【実録】「MyJCB 3Dセキュア再認証」は罠!Oracle Cloud発・SPF/DKIMフルパス・個別追跡URLで本物そっくりの偽ログイン画面へ誘導するフィッシングを解析

HL-META: date=2026-06-11 | brand=MyJCB(JCBカード会員向けサービス偽装) | sender_domain=r9t1y3u5.zh-join-aisport.com | sender_geo=Oracle Cloud(140.238.45.197) | site_geo=VPS(23.94.199.177) | spf=pass | dkim=pass | cloaking=yes(日本語中間確認画面→偽ログイン)

🔴 緊急度:高

【実録】「MyJCB 3Dセキュア再認証」は罠!Oracle Cloud発・SPF/DKIMフルパス・個別追跡URLで本物そっくりの偽ログイン画面へ誘導するフィッシングを解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「【MyJCB】セキュリティシステム更新に伴う再認証の手続き」という件名のフィッシングメールが12時台に6通連続で着信しました。メール本文はMyJCBの公式デザインを精巧に模倣しており、「3Dセキュア認証(本人認証サービス・JCB Secure)の有効期限が切れている」という文言で再認証を促します。送信インフラにはOracle Cloudを使用してSPF・DKIMの両認証をフルパスさせ、誘導先URLには受信者ごとに個別生成されたタイムスタンプと署名ハッシュが埋め込まれた高度な追跡型システムが採用されています。

※重要:偽ログイン画面の完成度が非常に高く、URLを確認しないと本物と区別がつきません。MyJCBのIDとパスワードを入力した場合、即座に攻撃者に渡ります。

緊急性レベル ★★★★★ (5/5)
偽装工作精度 ★★★★★ (5/5) ※SPF/DKIMフルパス・偽ログイン画面の完成度が極めて高い

■ メールヘッダー解析(送信者情報)

件名:【MyJCB】セキュリティシステム更新に伴う再認証の手続き

送信者表示名:MyJCB

送信元アドレス:noreply@r9t1y3u5.zh-join-aisport.com

⚠️ 送信元ドメインに注目:r9t1y3u5.zh-join-aisport.com は本物のJCB(jcb.co.jp)とは一切無関係の使い捨てドメインです。先頭の r9t1y3u5 はランダムな文字列で、ドメインを使い分けることで同一グループが複数のキャンペーンを同時展開していることがうかがえます。

受信日時:2026年6月11日(木)12:18(同日12:03〜12:18の15分間で6通着信)

送信元ドメインIP:140.238.45.197(Oracle Cloud Infrastructure

SPF認証:Pass(通過) — Oracle CloudのIPがドメインのSPFレコードと一致

DKIM署名:Valid(有効) — d=r9t1y3u5.zh-join-aisport.com で署名あり

発信元ロケーション:Oracle Cloud Infrastructure(日本リージョン含む)
緯度・経度:35.6895, 139.6917(東京付近)
【Googleマップで表示】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

このメールは偽物です。「3Dセキュア認証を実行する」ボタンは絶対にクリックしないでください。この情報を家族・知人のLINEグループで共有して被害を防いでください。

📲 LINEで家族に共有する

詐欺メール本文の再現

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

差出人:MyJCB <noreply@r9t1y3u5.zh-join-aisport.com>
件名:【MyJCB】セキュリティシステム更新に伴う再認証の手続き

━━━━━━━━━━━━━━━━━━━━━━
MyJCB Spot Mail
━━━━━━━━━━━━━━━━━━━━━━

【重要】3Dセキュア認証 再確認のお願い

平素よりJCBカードをご利用いただき、誠にありがとうございます。

お客様のカードに紐づく3Dセキュア認証(本人認証サービス・JCB Secure)の
有効期限が切れております。
セキュリティ向上の観点から、再認証をお願いしております。
再認証が行われない場合、一部のインターネット決済サービス
(オンラインショッピング等)がご利用いただけなくなる可能性がございます。

 要対応期限:2026-06-11
 対応内容:3Dセキュア認証(本人認証サービス)の再登録・認証手続き

認証手続きは下記の専用ボタンより認証画面へお進みください。
(※セキュリティ保護のため、必ずご自身でブラウザを開き直接アクセスするか、
JCB公式アプリからお手続きください)

【3Dセキュア認証を実行する】← ※このボタンが偽サイトへの入口

⚠️ 本メールに心当たりがない場合や、不審な点がある場合は直ちにJCBカードコール
センターまでご連絡ください。

株式会社ジェーシービー
東京都港区南青山5丁目1番22号 青山JCBビル
JCBインフォメーションセンター(案内窓口):0570-00-3333(有料)
* 紛失・盗難のご連絡は、24時間年中無休で承っております。

Copyright © JCB Co., Ltd. All Rights Reserved.

🔍 このメールの「信用させる」手口ポイント

  • 「3Dセキュアの有効期限が切れている」という嘘:3Dセキュア(JCB Secure)に「有効期限」はありません。このような通知がJCBから届くことはないため、即座に詐欺と判断できます。
  • 「要対応期限:2026-06-11(当日)」:受信した当日を期限に設定して今すぐ行動させようとする焦りの演出です。
  • 「再認証しないとオンラインショッピングが使えなくなる」:カードが使えなくなるという具体的な不利益を提示して、冷静な判断を奪います。
  • 「必ずご自身でブラウザを開き直接アクセスするか」という注記:セキュリティ意識の高いユーザーを安心させるための巧妙な文言。しかしボタン自体がフィッシングリンクです。
  • JCBの実在する住所・電話番号を正確に記載:フッターの情報は本物のJCBと一致しており、見た目の信頼性を高めています。


▼ 届いた詐欺メール。MyJCBの公式デザインを精巧に模倣しており、見た目だけでは本物との区別が極めて困難

【解説】2段階誘導+個別追跡URLの手口

■「3Dセキュア認証を実行する」ボタンをクリックすると何が起きるか

【ステップ1】「安全な接続を確認しています」中間画面(日本語版)

「ブラウザのセキュリティを確認中です。そのままお待ちください。」という日本語の中間画面が表示される。画面をクリックまたはタップすると次のステップへ進む。セキュリティスキャナーによる自動解析を排除するためのフィルターです。

【ステップ2】偽MyJCBログイン画面

本物のMyJCBログイン画面と見分けがつかない偽ページが表示される。MyJCB IDとパスワードを入力すると攻撃者に盗み取られる。その後、クレジットカード番号・有効期限・セキュリティコードの入力も求められる可能性があります。

🔍 個別追跡URLとは:
誘導先URL(hxxps://zh-tv-aitiyu[.]com/mWAJVFKD/?ts=1781147982068&sig=6618fe49…)には、ts(タイムスタンプ)と sig(署名ハッシュ)という2つのパラメータが含まれています。
ts=1781147982068 はメール送信時刻を示すミリ秒単位のタイムスタンプで、sig はそのリンクが特定の受信者に対して発行されたことを証明する署名です。つまり受信者ごとに異なるURLが生成されており、攻撃者は誰がいつリンクをクリックしたかを追跡できる仕組みになっています。この手口は大量送信スパムではなく、標的型攻撃に近い精度を持つことを示しています。


▼ ステップ1:「安全な接続を確認しています」という日本語の中間画面。セキュリティスキャナーの自動解析を妨害するためのフィルターで、画面をクリックすると偽ログイン画面へ進む


▼ ステップ2:偽のMyJCBログイン画面。本物と見分けがつかない完成度だが、URLを確認するとjcb.co.jpとは全く異なるドメインであることがわかる

フィッシングサイト詳細解析

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://zh-tv-aitiyu[.]com/mWAJVFKD/?ts=(タイムスタンプ)&sig=(署名ハッシュ)

ドメイン:zh-tv-aitiyu.com

⚠️ 「zh-」ドメインの連続使用:今回の送信元(zh-join-aisport.com)・フィッシングサイト(zh-tv-aitiyu.com)はいずれも「zh-」で始まるドメインです。当ブログが先日報告した偽ブランド品スパムキャンペーン(zh-jiuyou-vip.com / zh-official-28laps.com等)と同一の命名規則であり、同一グループが複数の詐欺キャンペーンを並行展開している可能性が高いです。

サイトサーバーIP:23.94.199.177(逆引き:vmta7.qwqlqo.com = VPSサーバー)

ロケーション:米国(37.7749, -122.4194 サンフランシスコ付近)
【Googleマップで表示】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

注意点と対処法

■ このメールが届いたら

  1. 「3Dセキュアの有効期限が切れた」通知は100%詐欺:JCBが3Dセキュアの有効期限切れをメールで通知することはありません。このような通知が届いても絶対に対応しないでください。
  2. メール内のボタン・リンクは一切クリックしない:JCBに関する手続きは必ず公式アプリまたはブックマークから直接アクセスして行ってください。
  3. 中間の「安全確認」画面が出ても止まる:「安全な接続を確認しています」という画面が出た場合、それは偽ログイン画面への誘導フィルターです。URLが公式ドメインでなければ即閉じてください。
  4. もしIDとパスワードを入力してしまった場合:直ちにMyJCBの正規サイト(myjcb.jcb.co.jp)からパスワードを変更し、JCBカードコールセンター(0570-00-3333)に連絡してください。
  5. JCB公式のフィッシング注意喚起:JCB:フィッシング詐欺にご注意ください

■ 関連記事

同じ「zh-」系ドメインを使った偽ブランド品スパムキャンペーンも当ブログで報告しています。あわせてご覧ください。

【実録・同一犯確定】ロレックス・シャネル・パテック80%OFFは全部偽物!3ブランド同時スパムキャンペーンの正体を送信元IPで暴く

KAGOYA 関連記事一覧

本レポートの結論

「3Dセキュア再認証」を装うMyJCBフィッシングメールです。Oracle Cloudを送信インフラに使いSPF・DKIMの両認証をフルパスさせ、受信者ごとに個別生成した追跡URLで開封・クリックまで把握する高度なシステムが採用されています。送信元・フィッシングサイトともに「zh-」で始まるドメインを使用しており、当ブログが同日報告した偽ブランド品スパムキャンペーンと同一グループの関与が疑われます。3Dセキュアの有効期限切れをメールで通知するサービスは存在しません——このような通知が届いてもリンクをクリックせず、必ず公式アプリから確認してください。この記事を家族のLINEグループで共有して、「JCBのメールも偽物がある」と伝えてあげてください。

調査日:2026年6月11日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る

JCB,クレジットカード関連,詐欺メール3Dセキュア詐欺,JCB,MyJCB偽装,OracleCloud,フィッシングメール,注意喚起,詐欺メール,追跡型URL

Posted by heart