【EX予約】 メールアドレスの確認:偽メールアドレス確認通知の危険性
【調査報告】最新の詐欺メール解析レポート 本レポートは、特定された不審な通信およびフィッシングサイトの技術的解析結果を記録したものです。 メールの解析結果 | 最近のスパム動向
今回ご紹介するのは「エクスプレス予約」を騙るメールですが、その前に最近のスパムの動向について。2026年現在、鉄道予約サービスを狙ったフィッシング詐欺は、旅行需要の増加に伴い非常に巧妙化しています。特に「アカウント情報の不備」や「メールアドレスの確認」を名目に、利用者の焦りを突いて偽のログイン画面へ誘導する手口が定着しています。
| 受信メール基本情報 | 件名 | [spam] 【EX予約】 メールアドレスの確認 | | 件名の見出し | サーバーにより[spam]判定(スパムフィルターが異常な送信元を検知したため) | | 送信者 | エクスプレス予約 <order.gnazepr@dfusemij.cn> | | 受信日時 | 2026-02-26 0:26 | ※送信者のメールアドレスが “aaa@bbb.co.jp” 等の形式で受信者と一致する場合、受信者のアドレスを盗用してなりすましている証拠です。 送信者に関する情報: 送信元ドメイン「dfusemij.cn」は中国のトップレベルドメインであり、日本のJR関連サービスが公式に使用することはありません。 | メール本文の忠実な再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
エクスプレス予約をご利用いただきありがとうございます。現在登録されている全てのメールアドレスに、メールをお送りすることができませんでした。
「変更する」ボタンから登録電話番号にてワンタイムパスワードを受信し、メールアドレスを修正してください。 なお、メールアドレスを修正しない場合、以下の機能はご利用いただけません。
・受取コードの発行
・メールサービス
・お客様情報の照会および変更
・お客様情報の初期化 ご予約いただいている列車の乗車日が1ヶ月以上先の場合、列車運用などの理由により、列車の発車時刻等がご希望の内容から変更となることがあります。
この場合、メールでお知らせするため、受信可能なメールアドレスの登録をお願いします。 登録の電話番号が不明な場合は、 こちら から再度会員登録をしてください。 ■よくあるご質問はこちら
https://expy.j●/faq/ ■お問合せ(エクスプレス予約カスタマーセンター)
※音声案内に従って、会員IDを入力してください。
電話 0120-417-419
営業時間 5:30~23:30(年中無休) ※このメールをお送りしているアドレスは、送信専用となっており、返信いただいてもご回答いたしかねます。 | | メールのデザインと専門的解説
メールのデザイン: 非常にシンプルで、公式ロゴすら使用されていない「テキスト主導」のデザインです。しかし、フォントの使い分けや構成は実物の事務通知を模しており、不用心な利用者を信じ込ませるには十分な作りです。
犯人の目的: エクスプレス予約(スマートEX)の会員IDおよびパスワードの窃取、およびその後に続くクレジットカード情報の奪取です。 専門的見地からの言及: 本文中に宛名(会員名)がない点は致命的な不自然さです。また、「全てのメールアドレスに送れなかった」と言いつつ、その通知自体がメールで届いているという論理的破綻が見られます。 ▶ 公式サイトでの注意喚起を確認する | Received(送信者情報)解析 以下のデータは、このメールが実際にどこから送信されたかを示す「生の情報」です。 | Receivedヘッダー | from unknown (HELO dfusemij.cn) (150.5.130.28) | | 送信IPアドレス | 150.5.130.28 | | ホスト名 | 28.130.5.150.bc.googleusercontent.com | | ホスティング社名 | Google Cloud Platform | | 国名 | United States (米国) | | ドメイン登録日 | 2026-02-18(調査時点からわずか8日前) |
※カッコ内のIP(150.5.130.28)は信頼できる送信者情報です。Google Cloudのインフラが悪用されており、送信ドメイン dfusemij.cn と比較しても明らかに公式の送信ルート(JR東海の自社設備)ではありません。
▶ メール回線関連情報を解析ページで確認 | リンク先サイトの解析レポート | リンク箇所 | 本文中の「変更する」および「こちら」ボタン | | リンク先URL | https://psilatory.cqekrv.c●/RSV_P/smart_index.htm/ (伏字を含む) | | 解析ドメイン | psilatory.cqekrv.cn | | ドメインIPアドレス | 104.21.72.186 | | 国名 | United States (Cloudflare経由) | | ブロック状況 | AdGuardおよびGoogle Safe Browsingにてブロックを確認 |
ドメイン登録情報: 登録日は2026年02月20日頃。登録から数日しか経過していないドメインが、大手決済サービスのログインページとして利用されることは100%あり得ません。これは攻撃用に使い捨てられる典型的なドメインです。
▶ サイト回線関連情報を解析ページで確認 | 詐欺サイトの視覚的特徴 
【偽のログイン画面:スマートEXを巧妙に偽装】
※画像は調査環境でキャプチャしたものです。現在は稼働中ですが、速やかに閉鎖される可能性があります。
URLが危険なポイント: 誘導先のドメインに「expy.jp」が含まれておらず、全く無関係な文字列(cqekrv.cn)です。デザインは本物そっくりですが、入力を促す項目(会員ID・パスワード)はすべて犯人側に送信されます。
| まとめ:被害を未然に防ぐために
今回の事例は、過去に流行した「三井住友カード」や「えきねっと」を騙るフィッシングメールと酷似した構成です。送信元アドレスと本文中の誘導先URLを比較するだけで、その異常性は明らかです。
- 送信者アドレスを確認: JR公式(@expy.jp)以外からの通知はすべて疑ってください。
- 宛名の有無を確認: 氏名のない一斉送信メールは詐欺の可能性が極めて高いです。
- リンクを踏まない: アプリや事前に登録したブックマークからのみログインしてください。
公式注意喚起リンク: 【重要】エクスプレス予約を騙る不審なメールについて | |