【解析】JCBカード年会費無料キャンペーン詐欺メールの正体
【調査報告】最新の詐欺メール解析レポート
メール解析結果:JCBカードを騙るフィッシング詐欺の構造分析
|
最近のスパム動向
今回ご紹介するのは「JCBカード」を騙るメールですが、その前に最近のスパムの動向を解説します。現在、クレジットカード業界を標的とした攻撃では、従来の「アカウント停止」といった脅し文句に加え、「年会費無料」や「ポイント還元」などの「利用者の利益」を餌にする手法が急増しています。特に本事例のように、3日間という極めて短い有効期限を設定することで、利用者に正規のサイトかどうかを確認させる時間を与えない心理的な追い込みが特徴的です。
|
メール配信情報の識別
| 件名 |
[spam] 【JCBカード】年会費無料キャンペーン エントリー受付中 |
| 件名の見出し判定 |
件名に[spam]と刻印されています。これは、送信元ドメインの信頼性(SPF/DKIM等の認証)が著しく低い、あるいは本文内のURLが既にブラックリストに登録されているため、サーバー側で自動的に危険と判断された証拠です。 |
| 送信者 |
“ジェーシービーカードセンター" <noreply@mailweb.tui98.com> |
| 受信日時 |
2026-02-27 14:50 |
|
送信者に関する情報の解析
送信元ドメイン「mailweb.tui98.com」を精査したところ、JCBの正規ドメインとは一切接点がありませんでした。攻撃者は、それらしいサブドメインを付与することで、一見して公式からの通知であるかのように錯覚させる技術的偽装を行っています。
|
メール本文の忠実再現
※できる限り忠実に再現していますが、実際の詐欺メールとデザインが異なる場合もあります。URLには伏字を施しています。
【JCBカード】年会費無料キャンペーン エントリー受付中
JCBカード会員様
いつもJCBカードをご利用いただき、ありがとうございます。
現在、翌年度の年会費が無料となるキャンペーンのエントリーを
受け付けております。エントリー期限が近づいておりますので、
お早めのお手続きをおすすめいたします。
━━━━ キャンペーン概要 ━━━━
◆ 特典:翌年度年会費 11,000円(税込)無料
◆ 条件:カードご利用3回以上
◆ エントリー期限:本メール配信日より3日間
▼ エントリーはこちら
→ hxxps://my.jcb.co.jp/L**** (偽装表示URL)
まだエントリーがお済みでない方は、上記リンクより
MyJCBにログインのうえ、お手続きください。
※ エントリー後、期間中に条件を達成すると自動適用されます。
※ 詳細は申込ページにてご確認ください。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
株式会社ジェーシービー
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
|
|
メールの目的および専門的解析
犯人の目的: クレジットカード情報(番号・有効期限・CVV)および「MyJCB」のログイン資格情報を不正に取得し、金銭的詐取を行うことです。
デザインの指摘: 公式ロゴを模倣してはいるものの、署名部分に具体的な問い合わせ先電話番号や所在地がなく、非常にあっさりとして素っ気ない作りです。これは、大量送信を行う際に手間を省き、フィルターを回避しようとする攻撃者の意図が見て取れます。
危険なポイント: 宛名が「JCBカード会員様」と一般化されています。正規の重要通知であれば、会員登録された氏名がフルネームで記載されるのが通例です。
JCB公式:不審なメールへの注意喚起リンク
|
Received:メール回線関連情報解析
本データはメール送信に使用されたサーバーの生の記録であり、隠蔽できないエビデンスです。
| 解析対象データ |
from mailweb.tui98.com (5.193.88.34.bc.googleusercontent.com [34.88.193.5]) |
| 送信元IPアドレス |
34.88.193.5 |
| 逆引きホスト名 |
5.193.88.34.bc.googleusercontent.com |
| ホスティング社名 |
Google Cloud (Google LLC) |
| 送信国名 |
Belgium (ベルギー) |
技術的解説: ホスト名に含まれる「bc.googleusercontent.com」により、攻撃者がGoogle Cloud Platform(GCP)の正規インフラを悪用してメールを配信したことが確定しています。カッコ内のIPアドレス「34.88.193.5」は改ざん不可能な送信者の足跡です。送信元のドメイン設定を調べると、正規のJCBサーバーとは全く異なる経路から送信されており、偽装が裏付けられます。
■ 送信サーバー解析詳細(ip-sc.net):
https://ip-sc.net/ja/r/34.88.193.5 |
誘導先リンクおよび詐欺サイト解析
| リンク箇所 |
「https://my.jcb.co.jp/Login」と記載されている部分 |
| 実際のリンク先URL |
hxxps://bor1a7777.com/emjb**** (伏字含む/リンク無効化) |
| サイトの状態 |
Sorry, your request timed out.(アクセス遮断またはサーバー停止) |
| セキュリティソフト判定 |
Googleセーフブラウジング、ウイルスバスター等により「危険」と判定済み |
|
サイト回線関連情報(bor1a7777.com)
| IPアドレス |
154.213.16.142 (解析時データ) |
| ホスト名 |
ip142.154-213-16.static.anycast.net |
| 国名 |
Hong Kong (HK) |
| ドメイン取得日 |
最近取得されたドメイン(数日以内) |
専門的な洞察: ドメインの取得日が極めて最近である理由は、詐欺業者がセキュリティ団体によるブラックリスト登録や通報によるサイト閉鎖を回避するため、新しいドメインを次々と取得し、数日単位で使い捨てる「バーナードメイン戦略」を採用しているためです。これにより、常に「新築のサイト」として検知を逃れようとしています。
■ 誘導先サイト解析エビデンス(ip-sc.net):
https://ip-sc.net/ja/r/bor1a7777.com |
詐欺サイトの視覚的証拠
【詐欺サイトの現在の表示状態】
解析時、誘導先サイトは既に「タイムアウト」となっており、通常のアクセスは遮断されています。これは詐欺が発覚し、ホスティング会社によってアカウントが凍結されたか、あるいは特定の地域以外からのアクセスを拒否するフィルターが作動している可能性があります。
|
まとめ・推奨される対応
今回の事例は、JCBブランドを騙る典型的なフィッシング詐欺です。過去の事例と比較しても、本文の内容が簡素化されており、より手軽に被害者を釣り上げようとする攻撃者の焦りが見えます。
推奨される対策:
- メール内のリンクは決してクリックせず、即座に削除してください。
- 「年会費無料」などの甘い勧誘には、まず公式サイトのキャンペーン一覧を確認する習慣をつけてください。
- ログインが必要な場合は、必ずブラウザのブックマーク、または公式アプリからアクセスしてください。
JCBカード 公式サイトはこちら
|
|
