一文「もし配信を希望されない場合でも、アカウント確認の重要なご連絡のためご了承くださいませ」という文言は、本物の企業メールでは絶対に使いません。日本の法律（特定電子メール法）では、受信者が配信拒否を申し出た場合は送信を停止する義務があります。この文章自体が詐欺メールの証拠です。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（メールがどのサーバーを経由して届いたかの記録）：
Received: from info03.uupyd.com (unknown [138.2.17.179])

SPF認証（送信元が本物かどうかを確認する仕組み）：
Pass — mailfrom: info03.uupyd.com; client-ip=138.2.17.179
独自ドメイン「uupyd.com」でSPF認証を通過させています。これは攻撃者が専用のドメインとサーバーを用意して送信しているためです。SPF認証がPassしていても、それは「uupyd.comとして本物」という意味であり、「任天堂として本物」という意味では一切ありません。

DKIM署名（メールが途中で改ざんされていないことを確認する仕組み）：
あり（d=info03.uupyd.com; s=info03）
こちらも同様に、あくまで「uupyd.comドメインとして正規に署名されている」という意味であり、任天堂の公式メールであることの証明にはなりません。

【偽装判定】：
本物の任天堂からのメールは @nintendo.co.jp や @accounts.nintendo.com から送信されます。今回の送信ドメイン「uupyd.com」は任天堂の公式サーバーとは一切関係がありません。名前だけ「任天堂からのお知らせ」と表示されていますが、実体は全くの別人です。

発信元インフラ解析：
IPアドレス：138.2.17.179
クラウドサービス：Oracle Cloud Infrastructure（OCI）東京リージョン（ap-tokyo-1）
推定座標：35.6762, 139.6503（東京都）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

Oracle Cloud（オラクル社が提供するクラウドサービス）の東京リージョンが踏み台として悪用されています。日本国内のクラウドサーバーを経由することで、海外サーバー発のメールを弾くフィルターを回避する狙いがあると考えられます。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字・クリック禁止）：
hxxps://nsajg[.]xyz/mIsnOJ/open.co.jp

※URLの末尾に「open.co.jp」という文字列が付いており、一見すると日本の正規サービスのように見せかけています。しかし実際のドメインは「nsajg.xyz」であり、日本とは無関係の使い捨てドメインです。

フィッシングドメイン：nsajg.xyz

フィッシングサイトのIPアドレス：[IP取得不可：DNS失効の可能性]

【サイトの状態】：調査時点でブラウザに「このサイトにアクセスできません。nsajg.xyz にタイプミスがないか確認してください。DNS_PROBE_FINISHED_NXDOMAIN」と表示され、すでにアクセス不能な状態です。ドメインのDNS（インターネット上の住所情報）が失効しており、フィッシングサイト自体はすでに閉鎖されているとみられます。

▲ 調査時点でフィッシングサイト（nsajg.xyz）はすでにアクセス不能。「DNS_PROBE_FINISHED_NXDOMAIN」エラーが表示される

■ 注意点と対処法

1. メール内のリンクは絶対にクリックしない：「アカウント情報を確認・更新」というリンクをクリックすると、ニンテンドーアカウントのID・パスワードや、クレジットカード情報を盗む偽サイトへ誘導されます。
2. 公式サイトは直接開く：ニンテンドーアカウントの確認は、メールのリンクからではなく、Nintendo Switch本体・公式アプリ、またはブラウザのブックマークから accounts.nintendo.com を直接開いて確認してください。
3. 送信元アドレスを必ず確認する：メールの差出人名が「任天堂からのお知らせ」と表示されていても、実際の送信元アドレスが @nintendo.co.jp や @accounts.nintendo.com 以外であれば偽物です。
4. 子どものアカウントにも注意：Nintendo Switch Onlineはファミリーで使っている方も多く、子どもが誤ってリンクをクリックする危険があります。家庭内でも周知してください。
5. 任天堂公式の注意喚起を確認：当社メールアドレスを装った不審なメールについて（任天堂サポート）

■ 関連記事

当ブログでは過去にも任天堂・ゲーム系サービスを騙る詐欺メールをはじめ、SPF認証をPassする高度な偽装手口を多数取り上げています。あわせてご覧ください。

任天堂 関連記事一覧

本レポートの結論

今回の詐欺メールは、Oracle Cloudという実在するクラウドサービスを踏み台にしてSPF認証とDKIM署名の両方をPassさせ、さらに「期限6月13日まで」という焦らせる言葉で冷静な判断を奪う、非常に巧妙な手口です。Nintendo Switch Onlineは子どもから大人まで幅広い年齢層が使うサービスだけに、被害が広がる危険があります。このメールを受け取ったら開封・クリックせず、即削除してください。そしてこの記事のURLを家族のLINEグループで『これ気をつけて！』と一言添えて共有してあげてください。あなたの一言が大切な人を守ります。

HEARTLAND-LAB SECURITY RESEARCH UNIT

週刊フィッシングレポート

2026年第24週（6月7日〜6月13日）

先週1週間に確認された詐欺メール・フィッシングメールの全記録

今週のまとめ

2026年6月7日（土）から6月13日（金）の1週間で、ハートランド・ラボが確認した詐欺メール・フィッシングメールは重複を除いて 546通（受信ボックス上の総数は864通）でした。先週のW23（1,211通）と比べると −665通（約−55%）の大幅減少 です。

今週最も目立ったのは、ロレックス・エルメス・ルイ・ヴィトン・オメガ・パテックフィリップといった高級ブランドの偽物セール詐欺メールが全体の約2割（推計115通）を占めたこと。また、週間集計の対象外となる日付不明メールが複数混入していた点も今週の特徴です。

W23（先週）から約55%減という数字だけ見ると「詐欺メールが減って良かった！」と思いたくなります。しかし、実態はそう単純ではありません。

W23が異常に多かった最大の原因は「JAL偽装メールの集中爆撃（132通）」でした。特定のブランドを狙ったキャンペーンが短期集中で行われると、件数が一気にふくらみます。それが終息すれば自然と数は減ります。つまり今週の減少は「詐欺師が反省した」のではなく、「JALキャンペーンが一区切りついた」だけというのが正直なところです。

実際、今週も546通（重複除去後）という相当な数の詐欺メールが届いており、決して油断できる状況ではありません。むしろ、ターゲットのブランドが細かく分散している週は「特定の1件が話題になりにくい分、気づかれにくい」という危険もあります。

減っても油断しないことが、詐欺被害を防ぐ第一歩です。

今週最も多かったのは、ロレックス・エルメス・ルイ・ヴィトン・オメガ・パテックフィリップ・リシャール・ミルといった超高級ブランドの偽物セール詐欺で、推計115通（全体の21%）を占めました。

件名の例を見てみましょう：

• 「見逃し厳禁！ロレックス特価セール（代引き対応）90%OFF」
• 「今だけ！エルメス全品最大80%オフ！」
• 「パテックフィリップが今だけ90%OFF！代引きOK！」
• 「新作コレクション限定 ルイ・ヴィトン 95%割引」
• 「【期間限定】リシャール・ミル注目モデル 90%OFF」

どれも「90〜95%OFF」「代引きOK」という魅力的な言葉が並んでいます。しかし世界的な高級ブランドが公式に90%以上の値引きをすることは絶対にありません。数十万〜数百万円の時計が数千円で買えるはずがないのです。

「代引き対応」という言葉も要注意です。現金引き換えなら安全に思えますが、届くのはまったく別のガラクタや粗悪なコピー品で、返品・返金には一切応じてもらえないケースがほとんどです。

ANA偽装メールは今週、同じような文章を微妙に変えながら6種類のパターンで連続送信されました。件名を並べるとこうなります：

1. 「ANAカードご利用者様必見：ボーナスマイル申請はお早めに」
2. 「ANAカードご利用者様必見：今すぐログインでマイルを手に入れよう」
3. 「ANAカードご利用者様必見：本日を逃すとマイルがもらえません！」
4. 「ANAカードご利用者様必見：キャンペーン終了まであとわずか！」
5. 「ANAカードご利用者様必見：ボーナスマイルを受け取る最後のチャンス！」
6. 「ANAカードご利用者様必見：お忘れではありませんか？特典期限のお知らせ」

「急いで」「今日まで」「最後のチャンス」「お忘れでは？」——これらはすべて、受け取った人を焦らせて冷静な判断力を奪うための言葉です。メールを読んだ瞬間に急いでリンクをクリックさせることが目的です。

本物のANAからのメールかどうかは、リンクをクリックするのではなく、ANA公式アプリやブックマークしたANA公式サイト（ana.co.jp）から直接確認してください。

今週のデータを整理していて気づいた点があります。届いたメールの中に、送信日時が「26/06/13」「26/06/12」といった日付ではなく、「00:53:01」「01:30:38」「03:50:14」「03:52:49」「04:08:21」のように時刻だけが表示されているものが複数混在していました。

これはメールクライアントの表示仕様によるもので、「当日届いたメール」は日付ではなく時刻のみが表示されるためです。つまり「当日分（6月13日の深夜〜早朝）」が時刻表示になっているだけで、集計ミスでも意図的な改ざんでもありません。

ただ、ここで少し面白い視点があります。詐欺メールは「深夜・早朝」の時間帯に届くことが多いのです。これは日本との時差がある海外のサーバーから自動送信されていることが多いからです。今週も深夜0〜4時台に届いたメールが確認されており、改めて「詐欺メールは24時間365日、休まず送り続けられている」という現実を示しています。

今週も、受信者が使っているメールドメインそのものを送信元に偽装した詐欺メールが複数届きました。件名の例を挙げます：

• 「YOU PERVERT, I RECORDED YOU!」（送信元：自ドメイン@ランダム文字列）
• 「【重要・親愛】ハラスメント行為に関する相談・申立に伴う事実確認へのご協力依頼」
• 「【重要・総務部】近隣警察署からの指摘に基づく「歩行中の交通違反」に関する事実確認のお願い」
• 「【重要】Chromiumブラウザの脆弱性 (0-day)（ぜろでい：発見されたばかりのセキュリティの穴）に伴う緊急アップデート対応のお願い」

「自分のメールアドレスから自分宛てにメールが届いた！アカウントが乗っ取られた？」と思うかもしれませんが、これはメール送信元を偽造する「なりすまし送信」という技術を使ったもので、実際にアカウントが侵害されているわけではありません。

パニックにならず、落ち着いて削除してください。

1. 「90%OFF」の高級ブランドセールは全て詐欺：ロレックスもエルメスもルイ・ヴィトンも、正規品が9割引きになることはありません。「代引きだから安全」も誤解です。
2. 「急いで」「今日まで」は焦らせる罠：ANAのマイルはじめ、期限を強調するメールが多い週でした。焦る気持ちを一度止めて、公式アプリやサイトを直接開いて確認する習慣を。
3. 自分のドメインからのメールも疑う：送信元が自分のアドレスに見えても、なりすましの可能性があります。内容がおかしければ躊躇せず削除を。
4. 深夜のプッシュ通知に注意：寝起きの判断力が下がっている状態でリンクをクリックしないよう、就寝前はスマートフォンの通知をオフに。
5. 件数が減っても油断しない：W23より55%減でも546通が届いています。詐欺師は毎週休みなく攻撃を続けています。

■ 関連記事

当ブログでは今週取り上げたブランドを騙る詐欺メールを個別に詳しく解析した記事も多数公開しています。あわせてご覧ください。

• ANA関連詐欺メール記事一覧
• Amazon関連詐欺メール記事一覧
• Apple/iCloud関連詐欺メール記事一覧
• KAGOYA関連詐欺メール記事一覧（200件超）

本レポートの結論

W24の1週間で546通の詐欺メールを確認しました。前週より件数は減りましたが、高級ブランド偽物・Amazon・ANA・Apple・クレジットカードと、あらゆる方面からの攻撃が続いています。特に「90%OFF」の高級ブランドセールと、ANA偽装の「ボーナスマイル期限切れ」シリーズは今まさに拡散中です。このレポートを読んで「気をつけよう」と思ったなら、ぜひ家族のLINEグループに送って「こんなメールに注意して！」と一言添えてください。あなたの一言が、大切な人を詐欺から守ります。