【実録】「JCB年会費優遇キャンペーン」は罠！SPF・DKIM両Pass偽装＋クローキングでMyJCBログイン画面に誘導する巧妙フィッシングの全手口を公開

■ メールヘッダー解析　― バリアント①（スパムフォルダ行き）

件名：【JCBカード】年会費優遇キャンペーンのご案内

送信者名：“ジェーシービー”

送信元アドレス：relay@relay.aikongl.com

受信日時：2026年6月16日 18:50

SPF：Pass　／　DKIM：Pass（d=aikongl.com）

添付ファイル：X95VH.kyl（不審ファイル・開封厳禁）

■ メールヘッダー解析　― バリアント②（受信トレイ到達）

件名：【JCBカード】年会費優遇キャンペーンのご案内

送信者名：“ジェーシービー”

送信元アドレス：emailonline@emailonline.hsuctech.com

受信日時：2026年6月16日 20:17

SPF：Pass（送信元IP：132.145.159.120）　／　DKIM：Pass（d=hotmail.com）

配信サービス：Postmark API経由（正規メール配信サービスを悪用）

添付ファイル：OdW9n0f60.fds（不審ファイル・開封厳禁）

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。

カードご利用による年会費優遇キャンペーンについて

平素よりJCBカードをご利用いただき、誠にありがとうございます。
このたび、対象のお客様に年会費優遇キャンペーンのご案内を申し上げます。

■ 対象カード：JCBカード
■ 対象者：JCBカードをお持ちのすべての会員様
■ お申込期限：本メール配信日より3日以内
■ 適用条件：キャンペーン期間中にカードご利用回数が合計3回以上であること
■ 優遇内容：翌年度年会費 11,000円（税込）が無料
▼ キャンペーンのお申込みはこちら

https://my.jcb.co.jp/Login

※ お申込みにはMyJCBへのログインが必要です。
※ キャンペーンの詳細・注意事項は上記ページにてご確認ください。

株式会社ジェーシービー
〒107-8686 東京都港区南青山5-1-22

• 1. 2通届いた理由：2ルート同時攻撃の構造
• 2. 送信ルート及び偽装判定
• 3. クローキングの仕組みとフィッシングサイト詳細解析

■ なぜ同じ内容のメールが2通届いたのか？

今回の攻撃は2つの異なる送信インフラを同時に使用するという、手の込んだキャンペーンでした。1通目（relay.aikongl.com経由）は件名の ”[spam｣” というスタンプでお分かりの通りスパムフォルダに振り分けられましたが、2通目（Postmark API経由）はスタンプが無いのでスパムフィルターを突破して受信トレイに到達しています。攻撃者はどちらかが届けばよいという「網を二重に張る」戦術をとっており、フィルターをすり抜ける確率を高めています。

また両メールに添付された .kyl / .fds という見慣れない拡張子のファイルも危険です。当ラボでは安全のため開封せず、存在のみ記録しています。絶対に開かないでください。

■ バリアント① 送信ルート解析

※Receivedヘッダーの全文には受信者側のサーバー情報が含まれるため掲載を控えています。

送信元IP：150.230.208.231（Oracle Cloud　東京リージョン / ap-tokyo-1）

中継ドメイン：relay.aikongl.com（調査時点でDNS消滅・使い捨て確認）

【偽装判定】：正規のJCBからのメールは @jcb.co.jp または @qa.jcb.co.jp から送信されます。本メールの送信ドメイン aikongl.com はJCBとまったく無関係のドメインです。

発信元ロケーション（推定）：日本・東京（Oracle Cloud東京リージョン）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

■ バリアント② 送信ルート解析

送信元IP：132.145.159.120（Oracle Cloud　東京リージョン / ap-tokyo-1）

中継：Postmark API（正規のメール配信サービスを悪用）/ emailonline.hsuctech.com（調査時点でDNS消滅）

DKIM補足：d=hotmail.comのDKIM署名が付与されており、メールクライアントからは「正規署名あり」と判定される。

発信元ロケーション（推定）：日本・東京（Oracle Cloud東京リージョン）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

■ 二段構造：デコイURL → 実フィッシングサイト

【第1段：デコイURL（囮）】

メール本文中のリンクは一見 https://my.jcb.co.jp/Login と表示されていますが、実際のリンク先はデコイ（おとり）URLです。

・バリアント① デコイ：hxxps://bsqjohw[.]com/　→ PCからアクセス：404 Not Found

・バリアント② デコイ：hxxps://jsllfx[.]com/　→ PCからアクセス：404 Not Found

両デコイサイトのIPはいずれも 43.167.180.136（Tencent Cloud APAC） で完全に一致。同一攻撃者が管理する使い捨てドメインです。

【第2段：実フィッシングサイト（スマートフォンのみ表示）】

スマートフォンからアクセスした場合のみ、デコイURLが以下の実フィッシングサイトへリダイレクト（転送）します。

・バリアント① スマホ誘導先：hxxps://129337[.]cn/DUyIiSYx/

・バリアント② スマホ誘導先：hxxps://129337[.]cn/pBnmnHDF/

実フィッシングサイトドメイン：129337.cn（中国ドメイン）

サイトサーバーIP：43.167.209.234（Tencent Cloud APAC）

ロケーション：Tencent Cloud APACリージョン（香港・シンガポール周辺）
Googleマップ：【Googleマップで表示】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

【サイトの状態】：調査時点でスマートフォンからのアクセスに対し、精巧な偽MyJCBログイン画面を表示。MyJCB IDとパスワードの入力を求める。

■ クローキングとはどんな手口か？

クローキングとは、お店に入ってきたお客さんが「セキュリティ会社の調査員か」「一般のお客さんか」によって見せるメニューを変えるようなもの、と考えるとわかりやすいでしょう。攻撃者は端末の情報（スマートフォンか、パソコンか）を自動で判別し、セキュリティ研究者が使うPCには「何もない404ページ」を、一般ユーザーが使うスマートフォンには「偽ログイン画面」を表示します。

この手口により、自動検査ツールやセキュリティ研究者のPCからは「無害なサイト」に見え、フィッシング対策システムによる検知を回避しながら、実際の被害者であるスマートフォンユーザーにだけ詐欺サイトを見せることができます。

■ 注意点と対処法

1. リンクを絶対にクリック・タップしない：メール本文のURLがJCB公式に見えても、実際のリンク先は偽サイトです。スマートフォンでタップすると偽ログイン画面が表示されます。
2. 添付ファイルを開かない：.kyl / .fds など見慣れない拡張子のファイルは、マルウェア（悪意あるソフトウェア）が仕込まれている可能性があります。絶対に開かず、メールごと削除してください。
3. URLバーを必ず確認する：本物のMyJCBは my.jcb.co.jp です。アクセス前にアドレスバーのURLを確認し、少しでも違和感があればすぐに閉じてください。
4. 公式アプリまたはブックマークからアクセス：JCBへのログインは、メールのリンクからではなく、公式アプリまたはあらかじめブックマーク（お気に入り）に登録した公式サイトから行ってください。
5. 公式の注意喚起を確認：JCB公式：なりすましメール対策ページ
6. 入力してしまった場合は即時連絡：もしIDやパスワードを入力してしまった場合は、すぐにJCBカードのカスタマーサービスに連絡し、パスワードを変更してください。

■ 関連記事

当ブログでは過去にもJCBカードを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

JCB関連詐欺メール記事一覧

本レポートの結論

今回の攻撃は「2経路同時送信」「SPF・DKIM両Pass」「スマートフォン限定クローキング」「不審添付ファイル」という4つの脅威が組み合わさった、非常に高度なフィッシングキャンペーンです。PCで確認すると404ページで無害に見えるため、スマートフォンで確認した家族が騙される可能性があります。この記事を家族のLINEグループで共有し、「スマホでJCBのメールが来てもリンクを踏まないで」と一声かけてあげてください。