今回ご紹介するのは、誰もが一度は利用したことがあるであろう身近なコンビニ「ローソン」を騙る（偽物として名前を悪用する）非常に巧妙なメールです。なお、これまでに当ラボが解析してきた関連性の高い過去の不審メールにつきましては、ページ最下部に設置してあります「データーベースアーカイブ（過去の事例をまとめた保管庫）」からいつでもまとめて検索・閲覧いただけます。

今回の手口は「未受取のデジタルギフトがある」という人間の心理の隙を突いた非常に卑劣なものです。大切なご家族や周りの方々が騙されてしまう前に、ぜひこの解析情報を共有して未然に防いでくださいね。

【実録】「【ローソン】重要：未受取デジタルギフト有効期限のご案内」メールの手口を徹底分析！偽サイトへの誘導と偽装ルートの真相を公開

この手の不審なメールは、単に「開いただけ」であれば、すぐにクレジットカード情報が盗まれるといった直接的な金銭被害（実質的な被害）が発生するわけではありません。

しかし、今回のメールのように内部に画像を埋め込むための仕組みや、開封したことを検知する特殊なプログラム（開通通知機能）が仕込まれている場合、メールを開いた瞬間に「このメールアドレスは現在も使われている（生きて存在している）」という情報が、犯人側のサーバーへ自動的に送信されてしまう危険性（アドレス生体通知）があります。

これが検知されてしまうと、「反応がある優良なカモのリスト」として、今後さらに大量の詐欺メールや悪質なスパムの送信対象リストに登録されてしまう可能性が極めて高くなります。

つまり、身に覚えのない不審なメールを発見した際は、興味本位で開かずに「そのままゴミ箱へ入れて完全に削除する」のが一番安全であるということです。

【送信ドメインのIPアドレス解析結果】
35.219.142.224

受け取り期限を「明日まで（2026年5月31日）」と設定して慌てさせようとする卑劣なレイアウトになっています。

LAWSON
■■ 様

現在システムにてお預かり中の「ローソンｅチケット」につきまして、ご利用有効期限が間近に迫っております。

対象：デジタルギフト（お買物券）
状態：未受取（システム保管中）
期限：2026年5月31日まで

● 本ギフト券はローソン全店でご利用いただけます（一部対象外あり）。
● 有効期限切れによる再発行はいたしかねます。
● 本URLはお客様専用です。第三者への転送はお控えください。

株式会社ローソン
© Lawson, Inc. All Rights Reserved.

────────────────────────────────────────

メール全体のデザインを見てみると、背景に薄いグレーの枠線を使い、フッター（下部）には公式と同じ著作権表示「© Lawson, Inc.」を記載するなど、一見すると本物の案内システムに見えるよう細工されています。

宛名部分には、受信者個人のプライバシーに配慮したような「■■ 様」というマスク処理が施されていますが、これは個別の名前を知らない犯人が、誰にでも使い回せるように最初から固定の記号で記述しているだけです。

犯人の最大の目的は、本文中央にある「チケットを受取・表示する」というリンクをクリックさせ、ローソンとは全く関係のない海外のフィッシング詐欺サイト（偽の情報を盗み取るページ）へと誘導することです。

つまり、「無料のギフト券がもらえる」と錯覚させてリンクを踏ませ、最終的にクレジットカードの情報や個人情報を根こそぎ盗み取ろうとする罠であるということです。

メールがどのようなインターネット上の経路をたどって送られてきたかを記録した「メールヘッダー」を細かく分析しました。

なお、実際の生データ（ヘッダー情報）のスクリーンショットには、みなさんのメールを受信しているサーバーの固有情報や、大切な契約セキュリティ情報といった極めて重要なプライバシーが含まれているため、安全性を考慮し本記事上での直接の画像掲載は控えさせていただきます。その代わりとして、重要な技術的痕跡を以下に正確に抽出しました。

【抽出した認証データ：Received-SPF】

Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=35.219.142.224; helo=web.whggbd.com; envelope-from=lxkfxb@sshvmatn.web.whggbd.com; receiver=*****@■■■■■■■.jp

【時系列で最古の受信記録：最下部のReceived】

Received: from web.whggbd.com (whggbd.com [35.219.142.224]) by dmail04.■■■■■■.net (Postfix) with ESMTP id BB7C54245487 for <*****@■■■■■■■.jp>; Fri, 29 May 2026 20:37:12 +0900 (JST)

【解説】
ヘッダーから抽出した結果、このメールの送信ドメイン（送信元の所属）に関するセキュリティ認証「SPF」は「Pass（合格）」となっています。しかし、これは「ローソンの公式サーバーから送られたから合格」という意味では決してありません。

犯人があらかじめ用意した使い捨ての詐欺用ドメインである「`web.whggbd.com`」という環境において、そのドメインのルール通りに正しくサーバーから送信されたため、形式的に「認証自体は問題なく通ってしまった」というだけに過ぎません。

時系列で一番古い（犯人が最初にメールをインターネットへ放り投げた）出発地点の記録を調べると、送信に使用されたコンピューターの足跡（IPアドレス）は「35.219.142.224」であることがはっきりと記録されています。

公式の送信ドメインや受信者の独自サーバー情報（ドメイン名・契約アドレスなど）は、セキュリティ保持のためすべて「■■■■■■」に置き換えて解析を実施しています。

メール送信者の名乗っている「ローソンのお客様窓口」という日本の組織と、実際にメールが送信されてきた物理的な発信源（IPアドレス）の整合性を検証します。

メールの送信元ドメインの情報を追跡した「メアドIP」と、ヘッダーの最下部から突き止めた「ReceivedのIP」は、どちらも完全に一致する【35.219.142.224】を指し示しています。これにより、偽装経路の隠蔽（途中で別のサーバーを経由させて発信源をごまかす行為）はなく、このIPアドレスを持つ特定のサーバーから直接送られてきたことが確定しました。

※注意：IPアドレスに紐づく地理的な位置情報（ロケーション）は、ネットワークの割り当て変更や中継システムの都合により刻々と変化するため、あくまで解析時点の有力な参考データとなります。

日本の大手企業であるローソンが、国内のお客様へ向けて配信する重要な案内メールを、わざわざアメリカ国内に配置された出所不明のクラウドサーバーを経由して送信する理由がありません。

つまり、この送信ルートのデータこそが、公式を騙った海外発信のなりすましフィッシングメールである決定的な証拠であるということです。

メール内のリンクをクリックした際、トレンドマイクロ社の「ウイルスバスター クラウド」が即座に「このWebサイトは、安全ではない可能性があります」と巨大な赤いバツマークを表示し、フィッシング詐欺サイトとして遮断に成功した画面です。

警告を無視して進む、あるいは特定の環境からアクセスした場合に表示される「アクセス拒否 リクエストがブロックされました。後ほどお試しください。」と書かれた真っ白な画面です。

一見すると、サイト自体がすでに閉鎖されている、あるいはファイアウォール（不正侵入を防ぐ防壁）によって守られている真っ当なサイトのバグのように見えますが、これこそが近年の詐欺グループが好んで使う「クローキング（覆い隠すという意味の技術）」という非常に悪質な隠蔽工作です。

彼らは、セキュリティ会社の調査ロボットや、パソコン（Windows/Mac）からのアクセスを検知すると、この「アクセス拒否」という嘘の画面をわざと表示させて「このサイトは活動していませんよ」と安全を装います。

その一方で、メール本文に書いてあった指示通り「スマートフォン（iPhoneやAndroid）からアクセスした被害者の画面」にだけは、本物そっくりのログイン画面やクレジットカード情報入力欄を表示させるようにシステムを動かしているのです。

つまり、「アクセスが拒否されたから安全なエラーページだ」と油断させて、セキュリティ機関の目をごまかそうとする極めて狡猾な偽装工作であるということです。

このような詐欺メールの被害に遭わないための対処法は極めてシンプルです。

まず、メール本文にある「スマートフォンよりアクセスしてください」といった、アクセスする機器をわざわざ指定してくるような不自然な指示には絶対に絶対に従わないでください。これは先ほど解説したクローキングの罠に誘導するための決まり文句です。

万が一、怪しいと感じながらもリンクをクリックしてしまい、クレジットカード番号やセキュリティコード、パスワード等を入力してしまった場合は、一刻も早く以下の対処を行ってください。

1. クレジットカード会社への緊急連絡：
カードの裏面に記載されている電話番号へ連絡し、「フィッシングサイトに情報を入力してしまった可能性がある」と伝えて、すぐにカードの利用を止めてもらい、再発行の手続きをしてください。

2. 各種パスワードの変更：
もしローソンのWebサービス（ローソンWEB会員など）のパスワードや、他サイトで使い回している共通のパスワードを入力してしまった場合は、すぐに新しい複雑なパスワードへと変更手続きを行ってください。

少しでも怪しいと感じたキャンペーンやデジタルギフトの案内については、届いたメールのリンクからではなく、ご自身でスマホの「お気に入り（ブックマーク）」に登録してある公式サイトや、公式アプリのアプリ内通知から状況を確認する癖をつけましょう。

▼ ローソン公式によるフィッシング注意喚起ページはこちらです


【重要】ローソンチケットを騙った不審なメールおよび架空WEBサイトにご注意ください（公式注意喚起URL）

今回はローソンを装い「未受取のデジタルギフト」という名目で誘惑してくる極めて悪質なフィッシング詐欺メールの裏側をシステム的に暴いてまいりました。

こうした詐欺の手口は日を追うごとに変化し、クローキングのように一見すると安全なエラーページに見せかけるなど巧妙化の一途をたどっています。「自分は大丈夫」と思っていても、ふとした油断や、スマートフォンの小さな画面で見落として騙されてしまうケースが後を絶ちません。

身近な大切な人が騙されて、手遅れになって悲しい思いをする前に、この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてくださいね。