【解析】イオンカード騙る詐欺メール「ご利用状況確認」の危険ポイントとIP調査結果
【調査報告】最新の詐欺メール解析レポート メールの解析結果と脅威インテリジェンス |
■ 最近のスパム動向
今回ご紹介するのは「イオンカード」を騙るメールですが、その前に最近のスパムの動向を整理します。現在、2026年に入り、実在するサービス名と酷似したドメインを直前に取得し、正規のセキュリティ通知を装って個人情報を盗み取る手法が一般化しています。本レポートでは、その技術的な裏付けを解析します。
|
| ▼ 受信メール解析データ |
| 件名 | [spam] イオンカードご利用状況確認のお願い |
| 件名の見出し |
件名に付与された「[spam]」は、送信ドメイン認証の失敗や、過去のスパム送信履歴を持つIPアドレスからの配信を検知した際にサーバー側が付与する警告タグです。
|
| 送信者 | イオンペイ <user.vqmsqxnp@ulaicsmv.cn> |
| 受信日時 | 2026-02-11 6:45 |
■ メールの本文再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
いつもイオンカードをご利用いただき、ありがとうございます。
下記の承認照会取引がございましたため、ご確認をお願いいたします。 ご利用日:2026/2/11
ご利用者:本人
ご利用金額:10,000円
ご利用場所:国内加盟店ショッピング
——————– <ご注意点>
※本サービスは大切なお知らせのため、メール配信の許諾をいただいていない方にも配信しております。
※本サービスは、イオンカードで特定の承認照会取引が確認された場合、暮らしのマネーサイトにご登録いただいているメールアドレスへお知らせするもので、ご利用・請求を確定するものではありません。
※正式なご利用確定情報が店舗より到着次第、暮らしのマネーサイト、またはアプリ「イオンウォレット」の「ご利用明細」に表示いたします。
※通販サイトなどでのご利用の場合、実際のご利用日時・金額と異なる場合がございます。
※国内でご利用された場合でも加盟店の契約状況により「海外加盟店」と表示される場合がございます。
※ご契約キャンセルとなった場合のお取消し情報は配信されません。 ■万一ご利用に覚えのない場合はこちら
https://faq.aeon.co.jp/category/show/qmpjg?site_d●main=default ■カードの紛失・盗難に気づかれたらこちら
https://faq.aeon.co.jp/category/show/uzr9p?site_d●main=default ■カードの不正利用や詐欺などの被害にあわないために、「本人認証サービスや無料セキュリティソフトなど安心・安全な機能のご利用」「カード番号等のお取扱いの注意点のご確認」をお願いいたします。
https://www.aeon.co.jp/rsgfm/sec●rity/ ■カード全般に関するお問い合わせ先はこちら
https://www.aeon.co.jp/nlvlk/inq●iry/ イオンマークのカードを保有しておらず、当メールにお心当たりのない方は、大変お手数をお掛けいたしますが、その旨をお書き添えいただき下記アドレスまでお送りください。
mailto:netbranch@aeon.co.jp
※カード利用状況についてのお問い合わせはお受けできません。 このメールは送信専用です。ご返信をいただきましてもご回答いたしかねますのでご了承ください。 ——————–
発行会社:株式会社イオン銀行
業務受託会社:イオンフィナンシャルサービス株式会社
https://www.aeon.co.jp/
このメールに掲載された内容を許可なく転載することを禁じます。
| |
■ 解析レポートと推奨対応
メール全体が非常に「あっさりして素っ気ない感じ」であり、正規のサービスが提供するリッチなデザインとは異なります。
危険なポイント:
送信元のメールアドレスが公式(aeon.co.jp)ではなく、全く無関係なドメイン「ulaicsmv.cn」から送信されています。これは明白な偽装メールです。
イオンカード公式サイトでも同様のメールに対する注意喚起が出ています。
【公式サイト】不審なメールへの注意喚起を確認する
|
| ▼ 送信元の回線関連情報(根拠データ) |
※Receivedヘッダーより抽出。カッコ内の情報は送信元が利用した信頼性の高いネットワーク情報です。
|
| ドメイン | ulaicsmv.cn |
| IPアドレス | 101.47.78.100 |
| ホスト名 | 101.47.78.100(from unknown HELO ulaicsmv.cn) |
| 国名 | China (CN) |
| 登録日・更新日 | 2026年2月初旬取得 |
| 技術解説 |
送信ドメインとIPアドレスの不一致、および数日前に取得されたばかりのドメインであることから、攻撃用に用意された使い捨て環境であると断定できます。
|
| このIPアドレス(101.47.78.100)の詳細解析を見る |
■ リンク先ドメインと回線情報
本文内のURLは偽装されており、クリックすると以下の攻撃者サイトへ誘導されます。
- 誘導URL:https://whateverior.eyfvss.cn/apph-fe●t/c●nect/(※伏せ字を含む)
- 判定:Google Safe Browsingおよびウイルスバスター等で「危険」と判定
| 項目 | 解析データ | | ドメイン | whateverior.eyfvss.cn | | IPアドレス | 104.21.6.43 | | ホスト名 | cloudflare.com 経由(実体隠蔽の可能性) | | 国名 | USA / Global | | 取得日 | 2026年2月(極めて最近) |
【最近取得された理由】
ドメインの取得日が数日前であることは、既存のブラックリストを回避するための典型的な手法です。稼働から数日でサイトを閉鎖し、別のドメインに移行する「ヒット&アウェイ」型の攻撃です。
リンク先の詳細な回線情報を確認(104.21.6.43) |
■ リンク先サイトの現在の状態
現在、リンク先のサイトは以下のタイムアウトエラーを表示しており、実質的に稼働を停止しています。
“We apologize, but your request has timed out. Please try again…”
|
■ まとめ
本メールは巧妙に公式サイトのデザインを模倣していますが、送信元ドメインや誘導先URLの解析により、明確な詐欺であることが証明されました。同様の不審なメールが届いた場合は、直ちに削除し、決してリンクを開かないようご注意ください。
イオンカード公式:セキュリティ・不審メール対策ページ |