【調査報告】EX予約を騙る偽セキュリティ通知メールの解析
【調査報告】最新の詐欺メール解析レポート
解析ステータス:メール解析結果およびリンク先情報の特定完了 |
最近のスパム動向
今回ご紹介するのは「EX予約(エクスプレス予約)」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年現在、旅行需要の回復や新幹線利用者の増加に伴い、JR各社を装った「アカウント更新」や「不正利用通知」という名目のフィッシング詐欺が爆発的に増えています。特に本事例のように、緊急性を煽りつつ公式サイトの電話番号を並記して信用させる手口が主流となっています。
|
| 件名 |
[spam] 【EX予約】 セキュリティ通知第三者が不正に利用を試みた可能性があります |
| 件名の見出し |
冒頭に[spam]とあるのは、サーバー側が送信ドメインの不整合や危険なURLを検知したためです。 |
| 送信者 |
エクスプレス予約 <ad.yjifjcc@ufulvtyg.cn> |
| 受信日時 |
2026-03-01 7:32 |
| 送信者情報 |
送信元アドレスのドメイン「ufulvtyg.cn」は中国の無料・格安ドメインであり、JR東海の正規ドメイン(jr-central.co.jp)とは一切無関係です。もしaaa@bbb.co.jp(自身のメアド)から届いている場合は、表示名を偽装した盗用送信です。 |
メール本文の忠実な再現
|
| ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
EX予約にログインしたことを通知するメールです。
第三者が不正にログインを試みた可能性があります。
ご本人様のご利用でない場合、早急にパスワード再登録を行って下さい。
【PCをご利用の方はこちら】
https://shinkansen1-jr-ce***.jp/rtmksi6mp/index.php
【スマートフォンをご利用の方はこちら】
https://shinkansen1-jr-ce***.jp/nb48ibt66/index.php
ご不明の点は、エクスプレス予約サポートダイヤルまでご連絡ください。
電話
《通話料無料》
個人会員の方 0120-48-3410
法人会員の方 0120-08-3411
《有料》
個人会員の方 06-4960-9873
法人会員の方 06-4960-9875
営業時間 5:30~23:30(年中無休)
※このメールをお送りしているアドレスは、送信専用となっており、返信いただいてもご回答いたしかねます。
|
専門的解説:メールの目的とデザイン
犯人の目的:会員ID、パスワード、およびクレジットカード情報を盗み出すフィッシング詐欺です。盗んだ情報は即座に不正決済や名簿業者への転売に利用されます。
メールデザイン:テキスト主体で非常に素っ気ない構成ですが、下部に本物のサポートダイヤルの番号を記載することで、受信者に「公式からの事務的な連絡」だと思い込ませる心理的な罠が仕掛けられています。宛名が「〇〇様」ではなく空欄である点は、大量送信スパムの典型的な特徴です。
|
危険なポイントと注意点・対処法
1. 送信元の一致を確認:正規の通知メールと送信元アドレスが異なります。
2. リンクを絶対に踏まない:ログインが必要な場合は、必ず公式サイトを検索するか、公式アプリから行ってください。
3. 注意喚起の確認:JR東海公式サイトでは、同様の偽メールに対する注意喚起が既に出されています。
→ JR東海 公式注意喚起ページへ
|
Received(送信者情報)解析
|
| 解析ヘッダー |
from unknown (HELO ufulvtyg.cn) (101.47.76.238) |
| 送信元IPアドレス |
101.47.76.238 |
| ホスティング会社 |
Tencent Cloud Computing (Beijing) |
| 国名 |
中国 (CN) |
| ドメイン登録日 |
2026-02-15(調査時点で取得から半月以内) |
※このIPアドレスは送信に利用された実在の情報です。正規ドメインと偽装の有無を比較しても不整合が明らかです。
→ 送信元メール回線関連情報の詳細(ip-sc.net)
|
リンク先・詐欺サイトの解析結果
|
| リンク先URL |
https://oculatic.ozjg***.cn/RSV_P/smart_index.htm/(伏せ字あり) |
| リンク先IPアドレス |
154.211.14.89 |
| ホスティング会社 |
Global Cloud Network |
| 国名 |
香港 (HK) |
| ドメイン登録日 |
2026-02-25(調査の数日前に取得) |
| サイトの状態 |
現在稼働中(ウイルスバスター等でブロック対象) |
ドメイン登録日に関する考察:登録日が最近(数日前)であるのは、法執行機関やセキュリティソフトによる検知・削除から逃れるための「使い捨て」運用をしているためです。極めて危険なサインです。
→ リンク先サイト回線関連情報の詳細(ip-sc.net)
|
詐欺サイト(フィッシングページ)の外観
本物(スマートEX)のログイン画面を精巧にコピーしていますが、URLが公式サイトではありません。
|
まとめ
今回の「EX予約」を騙るメールは、過去の事例と比較しても電話番号の引用やデザインの模倣度が高く、一見すると騙されやすい構造になっています。しかし、解析の結果、送信元およびリンク先サーバーは中国・香港に集中しており、ドメインも取得直後のものであることが判明しました。
不審なメールを受け取った際は、送信元アドレスのドメインと、リンク先URLを必ず確認するようにしてください。
→ 【改めて確認】エクスプレス予約 公式注意喚起ページ
|
|