The post 【閲覧注意】JCB「3Dセキュア再認証」メールに見たことのない添付ファイル——本文に仕込まれた“見えない文字”の正体 first appeared on HEARTLAND.
]]>
緊急度:高
| 緊急性レベル | ★★★★★ (5/5) 添付ファイルの実行は重大なウイルス感染につながる恐れがある |
| 偽装工作精度 | ★★★★☆ (4/5) 本文・送信元の認証ともに精巧で、見た目だけでは判断しづらい |
■ メールヘッダー解析(送信者情報)
件名:[spam] セキュリティシステム更新に伴う再認証の手続き
表示上の送信者名:“株式会社ジェーシービー”
送信元アドレス:noreply@xtesza.ykhfgc.com
添付ファイル名:amazon.czxad
受信日時:2026年6月23日 11:46
SPF認証(送信元のサーバーが、名乗っているドメインの正規の送信担当者として登録されているかを確認する仕組み):Pass(ただし要注意)
DKIM署名(メールの内容が途中で改ざんされていないことを証明する電子的な署名):あり(攻撃者自身が管理するドメインに対する署名)
ご覧の通り、このメールはJCBを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
件名:[spam] セキュリティシステム更新に伴う再認証の手続き 送信者:"株式会社ジェーシービー" <noreply@xtesza.ykhfgc.com> 添付ファイル:amazon.czxad MyJCB 【重要】3Dセキュア認証 再確認のお願い 平素よりJCBカードをご利用いただき、誠にありがとうございます。 お客様のカードに紐づく3Dセキュア認証(本人認証サービス・JCB Secure)の有効期限が切れております。 セキュリティ向上の観点から、再認証をお願いしております。 再認証が行われない場合、一部のインターネット決済サービス(オンラインショッピング等)がご利用いただけなくなる可能性がございます。 要対応期限:2026-06-23 対応内容:3Dセキュア認証(本人認証サービス)の再登録・認証手続き 認証手続きは下記の専用ボタンより認証画面へお進みください。 (クリック不可)本メールに心当たりがない場合や、不審な点がある場合は直ちにJCBカードコールセンターまでご連絡ください。 ※本メールは送信専用アドレスより配信されています。返信いただいてもご回答できませんのでご了承ください。
セキュリティ対策の観点から、不審なメールのリンクを直接クリックせず、JCB公式サイトのブックマークまたはJCB公式アプリからアクセスすることを推奨いたします。 株式会社ジェーシービー 東京都港区南青山5丁目1番22号 青山JCBビル JCBインフォメーションセンター(案内窓口):0570-329-680(有料)
※実際に届いたメールの画面です。文章は丁寧に作り込まれています。
この本文、よく見ると「不審なメールのリンクを直接クリックせず、JCB公式サイトのブックマークまたはJCB公式アプリからアクセスすることを推奨いたします」という、本来読者を守るための注意文言まで自ら書き込んでいます。本物らしさを演出するために、フィッシング対策の注意喚起文句までそっくり取り込んでしまう——読者の警戒心を逆手に取る、巧妙でありながら少し倒錯した作りになっています。
■ 「ワードサラダ」——本文ソースに仕込まれた目に見えない文字
Receivedヘッダー(メールがどのサーバーを経由してきたかという通過記録)の解析:
※メールヘッダー詳細は個人情報保護のため非掲載
メールの裏側のデータ(HTMLソース)を確認したところ、本文の文字一つ一つの間に、画面には表示されない特殊な文字(ゼロ幅スペース等)が無数に埋め込まれていました。人間の目には普通の日本語にしか見えませんが、機械的に文章をチェックする迷惑メールフィルターにとっては、単語がバラバラに分断されて見える仕組みです。これは「ワードサラダ」と呼ばれる手口で、フィルターをすり抜けて受信箱まで届けるための工夫です。
※普通の文章に見えますが、文字と文字の間に余計な記号が無数に挟まっています。
■ 添付ファイル「amazon.czxad」の危険性
ファイル名:amazon.czxad
【危険性】:
「.czxad」という拡張子は、Windows・Macなど一般的なパソコンの仕組みで標準的に認識される形式ではありません。こうした見慣れない拡張子のファイルを開く(実行する)と、パソコン内のファイルが勝手に暗号化され、元に戻すための「身代金」を要求される「ランサムウェア」というウイルスに感染する恐れがあります。セキュリティソフトによる危険なファイル形式の自動チェックをすり抜けるため、わざと聞き慣れない拡張子を使っている可能性が考えられます。
なお、件名・本文はJCBの話なのに、添付ファイルの名前はなぜか「amazon」になっています。攻撃者が別のキャンペーン(Amazon関連)用に作った仕掛けを、JCB編にそのまま流用した際の名残(差し替え漏れ)と見られ、忙しく次々と偽メールを量産している様子がうかがえます(笑)。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://aemoe[.]com/zdREIPPw/(一部伏字)
サイトサーバーIP:23.95.173.128
IPアドレス調査:【ip-sc.netで詳細を確認する】
【サイトの状態】:トレンドマイクロ「ウイルスバスター クラウド」が、このサイトを安全ではない可能性があるとして自動的にブロックしていました。警告を超えて進むと「安全な接続を確認しています」という偽の確認画面が表示され、「【確認】画面をクリックまたはタップしてください」という指示が出ますが、これは本物のセキュリティチェックではなく、利用者の操作を誘導するための偽の画面です。指示に従ってクリックを続けないでください。
※本物のブラウザのチェック画面に似せていますが、クリックを促す偽の画面です。
※セキュリティソフトがこのサイトを危険だと判定し、自動でブロックしていました。
■ 注意点と対処法
- 添付ファイルは絶対に開かない:見慣れない拡張子のファイルは、開いた瞬間にウイルス感染の被害が始まる可能性があります。
- 本文中のリンクをクリックしない:「安全な接続を確認しています」という画面が出ても、それ自体が偽物の可能性があります。
- セキュリティソフトの警告を無視しない:「安全ではない可能性があります」という表示が出た時点で、それ以上進まないでください。
- 万が一添付ファイルを実行してしまった場合:すぐにパソコンをインターネット(Wi-Fi・LANケーブル)から切断し、セキュリティソフトでスキャンを行ってください。詳しい対処は契約しているセキュリティソフトのサポート窓口にご相談ください。
- 公式サイト・公式アプリから確認する:3Dセキュアの設定状況は、必ずMyJCB公式サイトまたは公式アプリから直接ご確認ください。
- 公式注意喚起の参照:JCB「フィッシング詐欺にご注意ください」
本レポートの結論
JCBの3Dセキュア再認証を求めるこのメールは、本文の文章は非常に丁寧に作り込まれていましたが、見慣れない拡張子の添付ファイルと、迷惑メールフィルターをすり抜けるための「見えない文字」という、2つの危険な仕掛けが隠されていました。誘導先もすでにセキュリティソフトにブロックされている危険なサイトです。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
The post 【閲覧注意】JCB「3Dセキュア再認証」メールに見たことのない添付ファイル——本文に仕込まれた“見えない文字”の正体 first appeared on HEARTLAND.
]]>
※実際に届いたメールの画面です。見た目は本物のキャンペーン案内のように丁寧に作られています。
※本物のアメックスのログイン画面とほぼ同じ見た目で作られています。
※セキュリティソフトがこのサイトを危険だと判定し、自動でブロックしていました。
※Google Chromeが自動でブロックしてくれた画面です。
※セキュリティソフトもこのサイトを危険だと判定していました。
※警告を無視して進むと表示される、本物そっくりの偽サイトです。
緊急度:中
※実際に届いたメールの画面です。
※パソコンから開くと、ただのエラー画面が出るだけです。
※スマートフォンから開くと、本物そっくりの偽サイトが現れます。
