【解析】えきねっと詐欺メール「お支払い情報のご確認」を徹底解剖
【調査報告】最新の詐欺メール解析レポート
メールの解析結果:インフラ機能を悪用した高度なフィッシング手法の特定 |
■ 最近のスパム動向
今回ご紹介するのは「えきねっと」を騙るメールですが、その前に最近のスパムの動向を解説します。現在、2026年春の行楽シーズンを控え、新幹線予約やポイント還元を餌にした詐欺が激増しています。特に「お支払い情報の不備」を理由に24時間以内の更新を迫る「緊急性」を演出する手法が主流となっており、視覚的に判別が困難な公式ロゴの盗用が常態化しています。
|
■ メール解析結果(基本情報)
| 件名 |
[spam] 【えきねっと】お支払い情報のご確認と更新のお願い No.3708935000 |
| 件名の見出し |
「[spam]」という文字列が先頭にある場合、受信サーバー側で「送信ドメイン認証の失敗」や「既知のスパムパターン」を検出し、自動的にフラグを立てていることを示します。 |
| 送信者 |
“えきねっと" <odlcwxsqnc@mail3.bayanyeri.com> |
| 受信日時 |
2026-02-28 0:55 |
| 送信者に関する情報 |
表示名は「えきねっと」ですが、実際のアドレスは公式ドメイン(eki-net.com)ではなく、無関係な海外ドメイン(bayanyeri.com)が使用されています。なお、もし送信者が受信者自身のアドレス(aaa@bbb.co.jp等)になっている場合は、メールアドレスを盗用した「なりすまし」の手法です。 |
■ メール本文の再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
※このメールはえきねっとより自動配信されています。
お支払い情報のご確認と更新のお願い
いつも「えきねっと」をご利用いただき、誠にありがとうございます。
現在、登録されているお支払い情報が無効になっていることが確認されました。
以下の原因が考えられます:
- 発行元の金融機関が現在のクレジットカードでの「えきねっと」決済をサポートしていない
- ご登録のクレジットカードが失効している
えきねっとの各種サービスを引き続きご利用いただくため、お手数ですが以下の手順でお支払い情報の確認および更新をお願いいたします。
お支払い情報の更新手順
1. 以下のボタンをクリックし、「えきねっと」にログインしてください。
お支払い情報の確認・更新はこちら(リンク先:https://auxmaa.com/eki●●●/)
1. ログイン後、「会員メニュー」内の「お支払い情報の確認・更新」を選択してください。
2. 現在の登録情報をご確認の上、新しい情報を入力し「保存」を押してください。
△ ご注意
- 未更新の場合、一部サービスがご利用いただけなくなる場合がございます。
- 本メールは重要なお知らせです。お早めの対応をお願いいたします。
お問い合わせ先
えきねっとサポートセンター
TEL:050-2016-5000(8:00~22:00)
公式サイト:https://www.eki-net.com.●●●/(伏せ字)
よくあるご質問
プライバシーポリシー
© JR East Net Station Co., Ltd. All Rights Reserved. |
|
■ 専門的な解析と考察
【犯人の目的】
最大の目的は、えきねっとのログインID・パスワード、およびその後の画面で入力させるクレジットカード情報の窃取(フィッシング)です。盗んだ情報はダークウェブで転売されるか、犯人グループによる不正利用(高額決済)に直接悪用されます。
【メールのデザインと怪しい点】
ロゴやキャラクターを公式から盗用しており、一見すると本物のように見えます。しかし、宛名が「お客様名」ではなく「いつも『えきねっと』をご利用いただき」と全ユーザー共通の挨拶になっている点は致命的なおかしな点です。また、送信元アドレスと本文中のリンク先が公式サイトとは全く異なる「bayanyeri.com」や「auxmaa.com」である点は非常に強く言及すべき異常事態です。
|
■ 送信元・回線情報(Receivedヘッダ解析)
| Received(送信者情報):送信に利用された信頼できる経路データ |
| 送信ドメイン |
mail3.bayanyeri.com |
| 送信IPアドレス |
136.110.101.46(送信者が利用した信頼できる生の情報) |
| ホスティング/ホスト |
Google LLC (bc.googleusercontent.comが含まれるため、Google Cloudプラットフォームを偽装または悪用) |
| 国名 |
United States (米国) |
| ドメイン登録・更新日 |
2026-02-15 取得(攻撃のわずか2週間前に用意された、典型的な使い捨てドメインです) |
| 回線関連解析リンク |
https://ip-sc.net/ja/r/136.110.101.46 |
■ 誘導先サイト(詐欺サイト)の詳細解析
| リンク箇所 |
本文中央の「お支払い情報の確認・更新はこちら」 |
| リンク先URL |
https://auxmaa.com/eki●●●/(伏せ字を含む。物理リンク無効化済み) |
| ブロック有無 |
検体確認時、ウイルスバスターやGoogleブラウザからのブロックを回避している「稼働中」の非常に危険なサイトです。 |
▼ リンクドメイン・サーバー解析(Whois/IP-SC)
| ドメイン名 |
auxmaa.com |
| IPアドレス |
172.67.165.114(伏せ字なしの生データ) |
| ホスティング社名 |
Cloudflare, Inc. (セキュリティ回避のためにCDNを利用) |
| 国名 |
United States (米国) |
| ドメイン登録日 |
2026-02-20(わずか8日前に登録。詐欺サイト運用のために短期契約されたドメインです) |
| URL危険ポイント |
公式のeki-net.comを模したディレクトリ構造にしていますが、親ドメインが全く無関係な点、および登録日が直近すぎる点が危険の証拠です。 |
| サイト回線情報リンク |
https://ip-sc.net/ja/r/172.67.165.114 |
■ 詐欺サイトの画像(ログイン画面)
| 【警告:実際のフィッシング画面】
画像は実際の「auxmaa.com」の表示です。本物の「えきねっと」と見分けがつかないほど精巧ですが、URLバーが異なります。
過去事例と比較しても、UIパーツの盗用レベルが非常に高く、一般の利用者が騙されるリスクが非常に高い個体です。
|
■ メールの注意点と対処方法・まとめ
|
