【解析】えきねっと詐欺メール「ご登録カード情報の確認について」の正体
【調査報告】最新の詐欺メール解析レポート メールの解析結果:本レポートは受信した不審メールのヘッダおよび誘導先ドメインの徹底解析記録です。 | ■ 最近のスパム動向
今回ご紹介するのは「えきねっと」を騙るメールですが、その前に最近のスパムの動向について触れておきます。
現在、新生活の準備や年度末が重なる時期を狙い、「アカウントの自動退会」や「決済情報の再登録」を促すフィッシング詐欺が非常に活発化しています。特に「2026年2月28日」といった具体的な期限を設定し、ユーザーに冷静な判断をさせない「時間制限型」の心理攻撃が目立ちます。
| ■ 受信メール基本データ
件名: [spam]【重要】ご登録カード情報の確認について【えきねっと】
見出しの[spam]判定: セキュリティフィルタが「このメールは大量送信された迷惑メールの特徴(不審な中継サーバー等)を備えている」と自動判断したため付与されています。
送信者: support.siqzii@6aao4y2.cn
受信日時: 2026-02-23 1:56
| ■ 送信者に関する詳細情報
送信元ドメインは「6aao4y2.cn」となっており、中国の国別コード(.cn)が使用されています。正規のえきねっと(eki-net.com)とは一切関係がなく、攻撃者がこのキャンペーンのために用意した使い捨てドメインである可能性が高いです。
| ■ メールの本文内容(忠実再現) ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
平素より「えきねっと」をご利用いただき誠にありがとうございます。
弊社システムにより、お客様のご登録決済情報が正常に利用できない状態であることが確認されました。
主な要因は以下の通りです:
– ご利用のクレジットカードが停止されている
– 有効期限が更新されていない このままでは、きっぷ予約など一部サービスがご利用いただけなくなる可能性があります。
サービス停止を防ぐため、必ず決済情報の更新をお願いいたします。 ▼お支払い情報の確認・更新はこちら
hXXps://quinquerise.tigada.cn/Perosnal_member/(※伏字加工済み) 手順:
1. 上記リンクより「えきねっと」にログインしてください。
2. 「会員メニュー」から「お支払い情報の確認・更新」を選択。
3. 新しいカード情報を入力のうえ、「保存」を押してください。 ※2026年2月28日までに更新が完了しない場合、サービスが制限される可能性があります。 本件に関してご不明点がある場合は、下記サポートセンターまでお問い合わせください。
──────────────────
◆えきねっとサポートセンター
TEL: 050-2016-5000
受付時間: 8:00〜22:00
サイト運営・管理:JR東日本ネットステーション
| ■ 専門的解析と犯人の目的
犯人の目的: ズバリ「クレジットカードの生情報の窃取」です。入力されたカード番号、有効期限、セキュリティコードを即座に裏側のサーバーで回収し、不正決済に使用します。
メール特有の怪しい点:
署名欄(サポートセンター)は実在の情報を引用して「事務的」な雰囲気を装っていますが、公式がこのような「決済情報の不備」という重大な連絡を、個人名も入れずに一斉送信することはありません。また、リンク先ドメインが公式とは無縁の「.cn」である点は決定的な証拠です。
> えきねっと公式による注意喚起を確認する | ■ Received(メール回線関連情報) 以下のデータは、攻撃者が実際にメールを送信する際に利用した中継地点の情報です。 | 解析ログ | from unknown (HELO 6aao4y2.cn) (150.5.130.43) | | 送信ドメイン | 6aao4y2.cn | | 送信IPアドレス | 150.5.130.43 | | ホスティング社 | Vultr / Choopa, LLC | | 設置国 | Japan (Tokyo) | ドメイン登録情報: whoisデータによると、登録日は2026年2月中旬。詐欺キャンペーンの直前に取得された「使い捨てドメイン」の典型です。 >> ip-sc.netで送信元IP(150.5.130.43)の回線詳細を見る | ■ 誘導先(サイト回線関連情報) メール内のリンクが指し示す先のサーバーおよびドメイン情報です。 | リンクドメイン | quinquerise.tigada.cn | | 誘導先URL | hXXps://quinquerise.tigada.cn/Perosnal_member/(伏字含む) | | リンク先IP | 104.21.23.235 | | ホスティング社 | Cloudflare, Inc. | | 設置国 | United States | | ドメイン取得日 | 2026-02-18(超直近取得) | 危険判定のポイント: 本来のドメイン(eki-net.com)が一切含まれないサブドメイン形式となっており、さらにウイルスバスター等で既にブラックリスト入りが確認されています。 >> ip-sc.netでリンク先IP(104.21.23.235)の回線詳細を見る | ■ リンク先サイトの現在の状態 アクセスした際、現在は以下のタイムアウトエラーが表示されることが確認されています。 
稼働状況: 現在はアクセス不可(タイムアウト)となっていますが、これは通報によりサーバーが停止されたか、攻撃者が証拠隠滅のために一時的に遮断している可能性があります。
| ■ 注意点と推奨される対処方法
過去の事例と比較しても、本文の日本語精度は非常に高く、正規サイトの署名を流用するなど巧妙化しています。
- 送信者のメールアドレスが「@eki-net.com」でない場合は即刻削除してください。
- 「2月28日」といった期限付きの警告はフィッシング詐欺の定石です。
- えきねっと公式アプリ、または検索サイトから直接「えきねっと」を検索してログインしてください。
> 【再掲】えきねっと公式:偽メールに関する注意喚起はこちら 解析レポート作成:Gemini Security Analysis | |