【解析】「えきねっと」カード連携でポイント2倍!詐欺メールの正体とIP調査

【調査報告】最新の詐欺メール解析レポート
えきねっとを騙るポイント還元詐欺の技術分析

 

■ 最近のスパム動向


昨今のスパムメールは、従来の「アカウント停止」といった恐怖を煽る手法から、今回のような「ポイント還元」や「キャンペーン特典」といった、ユーザーの心理的ハードルを下げる実利誘引型へと進化しています。特に新年度や季節の変わり目など、鉄道利用が増える時期を狙って「えきねっと」のような公共性の高いインフラサービスを騙るケースが急増しており、注意が必要です。

 

■ メールの解析結果

件名の見出し カード連携で「えきねっと」利用時のポイント2倍!お得な特典をゲット
送信者 eki-net <notice-nppmepgx@xfubevjt.cn>
受信日時 2026-03-01 13:24

▼ 送信者に関する技術情報


送信ドメイン「xfubevjt.cn」は、中国のトップレベルドメイン「.cn」を使用しており、JR東日本が運営する「eki-net.com」とは一切の関連性が認められません。

 

■ メール本文の再現

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。


「えきねっと」カード連携でポイント2倍がずっとお得!

いつも「えきねっと」をご利用いただき、誠にありがとうございます。現在実施中のキャンペーンに参加いただくと、以下のポイントが永続的に2倍になります!

キャンペーン特典

  • クレジットカードポイント:対象カードで「えきねっと」関連の消費(例:えきねっと予約、駅ナカ商店、JREモール等)をすると、カード自体のポイントが2倍!
  • JRE POINT:「えきねっと」での購入や駅ナカ利用時に貯まるJRE POINTが2倍!
  • えきねっとポイント:「えきねっと」のご利用で貯まる独自ポイントが2倍!

**一度連携すれば特典は永続的に適用**されます。この機会をお見逃しなく!

キャンペーン参加方法

以下のリンクから「えきねっと」にログインしてください。ログイン後、自動的にカード連携ページに移動します。

今すぐカードを登録してポイント2倍をゲット!

[リンク先URL]: https://proveory.jzfd***.cn/cdn-cgi/phish-bypass?atok=… (セキュリティのため一部伏せ字)

 

■ メールの目的と専門的見解

【犯人の目的】
最大の目的は、ポイント還元という「エサ」で偽のログイン画面に誘導し、「えきねっとのアカウント情報(ID・パスワード)」および「クレジットカード情報」を窃取することにあります。

【専門的な感想】
ロゴの使用や、箇条書きを用いた整然としたレイアウトは、一見すると公式サイトからの通知と見紛うほどの完成度です。しかし、「**一度連携すれば…**」といった過剰な強調表現や、不自然な中国ドメインなど、細部に攻撃者の粗雑さが現れています。

 

■ サイト回線関連情報(送信元解析)

以下の「Received」ヘッダーは、メールの送信元を特定する信頼できる証拠データです。

Received(送信者情報) from unknown (HELO xfubevjt.cn)
送信元IPアドレス 150.5.130.46
送信元ホスト/回線 bc.googleusercontent.com (Google Cloud Platform)
設置国 Japan (日本)


送信元はGoogleのクラウドインフラを悪用して配信されています。ドメイン名と送信サーバーが一致しておらず、偽装された送信情報であることは明白です。


>> 本レポートの根拠データ:送信元IP解析 (ip-sc.net)

 

■ リンク先ドメイン・サイト調査

リンクドメイン proveory.jzfzdh.cn
IPアドレス 172.67.214.232
ホスティング社 Cloudflare, Inc.
国名 United States (米国)
ドメイン登録日 2026-02-20(直近に取得)

【ドメイン登録日に関する考察】

ドメイン登録からわずか数日しか経過しておらず、これは法執行機関やブラックリストによる遮断を逃れるために「使い捨てドメイン」を直前に用意したことを強く示唆しています。


>> 本レポートの根拠データ:リンク先解析 (ip-sc.net)

 

■ リンク先サイトの状態と画像

現在、このリンク先はウイルスバスター等のセキュリティソフトおよびGoogle Safe Browsingによってブロックされています。アクセスを試みると以下のエラー画面が表示されます。

turnstile token missing


【URLが危険なポイント】
1. Cloudflareのボット対策ツール「Turnstile」が正常に動作していない、あるいは攻撃者が解析回避のために意図的にエラーを吐かせている可能性があります。
2. 稼働状況:現在稼働中(ただしエラーページを表示し、ターゲット以外のアクセスを制限している可能性あり)。

 

■ まとめと推奨される対応


今回の事例は、実在するサービスのデザインを巧みに盗用していますが、送信元やリンク先のデータを確認すれば偽物であることは明白です。

【対処法】
* 宛名(自分のフルネーム)がないメールは疑う。
* リンクをクリックせず、公式アプリやブックマークからログインする。
* 万が一情報を入力した場合は、即座にクレジットカード会社へ連絡してください。


>> えきねっと公式:偽メール・偽サイトへの注意喚起

えきねっと,詐欺メールJREPOINT,えきねっと,カード連携,サイバー犯罪対策,セキュリティレポート,フィッシング詐欺,ポイント2倍,メール解析,個人情報流出,注意喚起,詐欺メール

Posted by heart