【公開】「JAL未積算マイルの口座反映手続きについて」の不審メールを調査!
街の皆様、こんにちは。お使いのパソコンやスマートフォンのホームドクター、Heartland-Lab(ハートランド・ラボ)です。いつでも頼れる街のIT専門家として、皆様のデジタルライフの安全を全力でお守りいたします。
さて、本日も皆様の元へ届くかもしれない、非常に巧妙で悪質な迷惑メールの解析依頼をいただきました。今回ご紹介するのは、「JAL(日本航空)」を騙る大変危険な詐欺メールです。なお、これまでに当ラボで解析した関連する過去の事例や対策データについては、ページ末尾に記載のデータベースアーカイブからいつでもご覧いただけます。
【実録】JALの未積算マイル獲得を装う極悪フィッシング詐欺メールを徹底分析!クリック先に潜むクローキングの手口を完全公開
※ご注意:この種類のメールは、メールを開いただけでは直接的な金銭被害(クレジットカードの不正利用など)が発生することはありません。しかし、画像付きのHTMLメール(装飾されたメール)や、開通通知(読み込みを確認する仕組み)が仕込まれている場合、メールを開いた瞬間に詐欺グループ側へ「このメールアドレスは現在使われている」という生体通知(生存確認)が行われてしまいます。その結果、今後はさらに大量の詐欺メール送信リストへ登録される危険性がありますので、見覚えのない不審なメールは不用意に開かないことが鉄則となります。
最近のスパム動向と、このメールが持つ「偽りの緊急性」
ここ最近のフィッシング詐欺(実在の企業を装って偽のサイトへ誘導し、情報を盗み出す犯罪)の手口は、AI技術の悪用などによって非常に洗練されています。以前のような不自然な日本語は影を潜め、公式のロゴやデザインを完璧にコピーしたものが溢れています。
今回のメールで最も注意すべき点は、「マイルの有効期限が明日まで」という極めて短い猶予を突きつけてくる点です。人間は「早く手続きをしないと損をしてしまう」と焦らされると、冷静な判断力を失ってしまいます。この心理的トラップ(罠)こそが、詐欺グループの一番の狙いなのです。
当ラボ独自の危険度評価
★★★★☆ (危険度:4つ星)
※解説:クレジットカード情報の窃取だけでなく、JALマイレージバンク(航空会社のポイントプログラム)の会員ログイン情報を直接狙うことで、貯まったマイルを不正に別の電子価値へ交換しようとする極めて実害の出やすい手口のため、星4つの最高警戒レベルと評価します。
受信したメールの基本情報
| 件名(タイトル) | [spam] 【JAL】未積算マイル(キャンペーン特典)の口座反映手続きについて |
|---|---|
| 送信者表示名 | “JALお客様ご優待窓口” |
| 送信元メールアドレス | riofge@jpetxhhf.notifications.qingdaojiankong.com |
| メール受信日時 | 2026年5月29日 金曜日 19時31分28秒(日本標準時) |
※件名の冒頭に付いている「[spam](スパム)」という表記は、受信者が利用しているプロバイダ(インターネット接続業者)のセキュリティサーバーが、メールの送信元や内容を自動的に解析し、「これは不審な迷惑メールである」と判定して自動付与した警告スタンプです。これが出ている時点で、JALの公式メールではないことが証明されています。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
メール本文のスクショと正確な再現
【受信したHTMLメールの本文全体のスクリーンショット】
【平文の本文全体のスクリーンショット】
以下は、実際に送信されてきた偽メールの内容を、視覚的に違いが比較できるよう**「HTML装飾表示(画像1枚目)」**と**「平文テキスト表示(画像2枚目)」**の両パターンでできる限り忠実に再現したデータです。
■■■■■■ 様
各種キャンペーン、または提携サービスにおけるご利用実績に基づき、対象となるボーナスマイルの進呈準備が完了いたしました。
ステータス:未積算(お預かり状態)
実際の落札可能マイル(※原文ママ)として反映させるには、オンラインでの積算手続きが必要です。
※お手続き期限:2026年5月31日まで
- 期限を過ぎますとお預かり中のマイルは自動的に消滅いたします。
- 本メールはお手続きが必要な会員様へシステムより自動送信しております。
© Japan Airlines. All rights reserved.
【JAL】未積算マイルの口座反映手続きに関するお知らせ
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━□■■■■■■■ 様いつもJALマイレージバンク(JMB)をご利用いただきありがとうございます。
先般実施いたしました各種キャンペーン、または提携サービスにおける
お客様のご利用実績に基づき、対象となる「ボーナスマイル」の
進呈準備が完了いたしました。
現在、該当のマイルはお客様のJMB口座に対して【未積算(お預かり状態)】
となっております。
本特典マイルを実際の「ご利用可能マイル残高」として反映させるには、
お客様ご自身によるオンラインでの積算手続きが必要となります。
また、本積算手続きの有効期限は【2026年5月31日】までとなります。
期限を過ぎますと、お預かり中のマイルは自動的に消滅いたしますので、
大変お手数ですが、速やかに下記よりお手続きをお願いいたします。
▼ 未積算マイルの確認および口座への反映手続きはこちら
hXXps://login.qvhkj.com/?w5jvhT5kYQOE
※JMBお得意様番号とパスワードでログインし、お手続きを完了してください。
————————————————–
【注意事項】
・反映されたマイルは、即時にお客様の残高へ加算されます。
・すでにお手続きが完了している場合は、何卒ご容赦ください。
・本メールはお手続きが必要な会員様へシステムより自動送信しております。
————————————————–
発行元:日本航空株式会社
JMBキャンペーン事務局
jal.co.jp
Copyright (C) Japan Airlines. All rights reserved.
なぜ2つの表示があるの?HTMLと平文(テキスト)で内容が異なるカラクリ
皆様は、メールの表示形式に「HTML(エイチティーエムエル)メール」と「平文(テキスト)メール」の2つの種類があるのをご存知でしょうか。
HTMLメールとは、ウェブサイト(ホームページ)のように文字の色や大きさを変えたり、ボタンや画像を配置したりできる「見た目が華やかなメール」のことです。
一方で平文(ひらぶん)メールとは、飾り付けを一切しない「文字(テキスト)だけのシンプルなメール」のことです。(メールソフトによっては両方を切り替えて表示することが可能)
実は、今回の詐欺メールをそれぞれの形式で確認してみると、なんと中に書かれている案内文や仕掛けが大きく異なっていることが分かりました。
画面に綺麗に表示されるHTMLメール(画像1枚目)では、公式サイトのロゴや綺麗なボタンを配置して安心させつつ、「実際の落札可能マイル」というおかしな言葉を使って皆様を焦らせています。
しかし、文字だけの平文メール(画像2枚目)として裏側を覗いてみると、HTMLメールの華やかなボタンに隠されていた「login.qvhkj.com」というJALとは全く関係のない不審な偽サイトのURL(インターネット上の住所)がそのまま剥き出しの状態で記載されています。
それに書かれている内容も異なりますよね!
つまり、見た目(HTML)をどれだけJALの公式っぽく綺麗に飾り付けても、文字だけ(平文)にすると詐欺師の隠しきれない怪しい本性が丸見えになってしまうということです。
このように、見た目の綺麗さに騙されず、メールの「裏側の文字情報」に目を光らせることが、悪質な詐欺に引っかからないための大切なポイントになります。
少しでも「おかしいな」と感じたら、まずは文字だけの情報に怪しいURLが混ざっていないか、大切な家族の皆様にもぜひ教えてあげてくださいね。
送信元メールアドレスとメールデザインの解析
まず、送信者の名前は「JALお客様ご優待窓口」となっていますが、実際のメールアドレス(正体)は riofge@jpetxhhf.notifications.qingdaojiankong.com となっています。
JALの正規ドメイン(インターネット上の住所のようなもの)は「jal.com」や「jalcard.co.jp」などですが、この送信元は「qingdaojiankong.com(青島監控=中国の企業やドメイン名の文字列を想起させるもの)」という全く関係のない場所から送られています。このドメインの裏に潜むサーバーのIPアドレス(ネットワーク上の識別番号)を追跡すると、「35.219.191.104」(Google Cloud Platform、米国ロケーション)から配信されていることが判明しました。
つまり、名前だけ本物を名乗り、中身は完全な海外のレンタルサーバーから送られている偽物ということです。
メールのデザインについてスクショを確認すると、JALのブランドカラーである赤色をアクセントに使い、ロゴ(風の文字)やボタンを配置して一見公式のように見せています。しかしよく見ると、HTMLメール(1枚目)の本文中に「実際の落札可能マイルとして反映させるには」という、マイルプログラムではおよそ使われるはずのない「落札」という非常に不自然な単語(日本語の誤用)が混入しています。これは海外の詐欺グループが機械翻訳を使って文章を作成した際によく残る痕跡です。
メールヘッダー(配信経路)の技術的追跡
※当ラボのセキュリティポリシーに基づき、メールヘッダーの生スクリーンショット画像は、受信者様のプライベートなメールサーバー情報や個人を特定できるルーティング情報が含まれているため、掲載を控えさせていただきます。以下に重要な情報だけを安全に配慮して抽出・解説いたします。
by dmail03.■■■■■■.net (Postfix) with ESMTP id 715662C6BEF
for <■■■■■■@■■■■■■.jp>; Fri, 29 May 2026 19:31:28 +0900 (JST)
時系列で最も古い(詐欺師が最初にメールを投げ入れた)送信元サーバー情報、および送信元の認証システムを解析しました。Received-SPFが「Pass」となっていますが、これは「qingdaojiankong.comというドメインの所有者が、35.219.191.104というサーバーから送信することを正当に認めている」という意味に過ぎません。詐欺師が自分で取得した悪意あるドメインの認証が「Pass」しているだけであり、JALが認めたという意味では決してありません。
つまり、身元を隠さず堂々と「私は偽物のサーバーから送っています」と宣言しながら届いたメールということです。
| 解析対象のIPアドレス | 割り当てロケーション(参考情報) | 詳細位置・追跡リンク |
|---|---|---|
| 35.219.191.104 | アメリカ合衆国(Google Cloud Platform) | Googleマップで確認する 緯度:37.751 / 経度:-97.822 [ip-sc.netでネットワーク詳細を調べる] |
※注意:IPアドレスから割り出されるロケーション(位置情報)は、プロバイダの割り当て変更や中継経路によって刻々と変化するため、あくまで解析時点での参考データとなります。
誘導先URLの罠と「クローキング」の高度な手口
このメールに埋め込まれている、クリックさせて偽サイトへ連れていこうとするURLは以下の通りです。
hXXps://login.qvhkj.com/?jXgxCYNbkQ5Y (安全のため一部伏字にしています)
【ウイルスバスターが危険サイトを検知・ブロックしたスクリーンショット】
このURLをクリックした際、パソコンのセキュリティソフト(ウイルスバスタークラウド)が即座に起動し、「このWebサイトは、安全ではない可能性があります」「脅威の種類:不正プログラム配信」として、画面いっぱいに真っ赤な警告を出してアクセスを強制的に遮断してくれました(画像4枚目)。これは、セキュリティ会社がこのドメイン(qvhkj.com)をすでに危険なブラックリストとして登録している証拠です。
しかし、その後さらにアクセスを進めようとすると、画面に真っ白な背景で「アクセス拒否 リクエストがブロックされました。後ほどお試しください。」(画像5枚目)と表示され、サイトが開かなくなります。
実はこれこそが、最近の詐欺グループが用いる極めて卑劣な「クローキング(覆い隠すという意味の欺瞞技術)」という手口です。クローキングとは、アクセスしてきた相手が「一般の被害者(カモ)」なのか、「セキュリティ会社の調査員や検索エンジンの巡回ロボット」なのかをシステムで自動的に見分け、表示する画面を180度ガラリと変える技術のことです。
セキュリティ調査員や自動解析システムがアクセスしたと検知すると、詐欺グループのサーバーは「ここには何もありませんよ」と装うために、わざとこの「アクセス拒否」の偽エラー画面を出して正体を隠します。そして、メールに記載された特定の個別リンク(末尾の暗号のような文字列)を踏んだ本物の被害者が、スマートフォンなどからアクセスした時だけ、精巧に作られたJALの偽ログイン画面(フィッシングサイト)を露出させるのです。
つまり、防犯カメラや警察が見ている前だけシャッターを閉めて、一般客だけを裏口から入れて騙し討ちにする闇店舗のような状態ということです。
リンク先URLサーバー稼働状況データ
| リンク先ドメイン | ドメインIPアドレス | 物理ロケーション(緯度・経度) | 危険判断ポイント | 稼働状況 |
|---|---|---|---|---|
| login.qvhkj.com | 172.67.147.234 | アメリカ合衆国 (Cloudflare経由) Googleマップ 37.751 / -97.822 [ネットワーク追跡] | ・JAL公式とは一切無関係な無意味な英字羅列ドメイン ・セキュリティソフトによる不正プログラム警告 ・クローキングによる遮断処理 | 稼働中 (クローキングにより標的を絞って潜伏中) |
被害に遭わないための注意点と万が一の対処方法
このようなマイル失効や未積算マイルの案内メールを受け取った場合、私たちはどのように行動すれば良いのでしょうか。街のIT専門家として、絶対に守っていただきたいポイントをまとめました。
- メール内のボタンやURLは絶対にクリックしない: どれほど本物に見えても、メールの中にあるリンクは「偽物の裏口」に繋がっている可能性があります。
- 公式アプリや公式ブックマークからアクセスする: マイルの積算状況や有効期限を確認したい場合は、メールからではなく、ご自身で事前に登録した「JAL公式アプリ」や、ブラウザの「お気に入り(ブックマーク)」からJALの公式サイトへ直接ログインしてください。そちらのマイページに何の通知もなければ、メールは100%偽物です。
- 情報を入力してしまった場合の即時対処: 万が一、偽のサイトにお得意様番号、パスワード、クレジットカード情報等を入力してしまった場合は、一刻を争います。即座にJALの会員サポート窓口へ連絡してアカウントの凍結とパスワード変更を行い、カード会社へ連絡してカードの利用停止手続きを行ってください。
JAL(日本航空)公式による注意喚起ページ
まとめ
本日は、JALを偽ってマイルを騙し取ろうとする最新のフィッシング詐欺メールと、その裏側にあるクローキングの仕組みを詳しく解説いたしました。インターネットの世界には、こうした心理的な焦りや、最先端の技術を悪用した罠が毎日たくさん仕掛けられています。
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
大切なご家族やご友人が被害に遭わないよう、一人ひとりの正しい知識が最大の防壁となります。少しでも「怪しいな」と感じるメールを受け取られたら、いつでもお気軽に当Heartland-Labまでご相談くださいね。皆様のデジタルの安全をいつも応援しております。
