【実録】セブン-イレブン「年間ご愛顧感謝・特別ギフト」は偽物!中継サーバーとGCPの送信元を暴く
🔴 緊急度:高 このメールが届いた方はURLを開かずにこの記事をご確認ください
| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【セブン-イレブン】年間ご愛顧感謝:特別ギフト進呈のご案内
送信者名:セブン-イレブンデジタル窓口
送信元アドレス:CTCOZI@xjityhfu.shipping.wmckbndp.com
送信元IPアドレス:35.212.146.176(Google Cloud Platform、逆引きホスト名 bc.googleusercontent.com)
受信日時:2026年6月18日 18:22
※ヘッダーには受信者の情報が含まれるため、本来なら掲載してご紹介するのが本筋ですが、個人情報保護のため伏せさせていただきます。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです(宛先のお名前部分は伏字にしています)。
7-Eleven 年間ご受顧感謝プログラム 【会員限定】 〇〇 様 平素よりセブン-イレブンをご愛顧いただき、心より御礼申し上げます。 セブン-イレブン プリペイドカードサービスでは、年間を通じて特にご利用実績の多いお客様を対象に、年間ご愛顧感謝プログラムを実施しております。このたび、お客様が本年度の特別ギフト進呈対象者に選定されました。 【年間ご愛顧感謝 特別ギフト】 プログラム:2026年度 年間ご愛顧感謝 対象期間:2025年6月~2026年5月 特典内容:特別ギフト進呈 選定ステータス:対象者に選定 ※進呈額はご利用金額に応じて算出されます。専用ページでご確認ください。 おにぎり1個、コーヒー1杯――そんな日々の何気ないご利用の積み重ねが、年間感謝ギフトとしてお客様のもとへ戻ってまいります。日頃のご愛顧に、改めて深く感謝申し上げます。 本プログラムのギフト受取には確認期限がございます。期限経過後は進呈が無効となりますため、ぜひお早めにご確認くださいますようお願い申し上げます。 年間の感謝を込めて-いますぐお受取りを 【年間感謝ギフトを確認する】
「おにぎり1個、コーヒー1杯」という生活感のあるフレーズで親近感を演出しているのが特徴です。それにしても、毎日のおにぎりやコーヒーまで見られているなんて、ちょっと不思議ですよね(笑)。実際には、攻撃者があなたの買い物履歴を知っているわけではなく、誰にでも当てはまりそうな言葉を選んで送っているだけです。こうした「日常の小さな積み重ね」を強調する表現が出てきたら、まず公式サイトで本当にそのようなプログラムが存在するか確認しましょう。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
Received: from shipping.wmckbndp.com (HELO shipping.wmckbndp.com) [35.212.146.176]
by 受信者側サーバー(非公表) with ESMTP id 3ABBE42876C9
SPF認証:Pass(送信元IPがSPFレコード上で認可されている)
「SPF認証がPassなら安心では?」と思った方もいるかもしれません。ここがこのメールの巧妙な点です。SPF認証が「Pass」でも、それは「攻撃者が用意したドメインのルールに沿っている」ことを示すだけで、セブン-イレブン公式からの送信を保証するものではありません。いわば「自分の家のルールには従っています」と言っているだけで、その家自体が偽物なんですね。
【偽装判定】:
正規のセブン-イレブンからのメールは「7-eleven.co.jp」や「sej.co.jp」関連ドメインから送信されます。本メールの送信ドメイン「shipping.wmckbndp.com」はセブン-イレブンの公式サービスとは一切関係がなく、送信に使われたサブドメイン「xjityhfu」は判読性の低いランダム文字列で、スパム配信ツールが自動生成したものと考えられます。
送信元ロケーション解析:
IPアドレス 35.212.146.176 はGoogle Cloud Platform(米国Google社のクラウドサービス)が保有するIPアドレス帯に属しています。攻撃者が自前のサーバーではなく、大手クラウド事業者のインフラを借りてメール配信を行うことで、ブラックリスト登録を回避しようとする典型的な手口です。
※正確な緯度・経度情報はip-sc.netにて最新情報をご確認ください。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):
hxxps://login.huanqiudiaosu[.]com/?fx3tMp4wtddQ
リンクドメイン:huanqiudiaosu.com
(補足:ドメイン文字列は中国語ピンイン由来とみられ、特定の意味を持つ単語の組み合わせで構成されています。こうした意味不明・無関係な文字列のドメインは、フィッシング用に量産される「使い捨てドメイン」の典型的な特徴です)
サイトの現在の状態:本記事執筆時点(2026年6月19日)で当該ドメインはDNS解決ができず、既に閉鎖・失効していることを確認しました。攻撃者が短期間でドメインを使い捨てている動きと一致します。詳細な過去のIP・登録情報についてはwhois.domaintools.comでも参照可能です。
【サイトの状態】:ウイルスバスター クラウドではアクセス時点で「このWebサイトは、安全ではない可能性があります(脅威の種類:フィッシング)」と表示され、ブロック対象として検知されていました。また別のセキュリティ機構でも「アクセス拒否」としてリクエストがブロックされる事例が確認されています。
偽サイトの内容:「ギフトカード受け取り」と称し、電話番号の入力を求める画面が表示されます。この後の画面で個人情報やクレジットカード情報の入力を求める流れに発展するのが典型的な手口です。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
■ 注意点と対処法
「自分は大丈夫」と思っていても、つい忙しい時に開いてしまうのが詐欺メールの怖いところです。一緒に確認していきましょう。
- 本文中のURLをクリックしない:リンク先は電話番号や個人情報を盗むための偽サイトです。「ギフトカードがもらえる」という話は基本的に疑ってください。
- 公式サイト・公式アプリで確認:セブン-イレブンからの本当のお知らせかどうかは、必ず公式アプリまたはブックマークしてある公式サイトからアクセスして確認してください。メール内のリンクは絶対に使わないでください。
- 件名に「[spam]」と表示されているメールは特に警戒を:多くのメールソフトには自動でスパム判定する機能があります。今回のように「[spam]」と表示されている場合は、内容を確認する前にまず疑いましょう。
- 公式注意喚起の参照:「セブン‐イレブン」「セブン&アイ」を名乗る偽装メール・サイト等に関するお知らせ(セブン-イレブン公式)
本レポートの結論
今回の「セブン-イレブン年間ご愛顧感謝・特別ギフト」メールは、Google Cloud上に構築された送信基盤と、無意味な文字列の使い捨てドメインを組み合わせた典型的なフィッシング詐欺でした。「おにぎり1個、コーヒー1杯」という生活感のある言葉で警戒心を緩めようとする手口は巧妙ですが、送信元・誘導先ともに公式とは一切関係ありません。もしご家族やご近所の方が「こんなメールが来たんだけど」と話していたら、ぜひこの記事を教えてあげてください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてくださいね。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net / whois.domaintools.com
※本記事は詐欺被害の注意喚起を目的とした技術調査レポートです。本文中のURLは安全のため伏せ字(hxxps://形式)にしています。絶対にアクセスしないでください。
