【実録】「システムメンテナンスに伴うポイント復旧のご案内」不審メールを徹底解析!dポイント・WAON同時多発の罠を公開
最近のスパム動向「Gemini生成:今回ご紹介するのは「dポイント」および「WAON POINT」を騙る(かたる)メールですが、これまでにHeartland-Labが解析した類似の迷惑メールやセキュリティレポートなどの関連記事も、ページ末尾に記載のデータベースアーカイブからご覧頂けます。」
【実録】「システムメンテナンスに伴うポイント復旧のご案内」を徹底分析!dポイント・WAON同時多発に隠されたフィッシングキットの手口を公開
いつも当研究所(Heartland-Lab)のセキュリティレポートをご覧いただき、ありがとうございます。
私たちの日常にすっかり定着しているお買い物ポイントですが、いま、その大切な資産を根こそぎ奪い取ろうとする極めて不審なメールが同時多発的に観測されています。
今回は、誰もが一度は目にしたことがある有名な2つのブランド、「dポイント」と「WAON POINT」の偽メールが、全く同じタイミングで届いたという決定的な証拠(ログデータ)をもとに、その裏側に潜む驚きの手口を詳しく解説いたします。
実はこれらのメール、一見すると別々の会社から届いたように見えますが、裏側では「同じ型紙」で作られた双子のようなスパム(迷惑メール)なのです。
今回のレポートを最後までお読みいただくことで、なぜこのような偽メールが同時に届くのか、その仕組みがすっきりとご理解いただけるはずです。
ご自身の大切なポイントを守るためだけでなく、身の回りの大切な家族やご友人が騙されてしまう前に、ぜひこの情報を共有して防犯に役立ててください。
| ⚠️ 開封時のセキュリティリスクについて(生体反応通知の危険性) これらの不審なメールは、単に「開いて中身を見ただけ」であれば、ただちにスマートフォンがウイルスに感染したり、電子マネーが盗まれたりといった実質的な金銭被害が発生することはありません。 しかし、安心は禁物です。送信されたメールが画像付きのHTMLメール(装飾されたメール)形式である場合、メールを開いた瞬間に、犯人側のサーバーへ「このメールアドレスの持ち主は、今メールを開きました」という開通通知(アドレス生体通知)が自動的に送信されてしまう仕組みが仕込まれているケースがあります。 つまり、「このアドレスは現在も使われている生きたアカウントである」という情報が犯人に伝わり、今後さらに巧妙な詐欺メールの送信リスト(ターゲット名簿)に入れられてしまう可能性があります。身に覚えのない不審なタイトルを見かけた際は、不用意に開封せず、そのままゴミ箱へ破棄することが最も安全な対策です。 |
| 📊 今回の不審メール総合評価 | |
| 緊急性 | ★★★★☆(4/5) 「ポイントの失効」や「システムトラブルによる復旧」という、ユーザーが最も焦りやすい心理を突いてくるため、非常に高い警戒が必要です。 |
| 危険度 | ★★★★★(5/5) 誘導先の偽サイト(フィッシングサイト)でログイン情報やクレジットカード情報を入力してしまうと、即座に不正利用に直結するため最大級の危険性があります。 |
1.【実録データ①】dポイントを騙る不審メールの全貌
まずは、スマートフォンをお持ちの方なら多くの方が保持している「dポイント」の偽メールから解析を始めましょう。
🔍 基本受信情報
| 件名(Subject) | 【d POINT】システムメンテナンスに伴うポイント復旧のご案内 |
| 送信者名(From) | “dポイントクラブ セキュリティセンター” <kijqvs@dumzhoql.webmail.jr211.com> |
| 受信日(Date) | 2026年5月28日 |
| 受信時刻(Time) | 08:53:08 |
※メールソフトやセキュリティサーバーのセキュリティ判定により、件名の先頭に「[spam]」という迷惑メールの識別マークが自動で付与される場合がありますが、今回のログではすり抜けて通常の受信箱に入り込んでいる痕跡が見られます。
【ヘッダー情報に関するお詫び】
メールの裏側に記録されているヘッダー情報(配送ルートの記録)には、受信者様が利用しているメールサーバーの具体的な固有情報(ホスト名や内部用ネットワーク設定など)が詳細に含まれております。これらをそのまま公開することは、二次的なセキュリティリスク(脆弱性の露呈など)に繋がる恐れがあるため、当研究所ではヘッダーそのもののスクリーンショット掲載は見合わせ、安全に配慮してテキストから重要箇所のみを抽出・伏字加工した上で掲載しております。
| 📸 【メール本体のスクリーンショット】
|
💡 本文を見た専門家の感想・デザインの特徴:
画面上部にはdポイントの公式ロゴと同じ鮮やかな赤色の帯が配置され、フォントのスタイルや文末の「© NTT DOCOMO, INC. All Rights Reserved.」というコピーライトに至るまで、本物の公式通知メールを丸ごとコピーして作成された極めて精巧なデザインとなっています。
不自然な日本語は見当たらず、一般の方がスマートフォンでパッと見ただけでは、偽物だと見破ることは極めて困難な仕上がりです。
以下に、この偽メールの本文データを、デザインの構成も含めてできる限り忠実に再現いたしました。
|
つまり、このメールの目的は、公式を装った綺麗な「ポイント復旧完了」の通知で安心させ、中央にある赤いボタンを押させて、ドコモのログイン情報を盗み取るための罠(トラップ)ということです。
2.【実録データ②】WAON POINTを騙る不審メールの全貌
続いて、数分後の「08:59:22」に同じメールサーバーへ着信した「WAON POINT」の偽メールを解析します。
🔍 基本受信情報
| 件名(Subject) | 【WAON POINT】システムメンテナンスに伴うポイント復旧のご案内 |
| 送信者名(From) | “イオンマーケティング WAON POINT担当” <lnuxtu@kxklwewc.mx02.0703t.com> |
| 受信日(Date) | 2026年5月28日 |
| 受信時刻(Time) | 08:59:22 |
| 📸 【メール本体のスクリーンショット】
|
💡 本文を見た専門家の感想・デザインの特徴:
こちらはWAON POINTのイメージカラーである鮮やかな「オレンジ色」の帯が採用され、最下部の企業名も「イオン株式会社」「© AEON Co., Ltd. All Rights Reserved.」と完璧に書き換えられています。
しかし、よく見ると中央にある「ポイント復旧状況」の青い囲み枠のレイアウトや、使われている言葉、さらには下部の「注意事項」の内容まで、先ほどのdポイントのメールと完全に瓜二つ(まったく同じ構造)であることがわかります。
以下に、このWAON側の本文データも忠実に再現いたします。
|
つまり、全く異なる企業であるはずのドコモとイオンが、偶然同じタイミングで同じメンテナンス障害を起こし、同じ説明文で案内を出すことは絶対にあり得ず、デザインのガワだけを入れ替えた偽物であるということです。
3.【技術解析】裏側に隠された「フィッシングキット」の動かぬ証拠
なぜ、このような「別ブランドによる、同一文面の同時多発」が起きるのでしょうか。
その答えは、サイバー犯罪グループの間で広く出回っている「フィッシングキット(Phishing Kit)」の存在にあります。
フィッシングキットとは、専門的な知識がない犯罪者でも、ボタンひとつで本物そっくりの偽メールや偽のログインWebサイトを自動で構築できる「不正な作成工具セット」のことです。
このキットの中に「ポイント復旧案内」という共通のテンプレートが登録されており、犯人は管理画面の切り替えスイッチをぽちぽちと操作して、dポイント用、WAON用とブランド名と色だけをすり替えて大量にメールを発信しているのです。
その証拠は、メールの配送ルートを記録したヘッダーデータ、および誘導先のURL設計にハッキリと残されています。
📧 送信元・配送ルートの解析(ヘッダー情報の比較)
| dポイント騙りメールの技術ログ | WAON POINT騙りメールの技術ログ |
[Received-SPF] Pass (sender SPF authorized) [最も古いReceived(経由サーバー)] from webmail.jr211.com (jr211.com [35.217.67.119]) [送信元の通信IPアドレス] 35.217.67.119 | [Received-SPF] Pass (sender SPF authorized) [最も古いReceived(経由サーバー)] from mx02.0703t.com (0703t.com [35.217.117.103]) [送信元の通信IPアドレス] 35.217.117.103 |
※機密保持のため、受信側のメールサーバー固有のドメイン表記(”kagoya.net”、”sansetubi.jp”など)や、受信者個人を特定できるメールアドレス情報はすべて除外またはマスク処理(隠蔽)を行っています。
🚨 メアドIPとReceived内IPによる発信地(ロケーション)判定
メールのヘッダーに刻印された送信元IPアドレスから、犯人がどこの国のネットワーク設備(サーバー)を悪用してこのフィッシングキットを稼働させているのか、世界的な地域割り当て情報を照合しました。
| 対象メール | 抽出IPアドレス | 詳細解析リンク(ip-sc.net) | 推定ロケーション・マップ情報 |
| dポイント | 35.217.67.119 | https://ip-sc.net/ja/r/35.217.67.119 | アメリカ合衆国(米国) 経度・緯度:37.751, -97.822 |
| WAON | 35.217.117.103 | https://ip-sc.net/ja/r/35.217.117.103 | アメリカ合衆国(米国) 経度・緯度:37.751, -97.822 |
※注意:IPアドレスに割り当てられている世界地図上の位置情報(ロケーション)は、プロバイダの割り当て変更や中継経路の変動により、刻々と変化するためあくまで解析時点の参考データとなります。
つまり、ドコモやイオンという日本国内の大手企業からの公式通知であるにもかかわらず、全く同じアメリカ国内のクラウドサーバー網(Google Cloud環境の悪用と推測されます)からほぼ同時に射出されているという事実が、これが偽物である動かぬ技術的証拠ということです。
🔗 リンク箇所と誘導先URLの構造分析
メール内に設置されている「現在のポイント残高を確認する」というボタンに埋め込まれたリンク先のURLを解析すると、フィッシングキットの決定的な仕組み(プログラムの構造)が露出しています。
- dポイントメールのボタン埋め込みURL: ttps://login.ogakj.com/?GUiRCtmB64hh&type=dpoint(一部を伏字に変更)
- WAONメールのボタン埋め込みURL: ttps://login.zovkj.com/?N5YIkWslEBxx&type=waon(一部を伏字に変更)
ご覧の通り、URLの最末尾に「&type=dpoint」「&type=waon」という記述があります。
これは、同じフィッシングシステム(プログラム)を稼働させながら、このパラメーター(識別コード)を読み取らせることで、接続してきた被害者の画面に「ドコモのログイン壁紙」を出すか、「イオンのログイン壁紙」を出すかを自動的に切り替えるための、キット固有の分岐命令の痕跡です。
4.詐欺サイトの稼働状況と「クローキング」の罠
当研究所において、これらのリンク先ドメインの安全性を調査したところ、非常に巧妙な防衛工作が施されていることが判明しました。
| 検証対象ドメイン | ドメインIP(hostname-to-ip) | サーバー所在地域(地理的位置) | 現在のWeb稼働状況 |
| login.ogakj.com | 172.67.181.189 | Cloudflare経由(米国想定) マップ:37.751, -97.822 詳細:ip-scリンク | クローキング動作(制限中) |
| login.zovkj.com | 104.21.36.216 | Cloudflare経由(米国想定) マップ:37.751, -97.822 詳細:ip-scリンク | クローキング動作(制限中) |
※Whois(ドメイン登録者情報情報)等を集約分析した結果、いずれもCloudflare(クラウドフレア)のネットワークの影に本物のサーバーのIPを隠蔽する工作がなされています。
| 📸 【詐欺サイト・アクセス拒否のスクリーンショット画像】
|
セキュリティ会社の調査ロボットや、パラメーター(後ろの識別英数字)を持たない一般のアクセスがこのサイトに突入すると、上記の画像のように「アクセス拒否 リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」という、もっともらしいエラー画面が表示されるよう設定されています。
これは「クローキング(Cloaking:目隠し)」と呼ばれるフィッシングキットの代表的な隠蔽技術です。
セキュリティチェックの目(自動検知システム)を欺いてサイトを長生きさせつつ、メール内の特殊なURLリンクを直接タップして入ってきた本物の「カモ(被害者)」にだけ、本物そっくりの偽ログイン画面を表示してだまし取るという極めて悪質なシステムが組まれています。
つまり、私たちが調査した時点で大手セキュリティ会社による明確な赤い警告画面(セキュリティブロック)が出なかったのは、サイトが安全だからではなく、このクローキング機能によって犯人が意図的に正体を隠しているからに他ならないということです。
5.被害に遭わないための対策と、公式の正しい窓口
このような自動量産型のフィッシングメールに騙されないために、以下の対策を徹底してください。
1. メールのリンク(ボタン)は絶対にタップしない 「ポイントが復旧した」「期限が切れる」といった案内がきても、届いたメールのボタンをそのまま押してはいけません。 2. 公式アプリや事前のブックマークからアクセスする 3. 万が一情報を入力してしまった場合の対処法 |
各ブランドの公式ホームページでも、このようなフィッシング詐欺に関する臨時の注意喚起が随時更新されています。必ず正規のURLから最新の被害事例をご確認ください。
- NTTドコモ公式(フィッシング詐欺の実例と注意喚起):
https://www.docomo.ne.jp/info/anti-phishing/ - イオン銀行・WAON公式(フィッシング詐欺への注意喚起):
https://www.aeonbank.co.jp/security/phishing/
📢 ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
📋 本日のまとめにかえて
インターネットの世界では、犯罪者たちも効率よく大勢の人を騙すために、ツール(フィッシングキット)を使って手抜きと量産を繰り返しています。
一見すると精巧で信じてしまいそうなメールですが、今回のように「同じタイミングで別会社から同じ文面が届く」という構造的な矛盾を知っていれば、決して怖いものではありません。
「自分は大丈夫」と思っていても、スマートフォンの操作に慣れていないご両親や、日々忙しくメールを処理しているご家族が、ふとした拍子にボタンを押してしまうケースがあとを絶ちません。
身近な人が大切な財産や個人情報を騙し取られてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『こんな手抜きの詐欺メールが出回っているから気をつけて!』と共有し、全員で防犯の目を光らせてあげてください。
🕵️♂️ サイトデータベース検索
関連する過去の解析事例はこちらから検索できます。
📌 同じ手口の関連記事:
【実録】クレジットカード業界最大手を名乗る「三井住友カード」を騙る詐欺メールも多数確認されています。巧妙なVpassログイン偽装の手口はこちらからご覧ください。
