「JCBカード」本人認証サービス再確認は詐欺!ゼロ幅文字で難読化、Azureブラジルから届く精巧な偽MyJCBログイン画面を解析

【実録】「JCBカード」本人認証サービス再確認は詐欺:ゼロ幅文字で難読化、Azureブラジルから届く精巧な偽MyJCBログイン画面を解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「JCBカード」を名乗り、【JCBカード】本人認証サービス(3Dセキュア)設定再確認のお願いという件名で届いたメールを解析しました。見た目は本物そっくりの「MyJCB」デザインですが、メールのソースを確認すると日本語の文字と文字の間に大量のゼロ幅文字(見えない特殊文字)が仕込まれており、迷惑メールフィルターの検知を回避する工夫が施されていました。送信元はAzure上のブラジル拠点、誘導先の偽サイトは米国のホスティング事業者という、国際的なインフラを使った手口です。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★★★ (5/5)

■ メールヘッダー解析(送信者情報)

件名:[spam]【JCBカード】本人認証サービス(3Dセキュア)設定再確認のお願い

送信者名:JCBカード

送信元アドレス:mgjgst@mgjgst.qnzhdf.com

送信元IP(Received-SPF client-ip):20.206.206.170

SPF認証:Pass

DKIM署名:あり(d=mgjgst.qnzhdf.com)

送信環境:Zimbra Collaboration(Webメールシステム)からTLS暗号化通信で認証済み送信

受信日時:2026年7月8日

※メールヘッダー詳細(生ログ)は個人情報保護のため非掲載

ご覧の通り、このメールは公式MyJCBを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


MyJCB

【重要】3Dセキュア認証 再確認のお願い

平素よりJCBカードをご利用いただき、誠にありがとうございます。

お客様のカードに紐づく3Dセキュア認証(本人認証サービス・JCB Secure)の有効期限が切れております。
セキュリティ向上の観点から、再認証をお願いしております。
再認証が行われない場合、一部のインターネット決済サービス(オンラインショッピング等)がご利用いただけなくなる可能性がございます。

要対応期限:2026-07-08
対応内容:3Dセキュア認証(本人認証サービス)の再登録・認証手続き

認証手続きは下記の専用ボタンより認証画面へお進みください。
(※セキュリティ保護のため、必ずご自身でブラウザを開き直接アクセスするか、JCB公式アプリからお手続きください)

[3Dセキュア認証を実行する]

⚠ 本メールに心当たりがない場合や、不審な点がある場合は直ちにJCBカードコールセンターまでご連絡ください。
※本メールは送信専用アドレスより配信されています。返信いただいてもご回答できませんのでご了承ください。

🔒 セキュリティ対策の観点から、不審なメールのリンクを直接クリックせず、JCB公式サイトのブックマークまたはJCB公式アプリからアクセスすることを推奨いたします。

株式会社ジェーシービー
東京都港区南青山5丁目1番22号 青山JCBビル
JCBインフォメーションセンター(案内窓口):0570-171-684(有料)
*紛失・盗難のご連絡は、24時間年中無休で承っております。

JCB Co. Ltd. All Rights Reserved.

実際に届いたメールの表示画面

皮肉なことに、この偽メールの中には「不審なメールのリンクを直接クリックせず、JCB公式サイトのブックマークまたはJCB公式アプリからアクセスすることを推奨いたします」という、本物さながらの注意書きがそのまま書かれています。本物の注意喚起文をコピーして貼り付けただけで、肝心の「このメール自体が不審なリンクである」という自己矛盾には気づいていないようです。

■ 送信ルート及び偽装判定

Received-SPF:
Received-SPF: Pass client-ip=20.206.206.170; helo=mgjgst.qnzhdf.com

【偽装判定】:
JCBの公式メールは「jcb.co.jp」等の正規ドメインからのみ配信されます。本メールの送信ドメイン「mgjgst.qnzhdf.com」はJCBとは一切無関係です。SPF・DKIMともに正規判定でも、ドメイン名自体が公式でなければ全く意味がありません。

発信元ロケーション解析:
送信元IP 20.206.206.170 → プロバイダー:Microsoft Corporation(Azure)
所在地:ブラジル サンパウロ州 カンピーナス
【Googleマップで表示】

💡ここで!ゼロ幅文字による難読化とは

今回のメールのソースを確認したところ、「平素より」「JCBカードを」といった普通の日本語文の、ほぼ1文字ごとの間に、目に見えない特殊な文字(ゼロ幅非接合子・ゼロ幅接合子・ゼロ幅ノーブレークスペースなど。文字を区切る働きだけを持ち、画面には何も表示されない記号)が大量に埋め込まれていました。人間の目には普通に読める文章でも、データ上は「へ‍い‍そ‍」のように細切れにされており、迷惑メールフィルターが「JCB」「認証」といった単語をそのまま検知できないようにするための難読化テクニックです。以前解析した「e+plus」を騙るメールでも同じ手口が確認されており、複数のブランドを騙る詐欺メールで使い回されている手法とみられます。

メール原文をテキスト表示した際の様子。文字の間にゼロ幅文字のコードが挟み込まれている

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://jhmwtg[.]com/rpZhENiX (一部伏字)

サイトサーバーIP:192.227.190.150(HostPapa/RackNerd LLC)

ロケーション:米国 ニューヨーク州 エリー郡 バッファロー
【Googleマップで表示】

【サイトの状態】:ウイルスバスター クラウドが「フィッシング」として即座にブロック。

【誘導の仕組み】:ブロックをすり抜けて到達した場合、まず「安全な接続を確認しています」という偽の読み込み画面が表示されます。これはボット・解析ツールを弾き、本当に興味を持ってクリックした人間だけを最終的な偽ログイン画面へ通すための仕掛けです。最終的には本物と見分けがつかないほど精巧な偽MyJCBログイン画面が表示され、ID・パスワードの入力を求められます。

誘導先がフィッシングとしてブロックされた画面

解析ツール避けと見られる偽の読み込み画面

最終的に表示される、本物と酷似した偽のMyJCBログイン画面

■ 注意点と対処法

  1. URLをクリックしない:リンク先は本物と見分けがつかない精巧な偽サイトです。
  2. 公式アプリ・ブックマークから確認:3Dセキュアの設定状況はMyJCB公式アプリまたはブックマークした公式サイトから確認してください。
  3. 入力してしまった場合:すぐにJCBインフォメーションセンター(0570-00-3333)へ連絡し、ID・パスワードの変更手続きを行ってください。
  4. 公式注意喚起の参照:JCB公式「フィッシング詐欺にご注意ください」

本レポートの結論

「JCBカード」を名乗るこのメールは、ゼロ幅文字による難読化、Azure上に構築された送信インフラ、精巧な偽ログイン画面という、複数の高度な偽装が組み合わさった巧妙な詐欺でした。見た目の完成度が高いほど、送信ドメインの確認が重要になります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

この記事をLINEで送る

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る