【必読】「未開封のデジタルギフト」は真っ赤な偽物!ローソン装う詐欺メールの解析結果
今回ご紹介するのは「ローソン」を騙るメールですが関連記事もページ末尾に記載のデーターベースアーカイブからご覧頂けます。
【実録】ローソンを装う「最終ご案内」デジタルギフト詐欺メールを徹底分析!サーバー保管期限で焦らせる巧妙なフィッシング手口を公開
みなさん、こんにちは。街の頼れるIT専門家です。
今日もみなさんの大切な情報と資産を守るため、最新のサイバー脅威を分かりやすく紐解いていきましょう。
今回、当研究所に極めて巧妙なフィッシング(情報を盗み出す偽サイト)メールが持ち込まれました。
大手コンビニチェーンの「ローソン」を名乗り、「デジタルギフト(お買物券)の期限が切れる」と偽って不安を煽る手口です。
わずか数分の間に件名や差出人名を変えて何度も送りつけてくるなど、執拗な配信傾向が見られます。
まずはその全貌をしっかりと確認し、罠に落ちないための知識を身につけましょう。
| 不審メール解析 総合評価 | |
|---|---|
| 緊急性 | ★★★★☆ (4/5:非常に高い) |
| 件名(メールタイトル) | [spam] 【ローソン】最終ご案内:未開封の「デジタルギフト(お買物券)」に関する重要なお知らせ ※メールサーバー側で迷惑メール(スパム)の判定を受け、自動的に「[spam]」という警告タグが付与されています。システムが「これは危険なメールだ」と手前に教えてくれている状態ということです。 |
| 送信者名とメールアドレス | “ローソンギフトご案内窓口” <HABWQY@vurvbogw.client.ncyamy.com> |
| 受信日・時刻 | 2026年5月29日 金曜日 08:49:33(日本時間) |
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
1. 不審メールの受信状況と視覚的特徴(スクショエリア)
【メール本文のスクリーンショット】
メールの画面(スクリーンショット)を確認すると、非常にすっきりとした見やすいレイアウトで作られています。
ローソンの公式ロゴマークなどの画像は添付されておらず、文字の装飾や太字、カラー文字(赤色の期限表示など)を効果的に使って、ユーザーの心理を「早くクリックしなければ」と焦らせるデザインになっています。
一見するとシンプルで本物のように思えてしまいますが、これが罠の恐ろしいところです。
※なお、本記事の後半で詳しく触れる「メールヘッダー(メールの配送ルートが記録された裏情報)」については、受信者個人のプライベートなサーバー情報が多数含まれており、セキュリティ保護の観点から画像の掲載を差し控え、テキストによる抜粋解析のみとしています。
2. 受信メール本文の完全再現
メールを開いてしまった際の被害を避けるため、実際の不審メール本文を以下に極めて忠実に再現しました。
(※セキュリティの観点から、本文内のURLの一部は伏せ字に変更し、クリックできないよう無効化しています)
■■ 様
いつもローソンをご利用いただき、誠にありがとうございます。
お客様のアカウント宛に配信されております
「ローソン デジタルギフト(お買物券)」につきまして、
現在システム上で【未開封(お受取未完了)】の状態が
続いていることが確認されましたため、最終のご案内をお送りいたします。
誠に恐れ入りますが、該当ギフトのサーバー保管期限(お受取期限)は
【2026年5月31日】までとなっております。
期限内に専用リンクを開いてお受け取りいただけない場合、
対象のギフトデータはシステムより自動的に削除(失効)され、
以降は店舗でのご利用がいかなる場合もできなくなります。
せっかくのデジタルギフトが無効となってしまう前に、
下記の専用URLよりアクセスし、未開封のギフトを開いて
お買い物にご利用いただけるバーコードをご表示ください。
▼ 未開封のデジタルギフトを開く・バーコードを表示する
ttps://login.ea●●●.com/?28penaZJqZ2H
※上記のリンクへスマートフォンにてアクセスしていただきますと、
全国のローソン店舗のレジで読み取れるバーコードが表示されます。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◆ ご利用にあたっての注意事項
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・本ギフト券は、日本国内のローソン、ナチュラルローソン全店にて
ご利用いただけます(一部対象外の商品・サービスがございます)。
・フィーチャーフォン(ガラケー)では正常にバーコードが表示されない
場合がございます。必ずスマートフォンよりアクセスしてください。
・一度削除(失効)されたギフトデータの復元および再発行は
いたしかねますので、十分にご注意ください。
—————————————————————–
■ ご確認事項
・上記のURLはお客様専用の受取リンクとなります。
第三者への転送、SNSへの公開は固くお断りいたします。
・すでにご利用済みのお客様におかれましては、データ反映の
タイムラグとなりますため、本案内をご容赦ください。
・本メールは送信専用システムより自動配信されております。
—————————————————————–
■ 発行元
株式会社ローソン
ギフトご案内窓口
公式サイト:lawson.co.jp
Copyright (C) Lawson, Inc. All Rights Reserved.
一見すると、親切な「お買物券の有効期限通知」のように思えますが、実は大きな罠が隠されています。
メールを開いた(プレビューした)だけで実質的な金銭被害が出るわけではありませんが、画像付きメールの場合や「開通通知」が仕込まれている場合、送信者側に「このメールアドレスの持ち主は今メールを読んでいる(実在するアカウントである)」という「アドレス生存通知」が届いてしまうリスクがあります。
そうなると、今後さらに大量の詐欺メールの送信対象リストに入れられてしまう可能性が高くなります。
つまり、身に覚えのないギフト通知は、開かずに無視するか、すぐに削除するのが最善であるということです。
3. 送信者情報の精査と配送ルートの解析
次に、このメールがどこから送られてきたのか、送信者のメールアドレスと「メールヘッダー(通信記録)」から解析してみましょう。
公式であるはずのローソンが、このような無関係のアドレスを使うことは絶対にありません。
| 送信元・認証情報の詳細 | |
|---|---|
| 表示上の差出人 | ローソンギフトご案内窓口 <HABWQY@vurvbogw.client.ncyamy.com> |
| 送信ドメインのIP | 35.219.169.176 (米国のホスティングサービス事業者) |
| Received-SPF | pass (送信ドメイン「ncyamy.com」として正規に認証されています) |
| DKIM署名 | pass (改ざん検知テストをクリアしています) |
メールの配送ルートを示す「Receivedヘッダー」のうち、送信元の足跡が刻まれたもっとも古い記録(最下部のデータ)を抽出しました。
(※セキュリティ保護のため、中継された日本のレンタルサーバー名や受信者のメールアドレスは伏せ字にしています)
by dmai01.●●●.net (Postfix) with ESMTP id A94DA44CAAA
for <*****@●●●.jp>; Fri, 29 May 2026 08:49:34 +0900 (JST)
【偽装判定と解説】
ここが重要なポイントです。このメールはSPF認証もDKIM認証も「pass(成功)」しています。
「認証が成功しているなら安全では?」と思ってしまいがちですが、これは「差出人が偽りのドメイン(ncyamy.com)を自ら用意し、そのドメインから正しく送信した」ということを意味しているに過ぎません。
公式のローソン(lawson.co.jp)から送られたメールではなく、犯人が用意した無関係な使い捨てドメインから送信されているため、完璧なドメイン偽装メール(詐欺メール)であると断定できます。
つまり、認証が成功しているからといって安心せず、アドレスのドメイン名そのものが本物かどうかを見極める必要があるということです。
| 最下部 Received の通信元IPロケーション | ||
|---|---|---|
| IPアドレス | 地図情報(Google マップ) | 詳細情報リンク |
| 35.219.169.176 | 緯度: 37.751 / 経度: -97.822 | ip-sc.netで確認 |
※IPアドレスが示す位置情報は、プロバイダの管理拠点の場所であり、犯人が実際に潜伏している場所とは限りません。また、ロケーション情報は刻々と変化するため、あくまで調査時点の参考値となります。
4. 誘導先詐欺サイトの検証と「クローキング」の手口
メール本文に配置されたリンク(URL)の危険性と、アクセスした際に何が起きるのかを詳しく解説します。
| リンク先サイトの稼働状況およびドメイン詳細 | |
|---|---|
| メール内の表記URL | ttps://login.ea●●●.com/?28penaZJqZ2H (一部伏せ字にしています) |
| 実際のリンク先ドメイン | login.eamkj.com |
| ドメイン割り当てIP | 156.251.20.150 |
| IPロケーション(国・地図) | 日本(東京) 緯度: 35.69 / 経度: 139.69 | ip-sc.netで確認 |
| サイトの稼働状況 | 稼働中(防御フィルター作動状態) |
不審なアクセス制限(セキュリティ警告・遮断画面)
【URLが極めて危険と判断できるポイントと解説】
このサイトに特定の環境(パソコンなど)からアクセスを試みると、画面には「アクセス拒否 リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」という、一見セキュリティシステムが遮断したかのようなエラーページが表示されます。
実は、これこそが犯人の仕掛けた罠であり、「クローキング(Cloaking)」と呼ばれる巧妙な欺瞞(ぎまん)工作の証拠です。
クローキングとは、アクセスしてきた相手を自動的に判別し、セキュリティ調査機関やパソコンからの接続には「アクセス拒否」のダミー画面を見せ、一般のスマートフォンからの接続の時だけ、本物そっくりの偽ログイン画面(フィッシングページ)を表示させる手口のことです。
これにより、調査の手から逃れ、フィッシングサイトを少しでも長生きさせようとしています。
つまり、画面に「ブロックされました」と表示されても、それは安全なサイトという意味ではなく、裏で悪質な詐欺ページが巧妙に隠蔽されているということです。
5. 安全を守るための注意点と対処方法
| 危険度判定と今後の対策 | |
|---|---|
| 危険度評価 | ★★★★☆ (4/5:非常に危険) |
| もしアクセスしてしまったら | 絶対にIDやパスワード、クレジットカード情報などを入力してはいけません。 万が一、クレジットカード番号を入力してしまった場合は、すぐにカード会社へ連絡してカードの一時利用停止の手続きをとってください。 |
| ローソン公式の注意喚起 | 公式の窓口でも、キャンペーンなどを名乗った不審なメールやSNSに関する注意喚起が行われています。 詳細な最新情報は、必ず以下の公式アナウンスをご確認ください: ローソンのキャンペーンなどを騙った偽装SNSにご注意ください(ローソン公式サイト) |
6. まとめ
今回のローソンを騙る「デジタルギフト未開封通知」は、「数日後に自動削除される」という強い時間制限(カウントダウン効果)を利用し、慌てたユーザーにスマートフォンでURLをクリックさせようとする、非常に計算された犯罪行為です。
公式企業が、ランダムな英数字で構成された奇妙なドメインのURLから、個人情報の入力を求めることは絶対にありません。
「何かおかしい」と感じる直感を大切にし、焦らずに一度立ち止まる習慣を身につけましょう。
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。
📌 同じ手口の関連記事:【実録】セブンイレブンを騙る詐欺メールも確認されています→こちら
