「【本人確認依頼】ご利用のカードに関する大切なお知らせ」は詐欺！ポケットカードを装いメールアドレスの生存確認を行うハーベスティング攻撃の手口を解説

2026年6月8日

🟡 緊急度：中

【実録】ポケットカード偽装詐欺メールの本当の目的——リンクが無効でもメールを送りつけてくる「ハーベスティング攻撃」の恐ろしい手口を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

ポケットカードを装った「本人確認依頼」メールが確認されました。一見するとフィッシング詐欺（偽サイトへ誘導して個人情報を騙し取る手口）に見えますが、このメールには通常のフィッシングとは異なる特徴があります——メール内のリンクがすでに無効なのです。では、なぜ無効なリンクを含むメールをわざわざ送りつけてくるのでしょうか？その答えが「ハーベスティング攻撃（メールアドレス収穫攻撃）」です。リンクを踏ませることよりも、メールを開封させること自体が目的という、あまり知られていない危険な手口です。

※重要：HTMLメールとして配信されており、開封するだけで「このメールアドレスは実際に使われている」という情報が攻撃者に送信される可能性があります。

緊急性レベル	★★★☆☆（3/5）
偽装工作精度	★★☆☆☆（2/5）技術的偽装は低いが目的が通常と異なる

■ メールヘッダー解析（送信者情報）

件名：【本人確認依頼】ご利用のカードに関する大切なお知らせ

送信者名：“ポケットカード”（表示名のみ偽装）

送信元アドレス：nobody-knows@jlsdw.cn（中国ドメイン。「nobody-knows（誰も知らない）」という開き直った名前が印象的）

送信元IP：101.47.22.220

受信日時：2026年6月7日（日）23:42

SPF認証：None（送信元として許可するサーバーの設定自体が存在しない）

DKIM署名：無効（署名はあるが検証失敗。DKIM_INVALID・DKIM_ADSP_NXDOMAIN）

送信ツール：Foxmail 6（中国製の電子メールソフト）から送信

DNS状態：jlsdw.cnは現在DNS失効（ドメインが使えない状態）——使い捨てドメインと確認

▲ 実際に届いた詐欺メール。「48時間以内に手続きを完了しないとサービス利用に制限が生じる」という典型的な焦らせ文句が使われているが、リンクはすでに無効。

このメールはポケットカードを装った詐欺メールです。リンクが無効でも安心しないでください。開封した時点ですでに攻撃者の目的が達成されている可能性があります。この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

1. 詐欺メール本文（忠実再現）
2. 「ハーベスティング攻撃」とは何か
3. 送信ルート及び偽装判定
4. 注意点と対処法

詐欺メール本文（忠実再現）

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

日頃よりPocketcardをご利用いただきまして、誠にありがとうございます。
アカウント保全措置として、再度のご認証をお願いしております。
以下手順どおりに、必要事項の入力をお願いいたします。

今すぐ手続きを行う（※リンク無効化済み）

手続きが48時間以内に完了しない場合、サービス利用に制限が生じる場合がございます。ご理解のほど、よろしくお願いいたします。

「ハーベスティング攻撃」とは何か

■ リンクが無効なのになぜメールを送るのか

「ハーベスティング（harvesting）」とは英語で「収穫」を意味します。「メールアドレス・ハーベスティング攻撃」とは、大量のメールアドレスの中から「実際に使われているアドレス」だけを収穫・リスト化する攻撃手法のことです。

■ 攻撃の仕組みをわかりやすく説明すると

【準備】大量のメールアドレスを入手する：攻撃者はまず、過去の情報漏洩（個人情報が外部に流出した事故）や、ウェブ上から自動収集したメールアドレスのリストを入手します。このリストには使われていない死んだアドレスも大量に混じっています。
【送信】HTMLメールを大量送信する：HTMLメール（ウェブページのように画像やリンクを含むメール）には「トラッキングピクセル（追跡用の透明な点）」と呼ばれる仕掛けを埋め込むことができます。メールを開封するとこの画像が読み込まれ、攻撃者のサーバーに「このアドレスは開封された＝実際に使われている」という信号が送られます。
【収穫】アクティブなアドレスをリスト化する：開封されたアドレスだけを「生きているアドレス」として別リストに登録します。このリストは闇市場（ダークウェブ）で高値で取引されたり、次の大規模フィッシング攻撃のターゲットリストとして使われたりします。
【結果】より精度の高い攻撃を受けるようになる：「生きているアドレス」と確認されると、より巧妙なフィッシングメールや詐欺メールが届くようになります。今回のメールはその「確認作業」だった可能性があります。

■ 「nobody-knows」という送信者名の意味

送信元アドレス nobody-knows@jlsdw.cn の「nobody-knows（誰も知らない）」という部分は、追跡不可能なことを示す攻撃者の開き直りとも読めます。ドメイン「jlsdw.cn」はすでにDNS失効（インターネット上の住所が消えた状態）しており、使い捨てドメインとして確認されました。

送信ルート及び偽装判定

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダー（メールがどのサーバーを経由してきたかの通過記録）の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from unknown (HELO jlsdw.cn) (101.47.22.220)

【偽装判定】：
正規のポケットカードからのメールは pocketcard.co.jp ドメインから送信されます。本メールの送信元 nobody-knows@jlsdw.cn は中国ドメインであり、ポケットカードとはまったく無関係です。SPF設定が存在せず、DKIMも無効であることから、メール認証を一切通過していない粗雑な偽装です。

送信元IP：101.47.22.220（中国）
Googleマップ：【位置情報を確認する（中国・北京付近）】

注意点と対処法

■ このようなメールが届いた場合の対処法

「リンクが無効だから安全」は間違い：リンクが無効でもHTMLメールを開封した段階でトラッキングピクセルが読み込まれ、アドレスが「生存確認済み」としてリスト化される可能性があります。
メールの自動画像読み込みをオフにする：メールソフトやアプリの設定で「外部画像を自動的に読み込まない」に設定することで、トラッキングピクセルによる追跡を防ぐことができます。
不審なメールは開かずに削除：送信元アドレスが @pocketcard.co.jp 以外であれば、開封せずそのままゴミ箱に移すのが最善です。
今後より多くの詐欺メールが届く可能性：すでに開封してしまった場合、今後さらに巧妙な詐欺メールが届く可能性があります。より一層、不審なメールのリンクをクリックしないよう注意してください。
公式注意喚起の参照：フィッシング詐欺メールにご注意ください（ポケットカード公式）

■ 関連記事

当ブログではさまざまな詐欺メールを取り上げています。あわせてご覧ください。
ポケットカード関連記事一覧

本レポートの結論

本件はポケットカードを装いながら、フィッシングサイトへの誘導よりも「メールアドレスの生存確認」を主目的とした可能性が高いハーベスティング攻撃です。「リンクが無効だから安全」と思って開封してしまうと、攻撃者に「このアドレスは実際に使われている」と知らせてしまう可能性があります。その結果、より精巧な詐欺メールのターゲットとして登録されます。不審なメールは開封する前に送信元アドレスを確認し、心当たりがなければ開かずに削除する習慣をつけましょう。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

調査日：2026年6月8日／ Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元：ip-sc.net