ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

件名：ANAカードご利用者様必見：ボーナスマイル申請はお早めに

ANA Group　企業情報

平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。

このたび、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただくさい。
下記のボーナスマイルを獲得するチャンスです！

ボーナスマイル
6,605マイル

獲得可能期間
今月末まで

ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートに
ご回答ください。回答完了後、ボーナスマイルが自動的に加算されます

　　　　　　【ボーナスマイルを獲得】←（※フィッシングリンク・クリック禁止）

このキャンペーンは期間限定となっております。
獲得されたマイルの有効期間は積置日か翌年間となります。

この機会にぜひボーナスマイルを獲得はご注意ください。
引き続きANAマイレージクラブをよろしくお願いいたします。

恥兵
ANAカスタマゼーセンター
© ANA CO., LTD. All rights reserved.

ここが怪しい！スタッフが気づいた偽物のサイン

• 送信元が baby@baby.home-zh-178sports.com——スポーツ関連の全く無関係なドメイン
• 「このたび、会員のひとわたまのご感謝を込めて」「恥兵　ANAカスタマゼーセンター」——機械翻訳丸出しの不自然な日本語。本物のANAがこんな文章を送るはずがない
• 「獲得されたマイルの有効期間は積置日か翌年間」——意味不明な文章。日本語として成立していない
• 「この機会にぜひボーナスマイルを獲得はご注意ください」——日本語が破綻している
• マイル数が「6,605」という中途半端な数字——無差別大量送信のため受信者ごとにランダム生成している可能性が高い

■ ワードサラダ：スパムフィルターを混乱させる高度な偽装手法

このメールのHTML本文には、日本語テキストが一切含まれていません。メールソフトには「平穏りよりANAマイレージクラブをご利用いただき……」と日本語で表示されますが、実際のHTMLソースコードでは全ての文字が以下のような数値コード（HTMLエンティティ参照）に変換されています。

▲ メールのHTMLソース。日本語テキストが一文字残らず「〇〇〇〇;」形式の数値コードに変換されている

この手法により、「ANAマイレージ」「ボーナスマイル」といったキーワードがHTMLソース上には存在しない状態となり、キーワードフィルター（迷惑メールフィルターが危険なキーワードを検出して振り分ける仕組み）をかわします。読者の目には普通の日本語メールとして映りますが、セキュリティシステムからは「日本語のないメール」として処理される——巧妙な二重構造です。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from baby.home-zh-178sports.com (unknown [161.153.82.109])

【偽装判定】：
ANAの正規メールは @ana.co.jp または @mileage.ana.co.jp 等のドメインから送信されます。本メールの送信ドメイン baby.home-zh-178sports.com はスポーツ関連と思われる全く無関係の第三者ドメインです。にもかかわらず、SPF認証とDKIM署名を2重にPassするよう事前に細工されており、多くのメールセキュリティフィルターをすり抜けます。

送信サーバーIPアドレス：161.153.82.109

インフラ：Oracle Corporation（Oracle Cloud / AS31898 ORACLE-BMC-31898）

発信元ロケーション：米国・アリゾナ州・フェニックス（緯度：33.466、経度：-112.012）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

「zh-」プレフィックス同一犯仮説：
今回の事案で特に注目すべきは、送信元ドメインとフィッシングサイトのドメインがともに「zh-」で始まる点です。

• 送信元：baby.home-zh-178sports.com
• フィッシングサイト：zh-m-9games-live.com

さらに両サイトのインフラが同じTencent Cloud（中国系クラウドサービス）上で稼働していることも確認されています。「zh」は中国語（Zhōngwén）の略称として広く使われており、中国を拠点とする攻撃グループが命名規則として使っている可能性が高いと当スタッフは判断します。

■ 独自CAPTCHA風クローキングの実態

フィッシングサイトへのアクセス時、「サイトへの接続が安全かどうか確認しています」という画面が表示され、「4個の盾アイコンを選択してください」という独自の確認テスト（CAPTCHA：コンピュータと人間を区別するための確認テスト）が出現します。これは、自動検査プログラム（bot）をふるい落とし、実際の人間だけをフィッシングページに誘導するための関門です。

▲ 「盾アイコンを4個タップしてください」——一見セキュリティチェックに見えるが、botをふるい落とすための罠

この関門を突破すると、本物そっくりのANAマイレージクラブ会員ログイン画面が表示されます。「お客様番号（数字10桁）」と「Webパスワード」の入力を求めてきます。入力した瞬間、情報は攻撃者のサーバーへ送信されます。

▲ 関門突破後に現れる偽ANAログイン画面。「A STAR ALLIANCE MEMBER」のロゴまで精巧に再現されている

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://jillsurplusoutlet[.]com/MLBTzHkt/（一部伏字）

リンクドメイン：jillsurplusoutlet.com（ANA・全日本空輸とは一切無関係のドメイン）

中継サイトURL（伏せ字）：hxxps://zh-m-9games-live[.]com/pd5R1PEbTD.co.jp.net（一部伏字）

中継ドメイン：zh-m-9games-live.com（「.co.jp.net」という偽装パスでANA公式に見せかける手口）

フィッシングサイトIP：101.32.98.168（Tencent Cloud）

中継サイトIP：43.167.216.27（Tencent Cloud）

ロケーション：中国本土またはHong Kong（Tencent Cloud拠点）
Googleマップ：【位置情報を確認する（参考・香港付近）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【パスによる偽装手口】：
中継URLのパス部分が /pd5R1PEbTD.co.jp.net となっており、一見すると日本の公式ドメイン（.co.jp）のように見えます。しかし実際のドメインは zh-m-9games-live.com であり、「.co.jp」はパス（URLの一部）として付け加えられた偽装文字列にすぎません。URLの見方に不慣れな方を騙す狡猾な手口です。

【セキュリティソフトによるブロック状況】：

• ウイルスバスター クラウド：中継サイト（zh-m-9games-live.com）をフィッシングとして検出・ブロック済み

▲ ウイルスバスター クラウドが中継サイトを「フィッシング」として検出・ブロック

■ 注意点と対処法

1. リンクをクリックしない：「ボーナスマイルを獲得」ボタンは偽物です。絶対にクリックしないでください。
2. ANAの正規ドメインを確認する：ANAからの正規メールは @ana.co.jp や @mileage.ana.co.jp 等から届きます。それ以外は偽物と判断してください。
3. 日本語の不自然さで判断する：「恥兵　ANAカスタマゼーセンター」「会員のひとわたまのご感謝」のような機械翻訳丸出しの不自然な文章は詐欺の証拠です。
4. 公式アプリ・ブックマークからアクセスする：マイル残高の確認は、必ずANA公式アプリまたは以前ご自身で登録したブックマークからアクセスしてください。
5. 入力してしまった場合：ANA お客様サービスセンター（0570-029-709）に速やかにご連絡ください。
6. 公式注意喚起の参照：ANAグループを装った詐欺メール・詐欺電話等にご注意ください（公式）

■ 関連記事

当ブログでは過去にもANAを騙る詐欺メールを取り上げています。あわせてご覧ください。

ANA 関連記事一覧

本レポートの結論

「6,605マイルをプレゼント」という甘い言葉でANAマイレージ会員を狙うフィッシングメールが確認されました。今回の手口の最大の特徴は、メール本文の日本語を全文字HTMLの数値コードに置き換えて迷惑メールフィルターをかわす「ワードサラダ」偽装です。さらに送信元とフィッシングサイトが「zh-」という共通の命名規則を持ち、同一の攻撃グループによる組織的犯行と見られます。機械翻訳丸出しの不自然な日本語という致命的なボロが出ているものの、SPF・DKIM認証を2重にクリアしており、セキュリティフィルターには本物として扱われます。マイルに関するメールが届いたら、メール内のリンクは絶対にクリックせず、必ず公式アプリから確認する習慣をつけてください。身近な方にも一言伝えてあげてください。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

件名：ANAカードご利用者様必見：ボーナスマイル申請はお早めに

ANA Group　企業情報

平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。

このたび、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただくさい。
下記のボーナスマイルを獲得するチャンスです！

ボーナスマイル
6,605マイル

獲得可能期間
今月末まで

ボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートに
ご回答ください。回答完了後、ボーナスマイルが自動的に加算されます

　　　　　　【ボーナスマイルを獲得】←（※フィッシングリンク・クリック禁止）

このキャンペーンは期間限定となっております。
獲得されたマイルの有効期間は積置日か翌年間となります。

この機会にぜひボーナスマイルを獲得はご注意ください。
引き続きANAマイレージクラブをよろしくお願いいたします。

恥兵
ANAカスタマゼーセンター
© ANA CO., LTD. All rights reserved.

ここが怪しい！スタッフが気づいた偽物のサイン

• 送信元が baby@baby.home-zh-178sports.com——スポーツ関連の全く無関係なドメイン
• 「このたび、会員のひとわたまのご感謝を込めて」「恥兵　ANAカスタマゼーセンター」——機械翻訳丸出しの不自然な日本語。本物のANAがこんな文章を送るはずがない
• 「獲得されたマイルの有効期間は積置日か翌年間」——意味不明な文章。日本語として成立していない
• 「この機会にぜひボーナスマイルを獲得はご注意ください」——日本語が破綻している
• マイル数が「6,605」という中途半端な数字——無差別大量送信のため受信者ごとにランダム生成している可能性が高い

■ ワードサラダ：スパムフィルターを混乱させる高度な偽装手法

このメールのHTML本文には、日本語テキストが一切含まれていません。メールソフトには「平穏りよりANAマイレージクラブをご利用いただき……」と日本語で表示されますが、実際のHTMLソースコードでは全ての文字が以下のような数値コード（HTMLエンティティ参照）に変換されています。

▲ メールのHTMLソース。日本語テキストが一文字残らず「〇〇〇〇;」形式の数値コードに変換されている

この手法により、「ANAマイレージ」「ボーナスマイル」といったキーワードがHTMLソース上には存在しない状態となり、キーワードフィルター（迷惑メールフィルターが危険なキーワードを検出して振り分ける仕組み）をかわします。読者の目には普通の日本語メールとして映りますが、セキュリティシステムからは「日本語のないメール」として処理される——巧妙な二重構造です。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from baby.home-zh-178sports.com (unknown [161.153.82.109])

【偽装判定】：
ANAの正規メールは @ana.co.jp または @mileage.ana.co.jp 等のドメインから送信されます。本メールの送信ドメイン baby.home-zh-178sports.com はスポーツ関連と思われる全く無関係の第三者ドメインです。にもかかわらず、SPF認証とDKIM署名を2重にPassするよう事前に細工されており、多くのメールセキュリティフィルターをすり抜けます。

送信サーバーIPアドレス：161.153.82.109

インフラ：Oracle Corporation（Oracle Cloud / AS31898 ORACLE-BMC-31898）

発信元ロケーション：米国・アリゾナ州・フェニックス（緯度：33.466、経度：-112.012）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

「zh-」プレフィックス同一犯仮説：
今回の事案で特に注目すべきは、送信元ドメインとフィッシングサイトのドメインがともに「zh-」で始まる点です。

• 送信元：baby.home-zh-178sports.com
• フィッシングサイト：zh-m-9games-live.com

さらに両サイトのインフラが同じTencent Cloud（中国系クラウドサービス）上で稼働していることも確認されています。「zh」は中国語（Zhōngwén）の略称として広く使われており、中国を拠点とする攻撃グループが命名規則として使っている可能性が高いと当スタッフは判断します。

■ 独自CAPTCHA風クローキングの実態

フィッシングサイトへのアクセス時、「サイトへの接続が安全かどうか確認しています」という画面が表示され、「4個の盾アイコンを選択してください」という独自の確認テスト（CAPTCHA：コンピュータと人間を区別するための確認テスト）が出現します。これは、自動検査プログラム（bot）をふるい落とし、実際の人間だけをフィッシングページに誘導するための関門です。

▲ 「盾アイコンを4個タップしてください」——一見セキュリティチェックに見えるが、botをふるい落とすための罠

この関門を突破すると、本物そっくりのANAマイレージクラブ会員ログイン画面が表示されます。「お客様番号（数字10桁）」と「Webパスワード」の入力を求めてきます。入力した瞬間、情報は攻撃者のサーバーへ送信されます。

▲ 関門突破後に現れる偽ANAログイン画面。「A STAR ALLIANCE MEMBER」のロゴまで精巧に再現されている

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://jillsurplusoutlet[.]com/MLBTzHkt/（一部伏字）

リンクドメイン：jillsurplusoutlet.com（ANA・全日本空輸とは一切無関係のドメイン）

中継サイトURL（伏せ字）：hxxps://zh-m-9games-live[.]com/pd5R1PEbTD.co.jp.net（一部伏字）

中継ドメイン：zh-m-9games-live.com（「.co.jp.net」という偽装パスでANA公式に見せかける手口）

フィッシングサイトIP：101.32.98.168（Tencent Cloud）

中継サイトIP：43.167.216.27（Tencent Cloud）

ロケーション：中国本土またはHong Kong（Tencent Cloud拠点）
Googleマップ：【位置情報を確認する（参考・香港付近）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【パスによる偽装手口】：
中継URLのパス部分が /pd5R1PEbTD.co.jp.net となっており、一見すると日本の公式ドメイン（.co.jp）のように見えます。しかし実際のドメインは zh-m-9games-live.com であり、「.co.jp」はパス（URLの一部）として付け加えられた偽装文字列にすぎません。URLの見方に不慣れな方を騙す狡猾な手口です。

【セキュリティソフトによるブロック状況】：

• ウイルスバスター クラウド：中継サイト（zh-m-9games-live.com）をフィッシングとして検出・ブロック済み

▲ ウイルスバスター クラウドが中継サイトを「フィッシング」として検出・ブロック

■ 注意点と対処法

1. リンクをクリックしない：「ボーナスマイルを獲得」ボタンは偽物です。絶対にクリックしないでください。
2. ANAの正規ドメインを確認する：ANAからの正規メールは @ana.co.jp や @mileage.ana.co.jp 等から届きます。それ以外は偽物と判断してください。
3. 日本語の不自然さで判断する：「恥兵　ANAカスタマゼーセンター」「会員のひとわたまのご感謝」のような機械翻訳丸出しの不自然な文章は詐欺の証拠です。
4. 公式アプリ・ブックマークからアクセスする：マイル残高の確認は、必ずANA公式アプリまたは以前ご自身で登録したブックマークからアクセスしてください。
5. 入力してしまった場合：ANA お客様サービスセンター（0570-029-709）に速やかにご連絡ください。
6. 公式注意喚起の参照：ANAグループを装った詐欺メール・詐欺電話等にご注意ください（公式）

■ 関連記事

当ブログでは過去にもANAを騙る詐欺メールを取り上げています。あわせてご覧ください。

ANA 関連記事一覧

本レポートの結論

「6,605マイルをプレゼント」という甘い言葉でANAマイレージ会員を狙うフィッシングメールが確認されました。今回の手口の最大の特徴は、メール本文の日本語を全文字HTMLの数値コードに置き換えて迷惑メールフィルターをかわす「ワードサラダ」偽装です。さらに送信元とフィッシングサイトが「zh-」という共通の命名規則を持ち、同一の攻撃グループによる組織的犯行と見られます。機械翻訳丸出しの不自然な日本語という致命的なボロが出ているものの、SPF・DKIM認証を2重にクリアしており、セキュリティフィルターには本物として扱われます。マイルに関するメールが届いたら、メール内のリンクは絶対にクリックせず、必ず公式アプリから確認する習慣をつけてください。身近な方にも一言伝えてあげてください。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

件名：【三井住友カード】セキュリティシステム更新に伴う再認証の手続き

三井住友カード　SMBC Card

【重要】セキュリティ認証 再確認のお願い

平素より三井住友カードをご利用いただき、誠にありがとうございます。

お客様のカードにご登録いただいております「セキュリティ認証（本人認証サービス）」の有効期限が
切れているか、または再登録が必要な状態となっております。
セキュリティ強化のため、再認証手続きを弊社システムにてご依頼しております。

※再認証が完了しない場合、一部のインターネット決済（オンラインショッピング等）がご利用いた
だけなくなる可能性がございます。

─────────────────────────────
要対応期限　　2026-06-13（当日中）
対応内容　　　セキュリティ認証（本人認証サービス）の再登録・ワンタイム認証手続き
対象カード　　三井住友カード 全般（Visa / Mastercard / JCB）
─────────────────────────────

ご対応手順（至急お願いいたします）

1. 下記「認証ページ」ボタンより三井住友カード公式サイトへアクセス
2. 会員メニューにログイン後、「セキュリティ設定」を選択
3. 画面の案内に従い、再認証（ワンタイム認証）を完了

誠にお手数をおかけしますが、期限内に手続きを完了いただけますようお願い申し上げます。

　　　　　　【セキュリティ認証ページ】←（※フィッシングリンク・クリック禁止）

────────────────────────────────────
重要なご案内 / カスタマーサポート
────────────────────────────────────
三井住友カード カスタマーサポート
お問い合わせ窓口：0120-324-310（日本国内通話無料）
※上記番号をご利用いただけない場合：03-5539-2745
受付時間：平日 9:00〜17:00（土日祝日を除く）
カード紛失・盗難専用窓口（24時間）：0120-956-999

本メールはセキュリティ認証の期限が近いお客様に送信しております。三井住友カード株式会社からの重要な
お知らせです。
〒100-0005 東京都千代田区丸の内一丁目1番2号
© 2026 三井住友カード株式会社 / SMBC Card　|　プライバシー規約

ここが怪しい！スタッフが気づいた偽物のサイン

• 送信元アドレスが noreply@a8s9d0f1.china-leqiuzhibo.com——「china-」の文字が入った明らかに三井住友カードとは無関係のドメイン
• 要対応期限が「当日中」——時間的プレッシャーで冷静な判断を奪う常套手段
• 「セキュリティ認証の有効期限が切れている」という根拠のない理由——実際にそのような通知を三井住友カードが送ることはありません
• Visa・Mastercard・JCBすべての保有者に無差別送信している（対象を絞れないため全ブランドを列挙）

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from a8s9d0f1.china-leqiuzhibo.com (unknown [161.33.203.191])

【偽装判定】：
三井住友カードの正規メールは @smbc-card.com または @smbc.co.jp ドメインから送信されます。本メールの送信ドメイン a8s9d0f1.china-leqiuzhibo.com はサブドメイン名に「china-（中国）」の文字を含む、三井住友カードとは一切無関係の第三者ドメインです。にもかかわらず、SPF認証（送信元が本物かどうかを確認する仕組み）とDKIM署名（メールが改ざんされていないか確認する仕組み）の両方をPassするよう事前に細工されており、多くのメールセキュリティフィルターをすり抜けます。これは攻撃者が専用のドメインと送信サーバーを用意してフィルター回避に多大な手間をかけている証拠であり、犯行の計画性の高さを示しています。

送信サーバーIPアドレス：195.54.171.126

インフラ：Contabo GmbH（ドイツ系格安VPS事業者。匿名性が高く犯罪者に悪用されやすい）

発信元ロケーション：香港近傍（195.54.171.x 帯のトレースルートによる推定）
Googleマップ：【位置情報を確認する（参考）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

List-Unsubscribeヘッダー（配信停止リンク）の悪用：
メールヘッダーに https://li.amartapura.com/unsubscribe?email=... という配信停止URLが記載されていますが、amartapura.com はDNS（インターネット上の住所録）が存在しない失効ドメインです。正規のメールマガジン配信を装うための偽装工作と判断されます。

■ クローキング（アクセスした端末の種類によって表示内容を変える偽装手法）の実態

フィッシングサイトへのアクセス時、まず「安全な接続を確認しています。ブラウザのセキュリティを確認中です。」という画面が表示されます。これはセキュリティbot（自動検査プログラム）かどうかを見極めるための「関門」です。クリックやタップなどの人間らしい操作を確認したうえで偽ログイン画面を表示する仕組みになっており、自動検査をすり抜けるための巧妙な工夫です。

▲ アクセス直後に表示される「安全な接続を確認しています」画面。bot（自動プログラム）を篩にかける関門

この関門を突破すると、本物そっくりのVpass（三井住友カードの会員サービス）ログイン画面が表示されます。IDとパスワードを入力した瞬間、情報は攻撃者のサーバーへ送信されます。

▲ クローキングを突破した先に現れる偽Vpassログイン画面。本物と見分けがつかない精巧な作り

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://yxtdcj[.]com/ZXlTkIQZ/?ts=1781479516&sig=2cba39…（一部伏字）

リンクドメイン：yxtdcj.com（三井住友カード・SMBCとは一切無関係の意味不明な文字列ドメイン）

ドメイン登録日：whois.domaintools.com で確認

サイトサーバーIP：198.46.210.172

インフラ：ColoCrossing（米国のデータセンター事業者）

ロケーション：米国（ColoCrossing拠点）
Googleマップ：【位置情報を確認する（参考・Buffalo NY付近）】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【セキュリティソフトによるブロック状況】：

• ウイルスバスター クラウド：フィッシングとして検出・ブロック済み
• Google セーフブラウジング（Chrome）：「危険なサイト」として警告表示
• Cloudflare：「Suspected Phishing（フィッシングの疑い）」として警告表示

▲ ウイルスバスター クラウドが「フィッシング」として検出・ブロック

▲ Google Chromeでも「危険なサイト」として赤い警告画面が表示される

■ 注意点と対処法

1. リンクをクリックしない：メール内の「セキュリティ認証ページ」ボタンは偽物です。絶対にクリックしないでください。
2. 送信元アドレスを確認する：三井住友カードの正規メールは @smbc-card.com または @smbc.co.jp から届きます。それ以外のドメインからのメールは偽物です。
3. 公式アプリ・ブックマークからアクセスする：Vpassへのログインは、必ずスマートフォンの公式Vpassアプリか、以前ご自身で登録したブックマークからアクセスしてください。
4. 情報を入力してしまった場合：三井住友カードのカード紛失・盗難専用窓口（24時間）0120-956-999へ速やかにご連絡ください。カードの利用停止手続きを取ることが最優先です。
5. 公式注意喚起の参照：三井住友カード フィッシング詐欺にご注意（公式）

■ 関連記事

当ブログでは過去にも三井住友カードを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

三井住友 関連記事一覧

本レポートの結論

「当日中に再認証しないとショッピングが使えなくなる」という焦りを煽る三井住友カード偽メールが大量出回りしています。送信元には堂々と「china-（中国）」が入るドメインが使われているにもかかわらず、SPF・DKIMという2種類のメール認証を両方クリアするよう巧妙に偽装。さらにフィッシングサイトではクローキングでセキュリティ検査をかわし、本物そっくりの偽Vpassログイン画面でIDとパスワードを盗み取ろうとします。この手口はかなり手間をかけた計画的な犯行です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

■ メールヘッダー解析（送信者情報）

件名：＜JACCS＞2026年06月度お支払い金額確定のご案内

送信者名：“株式会社ジャックス”（表示名だけジャックスを名乗っている）

送信元アドレス：no-reply-S2gV@outlook.com（Microsoftのフリーメール！）

X-Mailer（送信に使用したメールソフト）：iPhone Mail (21G81)（iPhoneのメールアプリから送信！）

送信元クライアントIPアドレス：2.59.152.36（ヨーロッパ系IPレンジ）

中継サーバー：sp38617-mie877.mie.zaq.ne.jp（三重県のプロバイダ）

SPF認証（送信元が本物かどうかを確認する仕組み）：Fail（outlook.comは2.59.152.36からの送信を明示的に否認）

DKIM署名（メールが改ざんされていないことを確認する仕組み）：なし

受信日時：2026年6月13日（土）18:41:55 JST

このメールはジャックスカードを装った真っ赤な偽物です。本文デザインは本物そっくりですが、送信元はOutlookのフリーアカウントという致命的な証拠があります。ジャックスカードをお持ちのご家族にぜひ共有してください。

LINEで家族に共有する

※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

【JACCS】6月25日のお支払い金額

ジャックスインターコムクラブをご利用いただき、誠にありがとうございます。
今月の以下のカードについてお支払い金額が確定いたしました。

ジャックスカード VISA
98,597円

Webで明細を確認【←詐欺リンク・クリック禁止】

ポイントについて
今回のJACCSポイント   27ポイント

最新の保有ポイントは、上記「Webで明細を確認」よりご確認ください。
ポイント獲得の対象の方には、カードのご利用金額に対する獲得ポイントを表示しています。

※キャンペーン、サービス利用による獲得ポイント（ポイント上乗せ分）は含まれません。
※ポイント獲得の条件に満たない場合、獲得ポイントは表示されません。

アプリ・LINEでもお支払い金額を確認できます

JACCSアプリ
アプリを開くだけ！金額確定通知の機能も！
iPhone用    Android用

JACCS LINEミニアプリ
いつものLINEで簡単アクセス
友だち追加

※Apple、App Store、iPhoneは、Apple Inc.の商標です。
※Android、Google PlayはGoogle LLCの商標です。

発行者
株式会社ジャックス
大阪市中央区今橋4丁目5-15
登録番号　近畿財務局長第00209号

※本メールは送信専用です。
※本メールに関する一切の記事の無断転載および再配布を禁じます。

お問い合わせ先 | ハンドルネーム設定

Copyright(C) JACCS Co.,Ltd. All Rights Reserved.

① 送信元がMicrosoftのフリーメール「outlook.com」——企業がフリーメールで公式通知は送らない

本物のジャックスからのメールは @jaccs.co.jp ドメインから届きます。今回の送信元は no-reply-S2gV@outlook.com ——誰でも無料で作れるMicrosoftのフリーメールアカウントです。大手クレジットカード会社が、請求金額という重要な情報をフリーメールで通知することは絶対にありません。これだけで偽物確定です。

② X-Mailer が「iPhone Mail」——iPhoneのメールアプリで送られた企業の自動配信メール？

メールのヘッダーに記録された送信ソフト（X-Mailer）の情報が「iPhone Mail (21G81)」となっています。これは個人のiPhoneのメールアプリから送られた証拠です。ジャックスのような大企業が、毎月数十万件の支払い確認メールを個人のiPhoneで送るなどあり得ません。攻撃者が自分のスマートフォンから手動送信（または自動送信スクリプト）で配信していたとみられます。

③ フィッシングドメインが「paypiy.com」——PayPayと混同させる巧妙な命名

誘導先URLのドメインは jaccs-ccony.paypiy.com です。「paypiy」という文字列は、日本最大級の決済サービス「PayPay（paypay）」と非常に似ています。URLをさっと見たとき「paypay」と誤認させることを狙った命名です。実際のJACCSのドメインは jaccs.co.jp であり、「paypiy.com」とは一切関係がありません。

④ 白背景＋水色フッターは詐欺メールの「典型テンプレ」

今回のメールのデザインは、白い背景に本文を配置し、末尾数行だけ水色の背景にする構成です。これは多くのクレジットカード偽メールで使い回されている典型的なテンプレートです。「本物そっくりのデザイン」に見えますが、実際は複数ブランドの公式メールを模倣するために汎用的に作られた偽装テンプレートです。デザインが本物らしいからといって安心しないことが重要です。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（メールがどのサーバーを経由して届いたかの記録）：
Received: from sp38617-mie877.mie.zaq.ne.jp (unknown [2.59.152.36])
→ dmail03.kagoya.net → 受信者側サーバー（非公表）

SPF認証（送信元が本物かどうかを確認する仕組み）：
Fail — identity=mailfrom; client-ip=2.59.152.36; helo=sp38617-mie877.mie.zaq.ne.jp; envelope-from=no-reply-s2gv@outlook.com
outlook.comのSPFレコードが「2.59.152.36からの送信は許可しない」と明示しており、認証に失敗しています。本物のMicrosoftのサーバーを経由していないことが証明されています。

【偽装判定】：
ジャックスの公式メールは @jaccs.co.jp から送信されます。今回の no-reply-S2gV@outlook.com はジャックスと一切関係がありません。SPF Failにより、Microsoft自身もこのメールの正規性を否認しています。

発信元ロケーション解析：
クライアントIP：2.59.152.36（ヨーロッパ系IPレンジ）
中継：sp38617-mie877.mie.zaq.ne.jp（三重県のプロバイダ）
Googleマップ：【三重県付近の位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字・クリック禁止）：
hxxps://jaccs-ccony[.]paypiy[.]com/uFvazNrl/

フィッシングドメイン：jaccs-ccony.paypiy.com（paypiy.com のサブドメイン）

フィッシングサイトのIPアドレス：195.86.16.135

逆引きホスト名：195-86-16-135.easynet.nl（オランダのホスティング事業者）

ロケーション：オランダ（推定：52.3676, 4.9041）
Googleマップ：【Googleマップで表示】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【ウイルスバスターによる検出】：
アクセスを試みたところ、ウイルスバスタークラウドが即座に警告画面を表示しました。

▲ ウイルスバスタークラウドが「このWebサイトは、安全ではない可能性があります」と警告。脅威の種類：フィッシング、URLはjaccs-ccony.paypiy.comと明記されている

【フィッシングサイトの内容】：
ウイルスバスターのブロックを回避した場合、JACCSインターコムクラブのログイン画面そっくりの偽サイトが表示されます。

▲ JACCSインターコムクラブの公式ログイン画面を完全コピーした偽サイト。ユーザーIDとログインパスワードを入力させてアカウント情報を盗む

「INTERCOM CLUB MEMBERSHIP」のロゴ・JACCS公式ロゴ・緑のデザインと、本物のJACCSインターコムクラブのログイン画面を精巧にコピーした偽サイトです。ここでユーザーIDとパスワードを入力すると、攻撃者にアカウント情報が送られ、不正ログインによるカードの不正利用につながります。

■ 注意点と対処法

1. 送信元アドレスを必ず確認する：本物のJACCSからのメールは @jaccs.co.jp ドメインから届きます。@outlook.com などフリーメールアドレスからの「JACCS」メールは全て偽物です。
2. メール内のリンクはクリックしない：「Webで明細を確認」というリンクの先はJACCSアカウントのID・パスワードを盗む偽ログイン画面です。JACCSへのログインは公式アプリかブックマークした www.jaccs.co.jp から直接アクセスしてください。
3. 「paypiy」「jaccs-ccony」など不審なドメインに注意：URLに「jaccs」という文字が含まれていても、ドメインが jaccs.co.jp 以外であれば偽サイトです。特に「paypiy」「paypay」を模したドメインは詐欺の可能性が高いです。
4. セキュリティソフトを常に最新の状態に保つ：今回はウイルスバスターがフィッシングサイトを即座にブロックしました。セキュリティソフトを導入・更新しておくことが被害防止の第一歩です。
5. JACCS公式の注意喚起を確認する：フィッシング詐欺メールにご注意ください（JACCS公式）

■ 関連記事

当ブログではJACCSを騙る詐欺メールをこれまでも多数取り上げています。手口は異なりますが、狙いはアカウント情報やカード情報の詐取という点で一貫しています。あわせてご覧ください。

JACCS関連詐欺メール記事一覧

本レポートの結論

今回の詐欺メールは、JACCSの公式支払い確認メールのデザインを精巧にコピーした本文でありながら、送信元はOutlookフリーアカウント・送信ツールはiPhoneのメールアプリという、企業の公式メールとしてあり得ない構成でした。「98,597円」という具体的な金額と「27ポイント」という細かい数字で本物らしさを演出していますが、これはランダムな数字を当てはめただけです。見破るポイントはシンプル——送信元が @jaccs.co.jp 以外なら即削除。ジャックスカードをお使いのご家族や友人に、この記事のURLを送って注意を促してあげてください。

■ メールヘッダー解析（送信者情報）

件名：お客様情報最新化のお願い

送信者名：“Visaカード”（表示名だけVisaカードを名乗っている）

送信元アドレス：support-apple9f3@net-friends.co.jp

送信元サーバー：r43888-okinawa373.okinawa.bbiq.jp（沖縄のプロバイダ経由）→ net-friends.co.jp（さくらインターネット）

送信元クライアントIPアドレス：193.239.154.100（ヨーロッパ系IPレンジ・詳細調査中）

SPF認証（送信元が本物かどうかを確認する仕組み）：Softfail（ドメイン所有者自身が「このホストからの送信は推奨しない」と宣言している状態）

DKIM署名（メールが改ざんされていないことを確認する仕組み）：なし

受信日時：2026年6月13日（土）20:52:29 JST

このメールはVISAカードを装った真っ赤な偽物です。フィッシングサイトは現在も稼働中で、クレジットカード情報が即座に盗まれる危険があります。クレジットカードをお持ちの家族・友人への注意喚起をお願いします。

LINEで家族に共有する

※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

一時的な利用制限のお知らせ

Visaカードサービス
一時的な利用制限のお知らせ
カードが一時停止されています
セキュリティ上の理由により、現在ご利用できません

お客様のVisaカードで通常と異なる動作が検出されました。
安全維持のため、カード利用を一時的に止め、確認手続きへのご協力をお願いしています。

確認された内容:
通常外の地域での決済試行
短時間での高額利用の連続
不審なオンライン購入の検出

■セキュリティ対策
万一の不正利用を防ぐため、異常な活動が見つかると自動で利用制限がかかる場合があります。
心当たりのない取引は速やかにカード会社までご連絡ください。

本人確認を行い利用再開する【←詐欺リンク・クリック禁止】

Visaカードから直接確認手続きを求めるメールは送信しません
本人確認手続きは必ず上記公式サイトから行ってください
不審なリンクや電話での情報入力を求められることはありません

このメールについて
このメールはVisaカードをご利用のお客様にお送りしています。
配信停止はこちらから行えます。
お問い合わせはお問い合わせフォームからご連絡ください。
※本メールにご返信頂いてもお答えできませんのでご了承ください。

【発行元】Visaカードセキュリティセンター
Visaカスタマーサポート

① 送信元アドレスに「apple」が入っている——VisaでもなくAppleでもない謎のアドレス

送信元は support-apple9f3@net-friends.co.jp です。「Visaカード」を名乗りながら、アドレスには「apple」という文字が含まれています。AppleでもVisaでもない「net-friends.co.jp」というドメインから届いた時点で偽物確定です。本物のVisaカードに関するメールは、各カード発行会社（三井住友カード・三菱UFJニコス等）の公式ドメインから届きます。

② 本文に「Visaカードから直接確認手続きを求めるメールは送信しません」と自分で書いている

メール本文の中に「Visaカードから直接確認手続きを求めるメールは送信しません」という一文があります。これはVISA公式の注意喚起文をコピーして貼り付けたものですが、結果として「このメールは偽物です」と自分で宣言しているという、前代未聞の自爆です。攻撃者が本物らしく見せようとしてVISAの公式文言を丸ごとコピーした結果、完全に矛盾した内容になっています。

③ SPF Softfail——ドメイン所有者自身が「このメールは信頼しないで」と言っている

SPF認証（送信元が本物かどうかを確認する仕組み）の結果は「Softfail」でした。これはドメインの所有者自身が「このサーバーからのメール送信は推奨しない」とあらかじめ宣言している状態です。つまりドメイン所有者の意図に反して無断でメールを送り付けている、いわば「ドメインの不法占拠」です。

④ フィッシングサイトがVISA・Master・AMEX・Diners・JCBの全ブランド対応

誘導先の偽サイトに表示されるカード情報入力フォームには、VISA・マスターカード・AMEX・Diners・JCBのロゴがすべて並んでいます。「Visaカードのサービス」を名乗りながら、実際にはどのブランドのカード情報でも盗み取る設計になっています。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（メールがどのサーバーを経由して届いたかの記録）：
Received: from r43888-okinawa373.okinawa.bbiq.jp (unknown [193.239.154.100])
→ dmail02.kagoya.net → 受信者側サーバー（非公表）

SPF認証： Softfail
Received-SPF: Softfail (domain owner discourages use of this host) identity=mailfrom; client-ip=193.239.154.100; helo=r43888-okinawa373.okinawa.bbiq.jp
ドメイン「net-friends.co.jp」の所有者が「このIPアドレスからの送信は推奨しない」と設定しているにもかかわらず、攻撃者が強引に利用して送信しています。

【偽装判定】：
本物のVisaカードに関する通知は、三井住友カードなら @smbc-card.com、三菱UFJニコスなら @cr.mufg.jp といった各カード発行会社の公式ドメインから届きます。「net-friends.co.jp」はVisaカードとは一切関係のないドメインです。

発信元ロケーション解析：
クライアントIP：193.239.154.100（ヨーロッパ系IPレンジ・詳細調査中）
中継サーバー：r43888-okinawa373.okinawa.bbiq.jp（沖縄県のプロバイダ）
送信元サーバーIP：182.48.12.192（さくらインターネット・日本）
Googleマップ：【沖縄県付近の位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

国内のさくらインターネットサーバーを踏み台（不正に経由するサーバー）として利用することで、海外サーバー発のメールを弾くフィルターをすり抜ける狙いがあると考えられます。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字・クリック禁止）：
hxxps://iumoata[.]info/UdDkDx

フィッシングドメイン：iumoata.info

フィッシングサイトのIPアドレス：104.21.27.98（Cloudflare CDN・稼働中）

インフラ：Cloudflare CDN（世界中にサーバーを分散配置するインターネットインフラ企業）を経由しており、実際のサーバーの所在地を特定することが困難な構成です。

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【第1段階】Cloudflare ボット確認画面

▲ アクセスすると最初にCloudflareの「接続を確認しています」画面が表示される。自動収集ロボットを弾き、人間だけを通過させるための仕掛け

「接続を確認しています——下の認証を完了してください」という画面が表示されます。Cloudflareの正規機能を悪用することで、セキュリティ調査ツールや自動スキャンをかわし、人間の被害者だけを先の偽サイトへ誘導する仕掛けです。

【第2段階】VISA公式そっくりの偽サイト

▲ VISAのロゴと青いデザインを使った偽サイト。「カードセキュリティアップグレードのお知らせ」として携帯番号の本人確認を求める

VISAの公式サイトと酷似した青系のデザインで「カードセキュリティアップグレードのお知らせ——お客様のVISAカードに登録された携帯番号の本人確認が必要です。本日中に認証を完了してください」と表示されます。「確認手続きを進める」ボタンをクリックすると、第3段階の情報収集フォームへ移行します。

【第3段階】カード情報を根こそぎ盗む入力フォーム

▲ 「保護の強化」と称してカード名義人・電話番号・メールアドレス・カード番号・有効期限・セキュリティコードを一括収集するフォーム。VISA/Master/AMEX/Diners/JCB全ブランドのロゴが並ぶ

「保護の強化——プロセスを完了するために、あなたの情報を確認してください」として以下の情報を要求します。

• カード名義人（氏名）
• 電話番号
• メールアドレス
• カード番号（16桁）
• カード有効期限（MM/YY）
• セキュリティコード（CVV・3〜4桁）

これらの情報があれば、ネットショッピングでカードを不正利用し放題です。フォームにはVISA・マスターカード・AMEX・Diners・JCB全ブランドのロゴが表示されており、どのカードでも情報を収集できる設計になっています。

■ 注意点と対処法

1. メール内のリンクは絶対にクリックしない：「本人確認を行い利用再開する」というリンクの先はカード情報を盗む偽サイトです。フィッシングサイトは現在も稼働中のため特に注意が必要です。
2. 送信元アドレスを確認する：VISAカードのサービスに関するメールは、各カード発行会社の公式ドメインから届きます。「net-friends.co.jp」はVISAと無関係のドメインです。
3. カードの利用状況は公式アプリで確認する：カードの一時停止や不正利用の心配がある場合は、メールのリンクからではなく、カード会社の公式アプリまたはブックマークした公式サイトから直接確認してください。
4. すでに情報を入力してしまった場合：すぐにカード会社の裏面記載の電話番号に連絡してカードを利用停止にしてください。時間が経つほど被害が広がります。
5. VISA公式の注意喚起を確認する：Visaのセキュリティ（Visa公式サイト）

■ 関連記事

当ブログではVISAカードを騙る詐欺メールを多数取り上げています。手口はさまざまですが、狙いはいつも同じ——カード情報の詐取です。あわせてご覧ください。

Visaカード関連詐欺メール記事一覧

本レポートの結論

今回の詐欺メールは、国内のさくらインターネットサーバーを踏み台に使いSPF Softfailで到着しました。フィッシングサイトはCloudflare CDNで稼働中という、調査時点では「現在進行形の脅威」です。特筆すべきは本文に「Visaカードから直接確認手続きを求めるメールは送信しません」と自ら書いてしまっている点——本物のVISA注意喚起文をコピーしすぎた結果の自爆です。偽物を見分けるには送信元アドレスの確認が最も確実です。「Visa」の名前が表示されていても、アドレスが公式ドメイン以外であれば即削除。クレジットカードをお持ちのご家族に、この記事を「こんな詐欺が来てる！」とLINEで送って注意を促してあげてください。

■ メールヘッダー解析（送信者情報）

件名：【えきねっと】本人確認情報の確認・補完のお願い（システム点検に伴うお知らせ）

送信者名：“JR東日本”（表示名だけJR東日本を名乗っている）

送信元アドレス：noreply@g5h7j9k1.china-9game.com

送信元ドメインのIPアドレス：161.33.181.103（国内IP・詳細不明）

SPF認証（送信元が本物かどうかを確認する仕組み）：Pass（独自ドメインで認証を通過）

DKIM署名（メールが途中で改ざんされていないことを確認する仕組み）：あり（d=g5h7j9k1.china-9game.com; s=s1）

受信日時：2026年6月13日（土）12:46:40 JST

このメールはえきねっと・JR東日本の公式サービスを装った真っ赤な偽物です。新幹線や特急を頻繁に利用する方はもちろん、えきねっとに登録しているご家族にも、ぜひこの解析結果を共有してください。

LINEで家族に共有する

※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

【会員情報管理】本人確認情報の確認・更新について

平素はえきねっとサービスをご利用いただき、誠にありがとうございます。

当社では会員様の情報セキュリティを万全に保つため、定期的にシステムの点検・強化を実施しております。
2026-06-13 12:46:40頃のシステム点検において、一部の会員様のアカウント認証情報に不備が確認されました。

┌─────────────────────────────┐
アカウントの正常なご利用を確保するため、会員情報の確認・補完をお願いいたします。
期日までに手続きを完了されない場合、えきねっとの一部サービス利用が制限される場合がございます。
└─────────────────────────────┘

■情報確認・補完の手続き方法

1. 以下のボタンよりえきねっと公式サイトにアクセスしてください

  【えきねっと公式サイトへ】←詐欺リンク・クリック禁止

3. トップページより「会員ログイン」を実施してください
4. 「マイページ」→「会員情報管理」より本人確認情報の確認・補完を行ってください
5. 情報に変更がある場合は最新の内容に修正し、「保存」をクリックしてください

手続き期限：2026-06-13（当日中）

なお、今回のシステム点検に伴う情報不備は、外部からの不正アクセスによるものではございません。
会員様の個人情報漏洩のリスクは極めて低い状況であるため、ご安心ください。

※本メールは配信専用アドレスより送信しております。返信いただいても対応できませんのでご了承ください。
※えきねっとの最新情報は公式サイトにて随時掲載しております。

えきねっと 運営：ジェイアール東日本旅客鉄道株式会社
本社：東京都千代田区丸の内1丁目5番2号
コールセンター：0570-000-888（平日 7:00〜23:00、休日 8:00〜22:00）

Copyright (c) 2026 East Japan Railway Company. All Rights Reserved.
許可なく転載することを禁じます。

① 送信元ドメインが「china-9game.com」——ゲームサイトがえきねっとの通知を送るわけがない

本物のえきねっとからのメールは @eki-net.com ドメインから届きます。今回の送信元は noreply@g5h7j9k1.china-9game.com ——「china-9game（中国のゲーム）」という名前のドメインです。JR東日本のチケット予約サービスが、見知らぬゲーム関連ドメインからメールを送ってくることは絶対にありません。差出人の名前が「JR東日本」と表示されていても、実際のアドレスを必ず確認してください。

② 「2026-06-13 12:46:40頃のシステム点検」——具体的な日時で信憑性を演出

本文に受信日時とほぼ同じ日時が「システム点検の時刻」として記載されています。これは受信者に「本当に自分のアカウントで何かが起きた」と思い込ませるための巧妙な演出です。実際には、このような具体的な時刻の記載は自動的に差し込まれた数字に過ぎず、何の根拠もありません。

③ 「手続き期限：当日中」——焦らせてクリックさせる典型手口

「当日中に手続きしないとサービスが制限される」という言葉で受信者を焦らせています。正規のサービスが「今日中に手続きしないと使えなくなる」などと急かす形で通知メールを送ることはほとんどありません。焦りを感じたら、むしろ一呼吸おいて公式サイトに直接アクセスして確認しましょう。

④ 手順番号が「1→3→4→5」——2番が抜けている

メール本文の手順を見ると「1→3→4→5」と番号が並んでおり、「2」が抜けています。あわてて大量送信した詐欺メール特有のミスです。本物の企業が公式通知で手順番号を飛ばすことはまずありません。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（メールがどのサーバーを経由して届いたかの記録）：
Received: from g5h7j9k1.china-9game.com (unknown [161.33.181.103])

SPF認証（送信元が本物かどうかを確認する仕組み）：
Pass — mailfrom: g5h7j9k1.china-9game.com; client-ip=161.33.181.103
攻撃者が「china-9game.com」という独自ドメインに対してSPF設定を行い、認証を通過させています。SPF認証がPassしていても、それは「china-9game.comとして正規に送られた」という意味であり、「えきねっとやJR東日本として本物」という意味では一切ありません。

DKIM署名（メールが途中で改ざんされていないことを確認する仕組み）：
あり（d=g5h7j9k1.china-9game.com; s=s1）
こちらも同様に、あくまで「china-9game.comドメインとして正規に署名されている」という意味です。

【偽装判定】：
本物のえきねっとからのメールは @eki-net.com から送信されます。今回の送信ドメイン「china-9game.com」はえきねっと・JR東日本の公式サーバーとは一切関係がありません。えきねっとを名乗るメールが「ゲームサイトのドメイン」から届いた時点で、詐欺メールと断定できます。

発信元ロケーション解析：
IPアドレス：161.33.181.103
ロケーション：日本国内（詳細プロバイダ情報は調査中）
Googleマップ：【推定エリアを確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

日本国内のIPアドレスからの送信は、海外サーバー発のメールを弾くフィルターを回避する目的と考えられます。国内から発信されているからといって安全とは言えません。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字・クリック禁止）：
hxxps://aaccsadcac4[.]ch-vip-yuyan[.]com/

フィッシングドメイン：aaccsadcac4.ch-vip-yuyan.com

フィッシングサイトのIPアドレス：[IP取得不可：DNS失効の可能性]

【Googleセーフブラウジングによる警告】：
アクセスを試みたところ、ChromeブラウザのGoogleセーフブラウジング機能（ブラウザに組み込まれた詐欺サイト自動検出の仕組み）が即座に真っ赤な警告画面を表示しました。「危険なサイト——攻撃者がユーザーを騙してソフトウェアをインストールさせたり、パスワード・電話番号・クレジットカード番号などを開示させたりする可能性があります」という内容で、フィッシングサイトとして認定されています。

▲ フィッシングサイトへのアクセスを試みると、Chromeが即座に赤い警告画面を表示。「最近フィッシングが検出されました」と明記されている

【サイトの状態】：Googleセーフブラウジングによりフィッシングサイトとして検出済み。また調査時点ではDNS（インターネット上の住所情報）も失効しており、ブラウザに「このサイトにアクセスできません。aaccsadcac4.ch-vip-yuyan.com にタイプミスがないか確認してください」というエラーも表示されます。

▲ DNS失効によるアクセス不能エラー。フィッシングサイトはすでに閉鎖されているとみられる

■ 注意点と対処法

1. メール内のリンクは絶対にクリックしない：「えきねっと公式サイトへ」というボタンのリンク先は、えきねっとのログインIDやパスワード、クレジットカード情報を盗む偽サイトです。
2. 送信元アドレスを必ず確認する：本物のえきねっとからのメールは @eki-net.com ドメインから届きます。それ以外のドメインであれば偽物です。特に「JR東日本」と表示されていても、アドレス欄を開いて確認してください。
3. 公式サイトへは直接アクセスする：えきねっとへのログインは、メールのリンクからではなく、ブックマークまたはブラウザで「eki-net.com」と直接入力してアクセスしてください。
4. えきねっとは「システム点検を口実にした本人確認メール」を送らない：公式が明言している通り、えきねっとは2022年3月以降「自動退会の事前通知メール」を送っていません。また「システム点検で認証情報に不備が確認された」という内容のメールも公式では送信しません。
5. えきねっと公式セキュリティページを確認する：えきねっとをかたる偽メール・偽サイトにご注意ください（えきねっと公式）

■ 関連記事

当ブログでは過去にもえきねっとを騙る詐欺メールを多数取り上げています。手口は変わっても狙いは同じです。あわせてご覧ください。

えきねっと関連詐欺メール記事一覧

本レポートの結論

今回の詐欺メールは、ゲームサイトのドメイン「china-9game.com」を踏み台にしてSPF認証とDKIM署名の両方をPassさせ、さらに受信日時とほぼ同じ時刻を「システム点検の時刻」として本文に埋め込む、巧妙な偽装が施されていました。さらに手順番号の「2」が抜けているという初歩的なミスが偽物の証拠として残っており、詐欺師も急いで量産していることがわかります。えきねっとをご利用の方はもちろん、新幹線・特急をよく使うご家族にも、この記事のURLを「こんな詐欺メールが来てるって！」と送って注意を促してあげてください。

■ メールヘッダー解析（送信者情報）

件名：ニンテンドーアカウント認証方法変更のお知らせと期限設定について

送信者名：“任天堂からのお知らせ”（表示名だけ任天堂を名乗っている）

送信元アドレス：pbzocys@info03.uupyd.com

送信元ドメインのIPアドレス：138.2.17.179（Oracle Cloud Infrastructure・東京リージョン）

SPF認証（送信元確認）：Pass（独自ドメインで認証を通過）

DKIM署名（改ざん防止）：あり（d=info03.uupyd.com）

受信日時：2026年6月13日（土）02:38 JST

このメールは任天堂の公式サイトを装った真っ赤な偽物です。Nintendo Switch Onlineのユーザーに広く拡散されています。家族や友人のLINEグループでこの解析結果を共有し、被害を未然に防いでください。

LINEで家族に共有する

※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

---

Nintendo Switch Online
公式サービスからのお知らせ
アカウント確認のお願い

平素よりNintendo Switch Onlineをご利用いただき、誠にありがとうございます。
このたび、セキュリティ強化の一環として、一部のお客様のアカウント情報のご確認をお願いしております。

 ご連絡の理由
システム上の定期チェックにより、登録情報の更新が必要なアカウントとして検出されました。お手数をおかけしますが、以下のいずれかの状況が該当する可能性がございます。

  • ご登録いただいているお支払い情報の更新時期が近づいている
  • お支払い方法における認証の再確認が必要な状態
  • 最新のご利用規約またはプライバシーポリシー改定に伴う確認

※該当しない場合でも、定期的な確認としてアカウント保護のためにご協力をお願いしております。

 ご対応目安：ご確認いただくまでサービスは通常通りご利用いただけますが、
お早めのご確認をおすすめいたします。（推奨期限: 2026年6月13日まで）

 Nintendo Switch Onlineの継続特典
アカウントを引き続きご利用いただくことで、以下のメリットを変わらずお楽しみいただけます。

 オンラインプレイ・クラウドセーブデータ
 ファミコン＆スーパーファミコン タイトル
 限定アイテム・キャンペーン情報

アカウント情報を確認・更新【←詐欺リンク・クリック禁止】
このリンクは24時間有効です

 安心してご対応いただくために
- これまでのプレイデータやセーブデータはすべて維持されます。
- ご登録情報の更新後、すぐにオンラインサービスをご利用いただけます。
- 万が一、今回のご連絡に心当たりがない場合は、以下のサポート窓口までご連絡ください。

   サポートセンター（無料）：0570-011-120
   公式ヘルプページ: support.nintendo.co.jp

本メールは配信専用です。ご返信いただいてもお答えできません。
© 2026 Nintendo Co., Ltd. All Rights Reserved.
このメールは、Nintendo Switch Online のご利用者様にお送りしています。
もし配信を希望されない場合でも、アカウント確認の重要なご連絡のためご了承くださいませ。

① 送信元アドレスが「任天堂」と無関係

本物の任天堂からのメールは @nintendo.co.jp や @accounts.nintendo.com などのドメインから届きます。今回のメールの送信元は pbzocys@info03.uupyd.com という任天堂とまったく関係のないドメインです。「任天堂からのお知らせ」という名前が表示されていても、実際の送信元アドレスを確認することが重要です。

② 「期限：6月13日まで」で焦らせる典型手口

「推奨期限: 2026年6月13日まで」「このリンクは24時間有効です」という言葉で受信者を急かしています。冷静に考える時間を奪い、確認せずにリンクをクリックさせることが目的です。本物のサービスが「今日中に手続きしないと使えなくなる」などと脅す形でメールを送ることはほとんどありません。

③ 「配信を希望されない場合でもご了承くださいませ」は本物ではあり得ない

本文最後の一文「もし配信を希望されない場合でも、アカウント確認の重要なご連絡のためご了承くださいませ」という文言は、本物の企業メールでは絶対に使いません。日本の法律（特定電子メール法）では、受信者が配信拒否を申し出た場合は送信を停止する義務があります。この文章自体が詐欺メールの証拠です。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（メールがどのサーバーを経由して届いたかの記録）：
Received: from info03.uupyd.com (unknown [138.2.17.179])

SPF認証（送信元が本物かどうかを確認する仕組み）：
Pass — mailfrom: info03.uupyd.com; client-ip=138.2.17.179
独自ドメイン「uupyd.com」でSPF認証を通過させています。これは攻撃者が専用のドメインとサーバーを用意して送信しているためです。SPF認証がPassしていても、それは「uupyd.comとして本物」という意味であり、「任天堂として本物」という意味では一切ありません。

DKIM署名（メールが途中で改ざんされていないことを確認する仕組み）：
あり（d=info03.uupyd.com; s=info03）
こちらも同様に、あくまで「uupyd.comドメインとして正規に署名されている」という意味であり、任天堂の公式メールであることの証明にはなりません。

【偽装判定】：
本物の任天堂からのメールは @nintendo.co.jp や @accounts.nintendo.com から送信されます。今回の送信ドメイン「uupyd.com」は任天堂の公式サーバーとは一切関係がありません。名前だけ「任天堂からのお知らせ」と表示されていますが、実体は全くの別人です。

発信元インフラ解析：
IPアドレス：138.2.17.179
クラウドサービス：Oracle Cloud Infrastructure（OCI）東京リージョン（ap-tokyo-1）
推定座標：35.6762, 139.6503（東京都）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

Oracle Cloud（オラクル社が提供するクラウドサービス）の東京リージョンが踏み台として悪用されています。日本国内のクラウドサーバーを経由することで、海外サーバー発のメールを弾くフィルターを回避する狙いがあると考えられます。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字・クリック禁止）：
hxxps://nsajg[.]xyz/mIsnOJ/open.co.jp

※URLの末尾に「open.co.jp」という文字列が付いており、一見すると日本の正規サービスのように見せかけています。しかし実際のドメインは「nsajg.xyz」であり、日本とは無関係の使い捨てドメインです。

フィッシングドメイン：nsajg.xyz

フィッシングサイトのIPアドレス：[IP取得不可：DNS失効の可能性]

【サイトの状態】：調査時点でブラウザに「このサイトにアクセスできません。nsajg.xyz にタイプミスがないか確認してください。DNS_PROBE_FINISHED_NXDOMAIN」と表示され、すでにアクセス不能な状態です。ドメインのDNS（インターネット上の住所情報）が失効しており、フィッシングサイト自体はすでに閉鎖されているとみられます。

▲ 調査時点でフィッシングサイト（nsajg.xyz）はすでにアクセス不能。「DNS_PROBE_FINISHED_NXDOMAIN」エラーが表示される

■ 注意点と対処法

1. メール内のリンクは絶対にクリックしない：「アカウント情報を確認・更新」というリンクをクリックすると、ニンテンドーアカウントのID・パスワードや、クレジットカード情報を盗む偽サイトへ誘導されます。
2. 公式サイトは直接開く：ニンテンドーアカウントの確認は、メールのリンクからではなく、Nintendo Switch本体・公式アプリ、またはブラウザのブックマークから accounts.nintendo.com を直接開いて確認してください。
3. 送信元アドレスを必ず確認する：メールの差出人名が「任天堂からのお知らせ」と表示されていても、実際の送信元アドレスが @nintendo.co.jp や @accounts.nintendo.com 以外であれば偽物です。
4. 子どものアカウントにも注意：Nintendo Switch Onlineはファミリーで使っている方も多く、子どもが誤ってリンクをクリックする危険があります。家庭内でも周知してください。
5. 任天堂公式の注意喚起を確認：当社メールアドレスを装った不審なメールについて（任天堂サポート）

■ 関連記事

当ブログでは過去にも任天堂・ゲーム系サービスを騙る詐欺メールをはじめ、SPF認証をPassする高度な偽装手口を多数取り上げています。あわせてご覧ください。

任天堂 関連記事一覧

本レポートの結論

今回の詐欺メールは、Oracle Cloudという実在するクラウドサービスを踏み台にしてSPF認証とDKIM署名の両方をPassさせ、さらに「期限6月13日まで」という焦らせる言葉で冷静な判断を奪う、非常に巧妙な手口です。Nintendo Switch Onlineは子どもから大人まで幅広い年齢層が使うサービスだけに、被害が広がる危険があります。このメールを受け取ったら開封・クリックせず、即削除してください。そしてこの記事のURLを家族のLINEグループで『これ気をつけて！』と一言添えて共有してあげてください。あなたの一言が大切な人を守ります。

HEARTLAND-LAB SECURITY RESEARCH UNIT

週刊フィッシングレポート

2026年第24週（6月7日〜6月13日）

先週1週間に確認された詐欺メール・フィッシングメールの全記録

今週のまとめ

2026年6月7日（土）から6月13日（金）の1週間で、ハートランド・ラボが確認した詐欺メール・フィッシングメールは重複を除いて 546通（受信ボックス上の総数は864通）でした。先週のW23（1,211通）と比べると −665通（約−55%）の大幅減少 です。

今週最も目立ったのは、ロレックス・エルメス・ルイ・ヴィトン・オメガ・パテックフィリップといった高級ブランドの偽物セール詐欺メールが全体の約2割（推計115通）を占めたこと。また、週間集計の対象外となる日付不明メールが複数混入していた点も今週の特徴です。

W23（先週）から約55%減という数字だけ見ると「詐欺メールが減って良かった！」と思いたくなります。しかし、実態はそう単純ではありません。

W23が異常に多かった最大の原因は「JAL偽装メールの集中爆撃（132通）」でした。特定のブランドを狙ったキャンペーンが短期集中で行われると、件数が一気にふくらみます。それが終息すれば自然と数は減ります。つまり今週の減少は「詐欺師が反省した」のではなく、「JALキャンペーンが一区切りついた」だけというのが正直なところです。

実際、今週も546通（重複除去後）という相当な数の詐欺メールが届いており、決して油断できる状況ではありません。むしろ、ターゲットのブランドが細かく分散している週は「特定の1件が話題になりにくい分、気づかれにくい」という危険もあります。

減っても油断しないことが、詐欺被害を防ぐ第一歩です。

今週最も多かったのは、ロレックス・エルメス・ルイ・ヴィトン・オメガ・パテックフィリップ・リシャール・ミルといった超高級ブランドの偽物セール詐欺で、推計115通（全体の21%）を占めました。

件名の例を見てみましょう：

• 「見逃し厳禁！ロレックス特価セール（代引き対応）90%OFF」
• 「今だけ！エルメス全品最大80%オフ！」
• 「パテックフィリップが今だけ90%OFF！代引きOK！」
• 「新作コレクション限定 ルイ・ヴィトン 95%割引」
• 「【期間限定】リシャール・ミル注目モデル 90%OFF」

どれも「90〜95%OFF」「代引きOK」という魅力的な言葉が並んでいます。しかし世界的な高級ブランドが公式に90%以上の値引きをすることは絶対にありません。数十万〜数百万円の時計が数千円で買えるはずがないのです。

「代引き対応」という言葉も要注意です。現金引き換えなら安全に思えますが、届くのはまったく別のガラクタや粗悪なコピー品で、返品・返金には一切応じてもらえないケースがほとんどです。

ANA偽装メールは今週、同じような文章を微妙に変えながら6種類のパターンで連続送信されました。件名を並べるとこうなります：

1. 「ANAカードご利用者様必見：ボーナスマイル申請はお早めに」
2. 「ANAカードご利用者様必見：今すぐログインでマイルを手に入れよう」
3. 「ANAカードご利用者様必見：本日を逃すとマイルがもらえません！」
4. 「ANAカードご利用者様必見：キャンペーン終了まであとわずか！」
5. 「ANAカードご利用者様必見：ボーナスマイルを受け取る最後のチャンス！」
6. 「ANAカードご利用者様必見：お忘れではありませんか？特典期限のお知らせ」

「急いで」「今日まで」「最後のチャンス」「お忘れでは？」——これらはすべて、受け取った人を焦らせて冷静な判断力を奪うための言葉です。メールを読んだ瞬間に急いでリンクをクリックさせることが目的です。

本物のANAからのメールかどうかは、リンクをクリックするのではなく、ANA公式アプリやブックマークしたANA公式サイト（ana.co.jp）から直接確認してください。

今週のデータを整理していて気づいた点があります。届いたメールの中に、送信日時が「26/06/13」「26/06/12」といった日付ではなく、「00:53:01」「01:30:38」「03:50:14」「03:52:49」「04:08:21」のように時刻だけが表示されているものが複数混在していました。

これはメールクライアントの表示仕様によるもので、「当日届いたメール」は日付ではなく時刻のみが表示されるためです。つまり「当日分（6月13日の深夜〜早朝）」が時刻表示になっているだけで、集計ミスでも意図的な改ざんでもありません。

ただ、ここで少し面白い視点があります。詐欺メールは「深夜・早朝」の時間帯に届くことが多いのです。これは日本との時差がある海外のサーバーから自動送信されていることが多いからです。今週も深夜0〜4時台に届いたメールが確認されており、改めて「詐欺メールは24時間365日、休まず送り続けられている」という現実を示しています。

今週も、受信者が使っているメールドメインそのものを送信元に偽装した詐欺メールが複数届きました。件名の例を挙げます：

• 「YOU PERVERT, I RECORDED YOU!」（送信元：自ドメイン@ランダム文字列）
• 「【重要・親愛】ハラスメント行為に関する相談・申立に伴う事実確認へのご協力依頼」
• 「【重要・総務部】近隣警察署からの指摘に基づく「歩行中の交通違反」に関する事実確認のお願い」
• 「【重要】Chromiumブラウザの脆弱性 (0-day)（ぜろでい：発見されたばかりのセキュリティの穴）に伴う緊急アップデート対応のお願い」

「自分のメールアドレスから自分宛てにメールが届いた！アカウントが乗っ取られた？」と思うかもしれませんが、これはメール送信元を偽造する「なりすまし送信」という技術を使ったもので、実際にアカウントが侵害されているわけではありません。

パニックにならず、落ち着いて削除してください。

1. 「90%OFF」の高級ブランドセールは全て詐欺：ロレックスもエルメスもルイ・ヴィトンも、正規品が9割引きになることはありません。「代引きだから安全」も誤解です。
2. 「急いで」「今日まで」は焦らせる罠：ANAのマイルはじめ、期限を強調するメールが多い週でした。焦る気持ちを一度止めて、公式アプリやサイトを直接開いて確認する習慣を。
3. 自分のドメインからのメールも疑う：送信元が自分のアドレスに見えても、なりすましの可能性があります。内容がおかしければ躊躇せず削除を。
4. 深夜のプッシュ通知に注意：寝起きの判断力が下がっている状態でリンクをクリックしないよう、就寝前はスマートフォンの通知をオフに。
5. 件数が減っても油断しない：W23より55%減でも546通が届いています。詐欺師は毎週休みなく攻撃を続けています。

■ 関連記事

当ブログでは今週取り上げたブランドを騙る詐欺メールを個別に詳しく解析した記事も多数公開しています。あわせてご覧ください。

• ANA関連詐欺メール記事一覧
• Amazon関連詐欺メール記事一覧
• Apple/iCloud関連詐欺メール記事一覧
• KAGOYA関連詐欺メール記事一覧（200件超）

本レポートの結論

W24の1週間で546通の詐欺メールを確認しました。前週より件数は減りましたが、高級ブランド偽物・Amazon・ANA・Apple・クレジットカードと、あらゆる方面からの攻撃が続いています。特に「90%OFF」の高級ブランドセールと、ANA偽装の「ボーナスマイル期限切れ」シリーズは今まさに拡散中です。このレポートを読んで「気をつけよう」と思ったなら、ぜひ家族のLINEグループに送って「こんなメールに注意して！」と一言添えてください。あなたの一言が、大切な人を詐欺から守ります。

■ メールヘッダー解析（送信者情報）

件名：[spam]【重要】商品はすでに配送されています #946936

送信者名：“カスタマーセンター#784169″（偽装）

送信元アドレス：9171dan@mail15.juqiegcd.com

ドメインIP解析：172.202.123.157 (mail15.juqiegcd.com)

受信日時：2026年6月12日 21:45:22 +0900

SPF認証（送信元が本物かどうか確認する仕組み）：Pass　※juqiegcd.comドメインとして自己完結したPass。Amazon公式とは無関係。

DKIM署名（メールが改ざんされていないか確認する仕組み）：Pass　※同様にmail15.juqiegcd.comによる署名。Amazon公式とは無関係。

ご覧の通り、このメールはAmazonを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。実際にリンクをクリックしないでください。

---

件名：【重要】商品はすでに配送されています #946936
差出人："カスタマーセンター#784169" <9171dan@mail15.juqiegcd.com>

注文履歴　アカウントサービス　再購入

荷物は配達済みです！
本日お届け済み
ご注文商品を住人の方に直接手渡ししました。
お届け先：ご指定の配送先住所
注文番号：249-42158-7824910

配送状況を確認

【商品画像：スマートウォッチ（Fitbit）】

Apple Watch SE 3（GPSモデル）-44mmミッド...
数量：1

注文履歴にある商品を返品または交換する。

© 2026 Amazon.com. All rights reserved. Amazonのロゴ、Amazon.co.jpおよびAmazon.co.jpのロゴは、
Amazon.com, Inc.またはその関連会社の商標です。

送信者：アマゾンジャパン合同会社
住所・各種お問い合わせについては、こちらの「販売業者」欄をご参照ください。
Amazon.co.jpプライバシー規約

■ 攻撃者のミス：Fitbitの画像にApple Watchの商品名

このメールには、注文した覚えのない商品の「配達完了通知」が記載されています。しかしよく見ると、掲載されている商品画像はFitbitのスマートウォッチ（フィットビット・アメリカの健康管理デバイスメーカー）であるにもかかわらず、商品名のテキストには「Apple Watch SE 3（GPSモデル）-44mm」と書かれています。

FitbitとApple Watchは全くの別メーカー・別製品です。本物のAmazonの注文確認メールでこのような矛盾は起こりません。攻撃者が画像と商品テキストを別々のテンプレートから流用した際に、確認作業を怠ったものと思われます。

「身に覚えのない高額商品の配達完了通知」で焦らせてリンクをクリックさせるのがこの手口の狙いですが、冷静に内容を確認すれば矛盾はすぐに見つかります。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側サーバー（非公表）の情報が含まれるため掲載を控えています。ご了承ください。

送信元ドメイン：juqiegcd.com（無関係ドメイン）/ サブドメイン：mail15.juqiegcd.com

【偽装判定】：
正規のAmazonからのメールは @amazon.co.jp または @amazon.com ドメインから送信されます。本メールの送信ドメイン juqiegcd.com はAmazonの公式サーバーとは一切関係がありません。また「カスタマーセンター#784169」という送信者名はAmazonが使用する表記ではありません。

【SPF・DKIM両Passについて】：
両Pass＝本物ではありません。攻撃者が juqiegcd.com というドメインを自分で取得・設定し、そのドメインの範囲内で認証を通過させているに過ぎません。

送信インフラ：Microsoft Azure（マイクロソフト社のクラウドサービス）/ AS8075 MICROSOFT-CORP-MSN-AS-BLOCK
※Microsoft Azureの正規サービスが悪用されています。Microsoftが詐欺に加担しているわけではありません。

発信元ロケーション：アメリカ・アイオワ州・デモイン（41.5868, -93.625）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

■ フィッシングサイト詳細解析

誘導先ドメイン：zh-wap-jingyulive.com

IPアドレス：[IP取得不可：DNS失効の可能性]

【サイトの状態】：調査時点でドメインが失効しており、DNS_PROBE_FINISHED_NXDOMAIN（ドメインが存在しないというエラー）が表示されアクセス不能な状態です。ただし類似ドメインに切り替えて攻撃を継続する可能性があります。

【Googleセーフブラウジングの判定】：Google Chromeは本サイトを「危険なサイト」としてフィッシング判定・ブロック済みです。

【ドメイン命名パターン】：「zh-」で始まるドメイン名は、当ラボが過去に調査した中国系攻撃グループが好んで使用するパターンと一致します。

▲ Google Chromeによるブロック画面。「攻撃者がユーザーを騙してソフトウェアをインストールさせたり、パスワード、電話番号、クレジットカード番号などを開示させたりする可能性があります」と明確に警告している

▲ 調査時点でのアクセス結果。ドメインが失効しており「このサイトにアクセスできません」と表示される。攻撃者がドメインを使い捨てにした可能性が高い

■ 注意点と対処法

1. 送信元アドレスを確認する：本物のAmazonからのメールは必ず @amazon.co.jp または @amazon.com ドメインから届きます。それ以外のドメインは偽物です。
2. 身に覚えのない注文通知は焦らず確認する：Amazonアプリまたはブラウザのブックマークから直接 amazon.co.jp にアクセスし、注文履歴を確認してください。メール内のリンクは絶対にクリックしないでください。
3. 商品画像と商品名の不一致に注目：今回のメールのように、画像と文字情報が矛盾している場合は偽物の証拠です。本物のAmazonメールではこのような不整合は起こりません。
4. 怪しいメールはAmazonに報告：Amazonを装った不審なメールは stop-spoofing@amazon.com に転送して報告できます。
5. Amazon公式の注意喚起を参照：Amazonをかたるフィッシング詐欺の見分け方と対処法 — Amazon カスタマーサービス

■ 関連記事

当ブログでは過去にもAmazonを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

Amazon 関連記事一覧

本レポートの結論

「身に覚えのない配達完了通知」で焦らせてリンクをクリックさせるAmazon偽装フィッシングです。SPF・DKIMの両認証Passという偽装を施していますが、Fitbitの画像にApple Watchの商品名を貼り付けるという攻撃者自身のミスが偽物であることを証明しています。誘導先サイトはGoogleがすでに「危険なサイト」として検出済みです。Amazonからのメールが届いたら、メール内のリンクは一切クリックせず、必ずアプリかブラウザのブックマークから直接アクセスして確認してください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

■ メールヘッダー解析（送信者情報）

件名：[spam]【佐川急便】再配達のご案内

送信者名：“佐川急便株式会社”（偽装）

送信元アドレス：aya14-cheer.love@xgwenwn.cn

ドメインIP解析：193.239.154.57 (xgwenwn.cn)

受信日時：2026年6月13日 05:14:39 +0900

使用メーラー：Foxmail 6, 13, 102, 15 [cn]（中国製メールソフト）

SPF認証（送信元が本物かどうか確認する仕組み）：Pass　※xgwenwn.cnドメインとして自己完結したPass。佐川急便公式とは無関係。

DKIM署名（メールが改ざんされていないか確認する仕組み）：Pass　※同様にxgwenwn.cnによる署名。佐川急便公式とは無関係。

ご覧の通り、このメールは佐川急便を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。実際にリンクをクリックしないでください。

---

平素より佐川急便をご利用いただき、誠にありがとうございます。

本日にお荷物のお届けを試みましたが、
ご不在のためお届けできませんでした。

以下のボタンから再配達のご希望日時をご指定ください。

 再配達の依頼はこちら

※ 当日中の再配達受付は18:00までとなります。

■ お荷物情報
・輸送サービス名：宅配便

■ 配達担当営業所
和光営業所（営業所番号：7062）
営業所の詳細はこちら

【ご注意】
・本メールは各種メール通知サービスのお申し込みにより、佐川急便が自動送信しております。
・送信専用のため、本メールへのご返信には対応しておりません。
・ご登録の住所・メールアドレスの変更や配信停止は、こちらからお手続きください。

【新型コロナウイルス感染症について】
新型コロナウイルス感染症の位置づけが5類感染症に変更されましたが、
佐川急便では引き続き非対面での配達（ご希望の場合）を行っております。
※従業員のマスク着用は各自の判断によります。詳細はこちらをご確認ください。

佐川急便株式会社
公式サイトはこちら

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側サーバー（非公表）の情報が含まれるため掲載を控えています。ご了承ください。

送信元ドメイン：xgwenwn.cn（中国ドメイン）

【偽装判定】：
正規の佐川急便からのメールは @sagawa-exp.co.jp ドメインから送信されます。本メールの送信ドメイン xgwenwn.cn は中国の民間ドメインであり、佐川急便の公式サーバーとは一切関係がありません。

【SPF・DKIM両Passについて】：
このメールはSPFとDKIMの両方の認証をPassしています。しかし攻撃者が xgwenwn.cn というドメインを自分で取得・設定し、そのドメインの範囲内で正規の認証を通過させているに過ぎません。「佐川急便として認証された」のではなく「怪しい中国ドメインとして認証された」という意味です。

使用メーラー：Foxmail（中国製メールソフト。佐川急便が業務用途で使用するメールソフトではありません）

発信元ロケーション解析：
香港・旺角（Mong Kok）エリア　※送信元IPは193.239.154.57
緯度・経度：22.3148, 114.17
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【同一インフラからの連続攻撃】：
送信元IP 193.239.154.57 は、同日に当ラボが検知したApple偽装フィッシングメール（送信元IP: 193.239.154.124）と同じ 193.239.154.0/24 サブネット内のアドレスです。同一の攻撃者グループが複数ブランドを装い、同じインフラから連続して攻撃を展開している可能性があります。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://m*****s.m****x.cn/gpajp/accunt/lginox/ （一部伏字）

リンクドメイン：meekys.mtffx.cn（中国ドメイン）

サイトサーバーIP：43.165.174.250

インフラ：Tencent Cloud（テンセントクラウド・中国系クラウドサービス）/ AS132203 TENCENT-NET-AP-CN
※ジオIPでは「東京・渋谷」と表示されますが、これはTencent CloudのCDN（コンテンツ配信ネットワーク）エッジノードが日本に設置されているためです。実際の運営者・管理者は中国企業です。

ロケーション（CDNエッジ）：東京都渋谷区（35.6764, 139.65）
マップ：【Googleマップで表示】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【クローキング（端末の種類によって表示内容を変える偽装手法）を確認】

このフィッシングサイトは、アクセスした端末によって表示内容を切り替えるクローキングを実装していることが確認されました。

端末	表示内容
スマートフォン	佐川急便公式サイトそっくりの「配送失敗の通知」画面。偽の荷物番号・住所更新フォームへ誘導
パソコン	タイムアウトエラーのみ表示（セキュリティ研究者・フィルター回避のため意図的に非表示と見られる）

スマートフォンからのアクセスに対してのみ偽サイトを表示することで、セキュリティ専門家によるパソコンからの調査・検知を難しくする狙いがあると考えられます。

【セキュリティソフトの判定】：ウイルスバスター クラウドはこのサイトを「フィッシング」として検出・ブロック済みです。

▲ ウイルスバスター クラウドによるブロック画面。脅威の種類「フィッシング」と明確に判定されている

▲ スマートフォンから誘導先URLにアクセスした際に表示される偽サイト。佐川急便のロゴ・デザインを模倣し「配送失敗の通知」と表示して住所情報の入力を求める。荷物番号まで表示する念の入れようだが、内容は完全な偽物だ

■ 注意点と対処法

1. 送信元アドレスを確認する：本物の佐川急便からのメールは必ず @sagawa-exp.co.jp ドメインから届きます。@xgwenwn.cn など見慣れないドメインは即座に疑ってください。
2. メール内のリンクをクリックしない：荷物の再配達依頼は、必ず公式アプリまたはブラウザのブックマークから佐川急便の公式サイトへ直接アクセスして行ってください。
3. スマートフォンで開くとより危険：このフィッシングサイトはスマートフォンからアクセスした場合にのみ偽サイトが表示されます。特にスマートフォンでのリンクのクリックに注意してください。
4. 住所・カード情報を絶対に入力しない：偽サイトに住所やクレジットカード情報を入力すると、個人情報が盗まれ、悪用される危険があります。
5. 佐川急便公式の注意喚起を参照：佐川急便を装った迷惑メールにご注意ください｜佐川急便

■ 関連記事

当ブログでは過去にも佐川急便を騙る詐欺メールを多数取り上げています。あわせてご覧ください。

佐川急便 関連記事一覧

本レポートの結論

「再配達」という日常的なシーンを狙い、SPF・DKIMの両認証Passという高度な偽装工作に加え、スマートフォンとパソコンで表示を切り替えるクローキングまで実装した佐川急便偽装フィッシングです。フィッシングサイトはウイルスバスターがすでにブロック対象としていますが、類似サイトが次々と作られるのがこの手の攻撃の特徴です。「佐川急便からメールが来た」と思ったら、まず送信元アドレスを確認してください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。