【実録】セブン-イレブンを騙る「デジタルギフト未受領」詐欺メールの正体を暴く!
HL-META: date=2026-05-29 | brand=セブン-イレブン | sender_geo=日本 | site_geo=不明(ブロック) | spf=pass | dkim=pass | cloaking=yes
| 【実録】セブン-イレブンを騙る「デジタルギフト未受領」メールを徹底分析!偽装フィルターをすり抜ける最新の詐欺手口を公開 公開日:2026年05月29日 | 監視・分析:Heartland-Lab |
みなさん、こんにちは!
街のIT専門家、Heartland-Lab(ハートランド・ラボ)です。
今日もみなさんの大切なデジタルライフを守るため、怪しいメールの正体を一緒に解き明かしていきましょう。 最近のスパム動向として、今回ご紹介するのは「セブン-イレブン」を騙る(かたる・偽る)メールですが、これまでに分析した関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。 このようなメールは、開いた(閲覧した)だけでは、すぐに金銭的な実質被害が出るわけではありません。
しかし、画像付きのメールや「開封通知(メールが開かれたことを犯人に伝える仕組み)」が仕込まれている場合、「このメールアドレスは現在使われている」という生存確認(アドレス生体通知)が犯人側に伝わってしまいます。
その結果、今後はさらに多くのお騒がせな詐欺メール送信リストに入れられる可能性がありますので、身に覚えのない不審なメールは不用意に開かず、慎重に扱う必要があります。
| | ■ 危険度・緊急性評価 緊急性:★★★★☆(星4つ)
【解説】
メールが届いたのが5月29日であるのに対し、デジタルギフトの受取期限が「2026年5月31日まで」と、わずか2日後に設定されています。
このように、あえて短い期限を設定して受信者を激しく焦らせ、正常な判断を奪ってリンクを急いでタップさせようとする、非常に悪質な心理誘導(人間の焦る気持ちにつけ込む手口)が行われているため、危険度は非常に高いです。
| | ■ 受信メール基本情報
【件名】 `[spam] 【セブン-イレブン】お受取期日が迫っております:デジタルギフト未受領のご案内`
※件名の先頭にある `[spam]`(スパム)という文字は、みなさんがお使いのメールサーバー(メールを配送・保管するシステム)が、「これは迷惑メールの可能性が極めて高いですよ」と自動的に危険を判定して付けてくれた警告印です。
【送信者名】 セブン-イレブン・ジャパン
【実際の送信元メールアドレス】 `kvlbms@zxiyfqog.secure.hbaxco.com`
※送信者の表示は公式を名乗っていますが、実際のアドレスは公式とは一切関係のない、不審な使い捨てドメイン(インターネット上の住所の末尾)が使われています。 【受取人(受信者)】 `t*****@s*********`
※受信者様の大切な個人情報およびプライバシーを保護するため、当ラボにて適切に伏字(マスク文字)処理を施しています。 【受信日時】 2026年5月29日 13:48:44
| 【大切なご家族への注意喚起】
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
大切な人が騙されてしまう前に、この解析結果を家族のLINEグループに転送して注意喚起してください。
| | 【受信メール本文のスクリーンショット】 
※セキュリティ上の重要な注意事項※
メールヘッダー(メールの配送経路が詳細に記録されたデータ)のスクリーンショットに関しては、
受信者様のサーバー接続情報や個人の契約情報などの深刻な機密情報が多数含まれているため、安全性を最優先し掲載を控えております。
| | 【実際のメール本文を正確に再現しています(ここから)】
件名 [spam] 【セブン-イレブン】お受取期日が迫っております:デジタルギフト未受領のご案内
送信者 “セブン-イレブン・ジャパン” <kvlbms@zxiyfqog.secure.hbaxco.com>
————————————————————————-
7-Eleven デジタルギフト
未受領のお知らせ
t*****@s********* 様
いつもセブン-イレブンをご利用いただき、誠にありがとうございます。
以前ご案内いたしました「セブン-イレブン デジタルギフト」につきまして、現時点でお客様によるお受取手続きが完了していないことが確認されましたため、再送のご案内を申し上げます。 デジタルギフト(電子クーポン) 全国のセブン-イレブン店舗にて、
対象商品のお引き換え、またはお買い物券として
ご利用いただける特別なクーポンです。 お受取期限:2026年5月31日まで 期日を過ぎますと専用URLが無効となります。
せっかくのギフトが失効してしまう前に、下記よりお受け取りください。
ギフトを受け取る(バーコード表示) スマートフォンにてタップしてください ■ ご利用方法 ■ 上記の専用URLにアクセスし、画面上に表示されたバーコードを
お近くのセブン-イレブン店舗のレジにてご提示ください。 * 本デジタルギフトは、日本国内のセブン-イレブン店舗でのみご利用いただけます。
* すでにお受け取り、またはご利用済みのお客様におかれましては、本ご案内との行き違いを何卒ご容赦ください。
* 本URLはお客様専用となっております。SNS等への転載や第三者への譲渡はお控えください。 株式会社セブン-イレブン・ジャパン © Seven-Eleven Japan Co., Ltd. All Rights Reserved.
【実際のメール本文を正確に再現しています(ここまで)】 |
■ スクリーンショットから見るメールのデザインと印象
一見すると、セブン-イレブンの公式なロゴ配置や丁寧な定型文、フッターの著作権表記(権利関係を表すサイン)を巧妙に模倣(コピー)しており、スマートフォンなどの小さな画面でパッと見ただけでは、本物だと勘違いしてしまいそうな綺麗なデザインに仕上がっています。 ■ このメールの本当の目的と感想
このメールの目的は、お得な「デジタルギフト(電子クーポン)」をプレゼントすると見せかけて受信者を安心させ、偽のウェブサイトへおびき寄せることです。
そこで大切な会員ログイン情報(7iDなど)や、クレジットカード情報を入力させて盗み取ろうとする「フィッシング詐欺」の典型的な罠(わな)です。 つまり、「タダでお買い物ができるからと急いでボタンを押してしまうと、逆にクレジットカードなどの大切な情報をすべて盗まれてしまう」ということです。
| 1. 送信元アドレスのドメインIP調査
送信元メールアドレスに使われている不審なドメイン `secure.hbaxco.com` のIPアドレス(インターネット上のサーバーに割り当てられた固有の識別番号)を調査したところ、以下のデータが抽出されました。
* ドメインのIPアドレス: `35.219.163.61`
このIPアドレスを解析した結果、これはGoogle Cloud(グーグルクラウド=Googleが提供する高度なサーバー運用環境)の東京リージョン(日本国内にあるデータセンター)のものであることが判明しました。
2. 最初に中継された「Received」ヘッダーの抽出
メールが犯人の手元から出発して、みなさんの手元に届くまでの「足跡」を時系列(時間の流れ)で記録した「Received(レシーブド=受信記録)」ヘッダーの情報を詳細に分析します。
プライバシーおよびセキュリティ保護のため、中継された一部の国内プロバイダ名や受信者アドレスはすべて伏字に修正しています。(※説明文や解析において特定の国内プロバイダ名や固有のドメイン名は一切記載いたしません) 時系列で最も古い、つまり「犯人が最初にメールをインターネット上へ放ち、サーバーに受け付けられた瞬間」の出発点の記録は以下の通りです。 `Received: from secure.hbaxco.com (hbaxco.com [35.219.163.61]) by dmail**.*******.** …`
3. メアドIPとReceivedのIP比較(偽装判定)
送信元のメールアドレスが示しているドメインのIP(`35.219.163.61`)と、メールヘッダーの出発点に記録されていたReceivedのIP(`35.219.163.61`)が完全に一致しています。 さらに、このメールは **SPF(送信元ドメイン認証=送信元の身元を確かめるテスト)** および **DKIM(電子署名認証=メールが途中で改ざんされていないかを証明するテスト)** というセキュリティテストを、両方とも「Pass(合格)」の状態で通過しています。
これは「本物の公式メールだから安心」という意味では全くありません。「犯人が自前で用意した使い捨ての詐欺用ドメインを高度に正しくセットアップし、一般的な迷惑メールフィルターを意図的にすり抜けるための徹底的な偽装工作を行っている」という動かぬ証拠です。 つまり、「セキュリティチェックの目を欺いて一般の受信箱に滑り込ませる手法に長けた、非常に手慣れたプロの詐欺グループが、国内の高速なクラウドサーバーを悪用して直接送りつけてきた危険なメールである」ということです。
| ■ 送信元(中継出発点)のIPロケーション情報
※IPアドレスから割り出される地理的な位置情報や地図データは、プロバイダのネットワーク変更などにより刻々と変化するため、あくまで調査時点における参考情報であることをあらかじめお含みおきください。 | | 項目 | 解析データ | | 発信元のIPアドレス | 35.219.163.61 | | ホスティング(管理会社) | Google LLC (Google Cloud) | | 推定ロケーション | 日本(東京都内リージョン) | | 緯度・経度 | 35.6895, 139.6917 | | インターネット地図情報 | Googleマップで位置を確認する | | IP詳細解析リンク | ip-sc.netで中継ルートを確認 |
| 2. 誘導先URLの危険性検証と「クローキング」の罠 | ■ 誘導先URL(伏字表記)
https://lo***.bq***.com/?sB3MqEIYDZY7
※二次被害を防ぐため、リンクドメインの一部に伏字(マスク処理)を施し、リンク自体を完全に無効化(クリックできない状態)にしています。 ■ このURLが危険と判断できる決定的なポイント
セブン-イレブンの公式ドメイン(`sej.co.jp` や `7id.omni7.jp` など)とは全く似ても似つかない、正体不明の文字列で作られた独立ドメイン `bqjkj.com` が使用されている点です。
大手企業のキャンペーンで、このような全く関係のない無名のドメインが使われることは100%あり得ません。
■ 「アクセス拒否」の正体は「クローキング」の疑い
現在、このURLに一般の解析環境などからアクセスを試みると、画面に「アクセス拒否:リクエストがブロックされました。後ほどお試しください。ファイアウォールで保護されています」という真っ白な警告表示が出現し、サイトの中身が見られないよう遮断されます。 これは、ウイルスバスターやGoogleなどのセキュリティ機関が遮断した画面ではなく、犯人側が仕掛けた「クローキング(Cloaking=覆い隠す、偽装する)」と呼ばれる非常に狡猾(こうかつ)な防衛工作の結果である可能性が極めて高いです。 クローキングとは、アクセスしてきた相手を自動で判別し、「セキュリティ会社の調査用ロボットやパソコンからのアクセス」に対してはこのような無害を装ったエラー画面(ブロック画面)を見せ、ターゲットである「スマートフォンの一般利用者」がタップした時にだけ、本物そっくりの偽ログイン画面を表示させるという二面性を持った悪質な技術です。
これにより、セキュリティ機関によるサイトの検知や通報(テイクダウン=サイトの強制閉鎖)を極力遅らせ、長生きさせようと目論んでいます。
| ■ リンク先ウェブサイトの稼働状況と詳細データ
※こちらの位置情報も刻々と変化するため、調査時点での参考データとなります。 | | 項目 | 解析データ | | 対象リンクドメイン | login.bqjkj.com | | ドメインIPアドレス | 104.21.51.196(※または 172.67.189.102 等のCloudflare中継IP) | | ホスティング(WAF・プロキシ) | Cloudflare, Inc.(クラウドフレア=身元を隠す防壁システム) | | 推定ロケーション | 米国(カリフォルニア州 サンフランシスコ等、中継ネットワーク拠点) | | 緯度・経度 | 37.7749, -122.4194 | | インターネット地図情報 | Googleマップで位置を確認する | | IP詳細解析リンク | ip-sc.netで中継ルートを確認 | | リンク先の稼働状態 | 防壁稼働中(クローキングによる選別ブロック状態) | | 【偽のブロック画面(クローキング画面)、または詐欺ログインサイトのスクリーンショット】 
| | 3. 被害に遭わないための注意点と具体的な対処方法 | | 🚨 もしメールが届いたら・触ってしまったら
① 絶対にリンクを開かない、情報は入力しない
「デジタルギフトがもらえる」という言葉に惑わされず、メールに記載されたボタンやURLは絶対にタップしないでください。
② 公式アプリや事前に登録したブックマークから確認する
本当にセブン-イレブンからお得なクーポンが届いているか確認したい場合は、メールのリンクは使わず、スマートフォンの公式アプリ(セブン-イレブンアプリ)を直接起動するか、自分で検索した公式サイトのマイページからお知らせを確認してください。 ③ 万が一、情報を入力してしまった場合の緊急対処
・ログインパスワードを入力した方: すぐに本物の公式サイト(7iD)にアクセスし、パスワードを大至急変更してください。同じパスワードを他サイトでも使い回している場合は、それらも全て変更が必要です。
・クレジットカード番号を入力した方: すぐにカード会社の裏面に書かれている電話番号へ連絡し、「フィッシング詐欺サイトにカード番号を書き込んでしまった」と伝えて、カードの利用を即座に止めてもらう手続きをしてください。
| | ■ まとめとして
今回のセブン-イレブンを騙るフィッシングメールは、日本の大手のクラウドサーバーを踏み台にし、セキュリティ認証を正しくクリアして届くという、技術的にも非常に手の込んだ巧妙なものでした。
一瞬の油断が、大切な個人情報や財産を脅かす原因になってしまいます。
身近な大切な人が騙されてしまう前に、この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有して、みんなで防御力を高めてあげてくださいね。
|
| ■ Heartland-Lab 詐欺メールデータベース
関連する過去の解析事例はこちらから検索できます。
📌 同じ手口の関連記事:
【実録】スターバックスを騙る詐欺メールも確認されています→こちら
|
| © 2026 Heartland-Lab. All Rights Reserved. サイバーセキュリティ啓発レポート | |
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る
② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る
