【実録】「お引落とし日のお知らせ」は罠!大妻女子大学アカウントを踏み台にしたイオンカード偽装フィッシングの全手口を公開
🔴 緊急度:高
| 緊急性レベル | ★★★★☆ (4/5) Chrome即ブロック・精巧な偽ログイン画面 |
| 偽装工作精度 | ★★★★☆ (4/5) 実在大学アカウント悪用・精巧なメール本文・偽ログイン画面 |
■ メールヘッダー解析(送信者情報)
件名:お引落とし日のお知らせ
送信者名:“イオンフィナンシャルサービス株式会社”
送信元アドレス:no-reply.itU@ma2.otsuma.ac.jp(大妻女子大学のドメイン——イオンカードとは無関係)
受信日時:2026年6月17日 12:23
SPF:None(レコードなし) / DKIM:なし
送信経路:Nifty(北海道:v70421-hokkaido805.hokkaido.nifty.com / 2.59.152.224)→ 大妻女子大学メールシステム経由
フィッシングURL(X-FEAS-SURL):hxxps://app-aeeon.soon-me[.]com/lDmOMWfG/
▲ 届いたフィッシングメール。イオンカードの実際の引落し通知と見分けがつかないほど精巧に作られている。差出人欄をよく見ると大妻女子大学のドメインが……。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
なぜ大妻女子大学からイオンカードのメールが届くのか
「大妻女子大学(otsuma.ac.jp)」は東京に本部を置く実在の大学です。本物のイオンカードがこの大学のメールアドレスから送信されることは絶対にありません。
当ラボの調査では、大妻女子大学のメールアカウントが何者かに不正アクセスされ、フィッシングメール送信の「踏み台(中継地点)」として悪用されたと考えられます。「踏み台」とは、犯罪者が自分の身元を隠すために他人のサーバーやアカウントを経由して攻撃を行う手口です。郵便に例えると、知らない人の家の郵便ポストから勝手に手紙を出しているようなものです。差出人に大妻女子大学の名前が出てきますが、大妻女子大学自体は被害者であり、この詐欺とは無関係です。
このような大学・教育機関のメールアカウントを踏み台にする手口は、これらの組織のメールが比較的スパムフィルターに引っかかりにくいという特性を悪用したものです。
送信ルート及び偽装判定
■ 送信ルート解析
※Receivedヘッダーの全文には受信者側のサーバー情報が含まれるため掲載を控えています。
送信元IP:2.59.152.224(Nifty / 北海道)
逆引きホスト名:v70421-hokkaido805.hokkaido.nifty.com
中継:大妻女子大学メールシステム(ma2.otsuma.ac.jp)→ 不正利用(踏み台)
SPF:None(otsuma.ac.jpにSPFレコードが設定されていないため検証不可)
【偽装判定】:本物のイオンカードからのメールは @aeon.co.jp または @aeon-financial.co.jp から送信されます。ma2.otsuma.ac.jp(大妻女子大学)からのメールは偽物です。
発信元ロケーション(推定):日本・北海道(Nifty)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
フィッシングサイト詳細解析——Chromeが即座に「危険」と判定
■ app-aeeon.soon-me.com の実態
フィッシングURL(伏せ字):hxxps://app-aeeon.soon-me[.]com/lDmOMWfG/
ドメイン:soon-me.com(「AEON」を連想させる「aeeon」をサブドメインに使用した偽装)
サイトサーバーIP:195.86.16.200(逆引き:195-86-16-200.easynet.nl)
プロバイダー:Easynet NL(オランダ)
ロケーション:オランダ・アムステルダム周辺
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【Chromeの判定】:Googleセーフブラウジング(Googleが運営する危険サイト検知システム)が「危険なサイト——最近フィッシングが検出されました」と警告を表示。Chromeがアクセスを即座にブロック。
【サイトの内容】:Chrome警告を強行突破すると、精巧に作られた偽AEON CARDログイン画面が表示されます。「AEON Pay ID」と「パスワード」の入力フォームが設置されており、入力するとアカウントが乗っ取られる危険があります。
▲ Chromeによる「危険なサイト」警告画面。「最近フィッシングが検出されました」と明記されており、Googleのセーフブラウジングシステムがフィッシングサイトとして認定済み。
▲ Chrome警告を無視して進むと現れる偽AEON CARDログイン画面。本物のサイトと見分けがつかないほど精巧。URLバーを確認すれば「soon-me.com」という無関係なドメインであることがわかる。
※以下は届いたフィッシングメールの本文を技術検証のために一部抜粋・再現したものです。リンクは絶対にクリックしないでください。
いつもイオンマークのカードをご愛顧いただきありがとうございます。 お引落とし日が近づいてまいりましたので、お知らせいたします。 次回お引落とし日:2026年6月23日(火) ※2026年6月22日(月)までにお引落口座へご準備ください。 ▼ご利用明細の確認はこちら▼ 当社ホームページへログイン ■2026年6月ご請求分のリボ変更を希望される方へ (中略) 配信番号:MA-R2026-0144-Q カード発行元:株式会社イオン銀行 業務受託会社:イオンフィナンシャルサービス株式会社
■ 注意点と対処法
- 送信元アドレスのドメインを確認する:本物のイオンカードからのメールは
@aeon.co.jpまたは@aeon-financial.co.jpから送信されます。大学や全く関係のないドメインから届いたものは即削除してください。 - Chromeの警告は無視しない:「危険なサイト」と表示されたら、理由がどうあれアクセスしないでください。Googleが危険と判定したサイトです。
- リンクを踏まず公式アプリから確認:引落し日や利用明細の確認は、メールのリンクからではなくイオンカードの公式アプリまたはブックマーク済みの公式サイトから行ってください。
- ID・パスワードを入力してしまった場合:すぐにイオンカードのカスタマーサポートに連絡し、パスワードを変更してください。イオンカード公式:フィッシング詐欺にご注意ください
- 引落し日の確認方法:イオンカードの引落し日は、公式アプリ「暮らしのマネーサイト」またはAEON Pay公式アプリからログイン後に確認できます。
本レポートの結論
大妻女子大学のメールアカウントを踏み台に送信されたイオンカード偽装フィッシングメールは、実在感のある引落し日通知で受信者を油断させる巧妙な手口です。フィッシングサイトはオランダのサーバーに設置され、ChromeはすでにGoogleセーフブラウジングで「危険」と認定しています。大妻女子大学自体は攻撃者に悪用された被害者であり、本件とは無関係です。メールの送信元が見慣れないドメインであれば、内容がいかにもっともらしくても絶対にリンクを踏まないことが最大の防御策です。この記事を家族のLINEグループで共有し、「イオンカードのメールも偽物があるよ」と伝えてあげてください。
調査日:2026年6月17日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
