【実録】smart WAON偽メールの手口を公開!ポイント残高通知に隠された罠を徹底分析
こんにちは、街のIT専門家です。今回も大切なご家族や周囲の方々をサイバー犯罪の脅威から守るため、不審なメールの徹底的な解析を行いました。手抜きのない詳細な技術検証結果をお届けしますので、ぜひ最後まで丁寧にお読みいただき、防犯にお役立てください。
今回ご紹介するのは「smart WAON(スマートワオン)」を騙る(本物と見せかけて偽る)メールですが、関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。
【実録】smart WAONを騙る偽メールを徹底分析!アクセス拒否画面に隠された狡猾な手口を公開
一見すると、お持ちのポイント残高を知らせてくれる親切な公式通知のように見えます。しかし、このような不審なメールは、開いただけで実質的な被害は無いものの、メール内の画像が読み込まれたり開通通知(メールが届いて開かれたことを送信元に自動で知らせる機能)付きであったりする場合、アドレス生存通知(「このメールアドレスは現在使われています」という持ち主への生存確認)が行われてしまいます。その結果、今後さらに多くの詐欺メール送信リスト(犯罪グループ間で共有される攻撃対象リスト)に入れられる可能性がありますので、安易に開封を続けないよう注意が必要です。
今回のスパムメール(迷惑メール)基本情報
| 項目 | 解析結果・内容 |
|---|---|
| 緊急性・危険度評価 | ★★★☆☆(5段階中3:機械的な判定をすり抜ける細工がされており、注意が必要です) |
| メール件名 | [spam] 【smart WAON】ご登録情報の確認およびポイント残高のお知らせ |
| 件名の解説 | 件名の冒頭に「[spam]」という文字列が付加されています。これは、受信側のメールサーバー(メールを保管・管理するシステム)が、過去の統計データや不審な挙動を元に「これは迷惑メールの可能性が極めて高い」と自動判別して警告を挿入してくれた証拠です。 |
| 送信者名 | “WAON POINT サービスセンター” |
| 送信元メールアドレス | QBAVOQ@jpmmvhdo.smtp01.gkdtanhuamu.com |
| アドレスドメインのIPアドレス | 35.212.244.94(※ドメイン「gkdtanhuamu.com」を紐解いた数字の住所です) |
| 受信日時 | 2026年5月26日 08:48:08 |
「ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。」
メールヘッダー情報の解析(送信元ルートの検証)
メールヘッダー(メールの送信ルートや認証情報が記録された詳細な管理データ)から、実際の送信元を特定するための重要な2つの情報を抽出しました。なお、ヘッダー情報のスクリーンショットには受信者側のサーバー情報や個人を特定できる構成情報が多数含まれているため、セキュリティ安全管理上の観点から画像そのものは掲載せず、重要な部分のみを以下にテキスト化して表示しています。※安全のため「kagoya.net」や「sansetubi.jp」、受信者のアドレスに関わる部分は「***」と伏字に修正しています。
1. Received-SPF(送信元ドメインの認証状態)
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=35.212.244.94; helo=smtp01.gkdtanhuamu.com; envelope-from=qbavoq@jpmmvhdo.smtp01.gkdtanhuamu.com; receiver=*****@***.jp
SPF(送信ドメイン認証という、送信元が偽装されていないかを検証する技術)の結果は「Pass」となっています。しかし、これは「gkdtanhuamu.comという無関係なドメインのサーバーから正しく送られた」ということを証明しているに過ぎず、イオン公式から送られたメールであることを意味するものではありません。つまり、詐欺グループが自前で用意したサーバーから正しく送信されたということです。
2. 最も古いReceived(時系列から見た最初の経由サーバー情報)
Received: from smtp01.gkdtanhuamu.com (gkdtanhuamu.com [35.212.244.94]) by *****01.***.net (Postfix) with ESMTP id 21C3D2DF9F2 for <*****@***.jp>; Tue, 26 May 2026 08:48:09 +0900 (JST)
3. 送信元IPアドレスの偽装判定とロケーション
| 送信元IPアドレス | ヘッダー内最古のIPアドレス | 偽装判定・ロケーション(位置情報) |
|---|---|---|
| 35.212.244.94 | 35.212.244.94 | 【偽装確定】 送信元アドレスドメインのIPと、最初に経由したサーバーのIPが完全に一致しています。イオン公式の国内サーバーではなく、海外のネットワークを経由して送信されています。 マップ情報:https://ip-sc.net/ja/r/35.212.244.94 (位置座標:緯度 4.5709 / 経度 -74.2973 南米コロンビア付近) |
つまり、日本国内のイオンマーケティング株式会社の窓口から送信されたものではなく、南米のネットワークサーバーを経由して機械的に配信された偽物であるということです。
メール本文のスクリーンショットと忠実な再現
実際のメール画面を確認すると、公式ロゴマークの添付などは一切なく、極めてシンプルなテキスト構成で作られています。文面自体は自然な日本語が用いられており、一見しただけでは不正なメールだと気づきにくい巧妙さがあります。しかし、冒頭の宛名(〇〇様の部分)には、受信者の本名ではなく、メールアドレスのアカウント名(@マークより前の文字列)がそのまま流用されているという不自然な特徴が見て取れます。
以下は、送られてきた不審なメール本文をできる限り忠実に再現したテキストです。
smart WAONご登録情報に関するお知らせ
(※ここにはご自身のメールアカウント名が入ります) 様
いつもWAON POINTをご利用いただき、誠にありがとうございます。
ご登録情報の確認および更新のお願い
smart WAONでは、大切なお知らせや特典を確実にお届けするため、定期的なご登録情報の確認をお願いしております。お引越しによるご住所の変更や、メールアドレス等の変更がないか、マイページよりご確認ください。
また、ご登録情報の確認とあわせて、現在お客様が保有されている「WAON POINT残高」および「ポイントの有効期限」につきましても、同じマイページ内にてご確認いただけます。
大切なポイントを失効させないためにも、この機会にぜひ現在の残高状況をご確認ください。
ご登録情報の確認・ポイント残高照会 クリックして会員専用マイページへアクセス
- ご登録情報に変更がない会員様につきましても、定期的な残高照会を推奨しております。
- 上記のURLはお客様専用のセキュアリンク(通信が暗号化された安全な接続ルート)です。第三者への共有は固くお断りいたします。
- 本メールは自動配信システムよりお送りしております。ご返信いただきましても対応いたしかねます。
イオンマーケティング株式会社
smart WAON お客様窓口
© AEON MARKETING CO., LTD. All Rights Reserved.
このメールの主目的は、有効期限や残高という利用者の関心が高いワードで不安や期待を煽り、青文字のリンクをクリックさせて偽のログインページへ誘導すること、そして入力された会員IDやパスワード、個人情報を盗み取ること(フィッシング詐欺手口)です。つまり、記載されている内容はすべて嘘であり、情報を掠め取るための罠であるということです。
誘導される詐欺サイト(リンク先URL)の解析
メール本文中に配置されているリンクの遷移先(実際に繋がる接続先)を調査した結果です。
リンク先URL(安全のため一部を伏字にしています)
h**ps://www.wrcijg.com/?tHXl2CjlqbIg&type=waon
(※公式のドメイン「smartwaon.com」とは全く異なる、無関係な英数字の並びになっていることが一目でわかります)
アクセス時のセキュリティ警告と画面の特徴
実際にこの危険なURLへアクセスを試みると、画面には大きく赤いバツマークと共に「アクセス拒否 リクエストがブロックされました。後ほどお試しください。ファイアウォール(不正な通信を遮断する防御システム)で保護されています」と書かれたページが表示されます。
これは一見、サイトが閉鎖されているかのように見えますが、実は「クローキング(Cloaking:アクセス者の正体によって表示内容を切り替える隠蔽工作)」が行われている疑いが極めて高い状態です。セキュリティ会社の調査ロボットやAI解析がアクセスした際には、このような「アクセス拒否画面」を出して安全なエラーサイトを装い、一般の標的ユーザーがスマホ等でアクセスした際にだけ、本物そっくりの偽ログイン画面を表示させるという、非常にずる賢い手口です。
詐欺サイトの稼働状況・サーバー情報
| 項目 | 解析データ |
|---|---|
| リンク先ドメイン | www.wrcijg.com |
| リンク先ドメインIP | 104.21.51.198 |
| ロケーション(位置情報) | マップ情報:https://ip-sc.net/ja/r/104.21.51.198 (位置座標:緯度 37.751 / 経度 -97.822 アメリカ・カンザス付近) |
| 現在の稼働状況 | 【稼働中(潜伏状態)】 クローキングの仕組みを用いて偽装していますが、サーバー自体は現在も活発に動作しています。 |
つまり、表面上はアクセスできないように見えても、裏ではいつでも牙を剥くことができる危険なフィッシングサイト(詐欺目的で作られた偽のウェブサイト)が潜んでいるということです。
不審なメールへの注意点と正しい対処方法
このような被害に遭わないために、日頃から以下の対策を徹底してください。
- [spam]の警告を見逃さない:件名に迷惑メールの目印がついている場合は、本文を開かずにそのまま削除するのが最も安全です。
- 宛名がアカウント名なら偽物と疑う:公式な重要通知において、利用者の氏名を記載せずメールアドレスの一部で呼びかけることは通常ありません。
- メール内のリンクは絶対にクリックしない:ポイント残高の確認や登録情報の更新を行う際は、メールのリンクからではなく、あらかじめ自分でブックマーク(お気に入り登録)している公式サイトや、スマートフォンの公式アプリからログインするように徹底してください。
公式URL:イオンマークのカードや各種関連サービスにおける最新の不審なメール・SMSへの公式注意喚起情報は、以下の公式検索結果からご確認いただけます。
Google検索:「イオンカード 不審なメール 注意喚起 暮らしのマネーサイト」
まとめ
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。
