【解析】イオンカード「お客様情報ご更新のお願い」詐欺メールの通信経路と偽サイトの正体

【調査報告】イオンカードを装うフィッシング詐欺メール解析レポート

本ドキュメントは、検知された不正通信および偽装ドメインの技術的解析結果を記録したものです。

 

■ 最近のスパム動向


現在、「イオンカード」や「イオンクレジットサービス」を騙り、本人確認を装ってクレジットカード情報を盗み取るスパムが急増しています。特に2026年3月に入り、年度末の会員情報の整理を口実にするケースが目立ちます。今回解析するメールは、Cloudflareの待機画面を模倣した「ブラウザを確認しています」という中間ページを挟むことで、セキュリティソフトの自動スキャンを回避しようとする高度な手法が確認されました。

 

メールヘッダー・基本情報解析
件名 【要確認】イオンカード お客様情報ご更新のお願いNo.56441257
送信者 “イオンカード株式会社” <notify@aeon.co.jp>
送信者の真偽 偽装。 送信ドメイン認証(SPF/DKIM)の結果、正規のサーバーから送信されていません。
受信日時 2026-03-17 09:58

 

■ メール本文の忠実再現

※解析用データのためリンクはすべて無効化しています。実際の画像レイアウトをテキストで再現しています。


イオンカードAEON CARD
イオンクレジットサービス株式会社
お客様情報確認のお願い
登録内容に誤りがあるため、ご確認ご更新をお願いいたします

お客様各位

平素よりイオンカードをご利用いただき、誠にありがとうございます。

■ お客様情報の確認が必要です

ご登録いただいているお客様情報に誤りまたは変更があることが判明いたしました。
お手数ですが、下記期限までに情報の更新をお願いいたします。

2026年3月18日 17:00
※期限までに更新がない場合、カードのご利用を一部制限させていただく場合がございます

お客様情報を更新する

※更新にはイオンスクエアメンバーIDへのログインが必要です

■ ご自身での更新が難しい場合
お近くのイオン、イオンスタイル、マックスバリュなどの店舗内にあるイオンカードカウンターでもお手続きいただけます。

■ お客さまサポート
イオンカード お客さまサポートセンター
電話:0120-223-212 (受付時間:平日 9:00-19:00、土日祝 9:00-17:00)
公式サイト:https://www.aeon.co.jp/


発行:イオンクレジットサービス株式会社
〒101-0065 東京都千代田区神田3丁目8番1号
配信停止 | イオンカード公式サイト | プライバシーポリシー

 

 

犯人の目的と技術的考察

【犯人の目的】
イオンスクエアメンバーのID・パスワード、およびクレジットカード番号、セキュリティコード、本人確認書類の画像を盗み取ることが目的です。


【専門的解説:ここが怪しい】
1. 不自然な期限設定: 2026年3月18日17:00という非常にタイトな期限を設け、冷静な判断力を奪おうとしています。
2. 背景デザインのテンプレート: 末尾の数行が水色の背景色になっている構成は、フィッシング詐欺グループが多用する典型的なメールテンプレートです。
3. 電話番号の精査: 記載されている「0120-223-212」は実在する番号ですが、これによって「本物だ」と思い込ませ、リンクを踏ませるための信頼性担保として悪用されています。

【公式サイトによる注意喚起】
イオンカード公式:不審なメール・SMSへのご注意について

 

Received:送信元インフラ解析
送信元ドメイン bestchilehotels.com
送信IPアドレス 34.16.234.112 (信頼できる送信パスデータ)
ホスト名 34.16.234.112.bc.googleusercontent.com
ホスティング社 Google Cloud Platform (GCP)
国名 United States (米国)
ドメイン登録日 Whois解析の結果、正規のイオンとは一切関係のない海外ホテル関連のドメインが乗っ取られたか、悪用されている可能性があります。

■ 送信元回線解析レポート(エビデンス)
https://ip-sc.net/ja/r/34.16.234.112

 

リンク先詐欺サイト解析レポート
誘導URL https://login.planass.com/hN7u●●●.jpg (伏字を含む/リンク無効化)
IPアドレス 104.21.32.228
ホスト名 cloudflare.com (CDN保護下)
国名 United States (米国)
ドメイン登録日 直近1ヶ月以内の取得を確認。攻撃の直前に準備された「使い捨てドメイン」の典型例です。
稼働状況 稼働中(危険) ウイルスバスター等のセキュリティソフトによるブロックを確認済み。

 

リンク先サイトの挙動(証拠画像)
【第1段階:自動リダイレクト待機画面】

【第2段階:アクセス拒否表示(セキュリティ検知時)】


このように、正規のイオンカードのログイン画面ではなく、セキュリティチェックを装った不審な挙動が確認されます。

■ サイト回線関連情報・詳細解析
https://ip-sc.net/ja/r/104.21.32.228

 

■ まとめと対策


今回の検体は、送信元にGoogle Cloud、リンク先保護にCloudflareを悪用し、正規のセキュリティチェックを模倣することでユーザーを安心させる巧妙な作りになっています。

【重要】 過去の事例と比較しても、公式サイトのデザインを極めて精巧に盗用しています。メールに記載されたリンクは絶対にクリックせず、公式アプリ「イオンウォレット」等を利用してください。

イオンカード公式サイト(正規URL):https://www.aeon.co.jp/

詐欺メール,イオンカードIPアドレス解析,イオンカード,イオンクレジットサービス,サイバー犯罪,スパムメール,セキュリティレポート,なりすまし,ネット犯罪対策,フィッシングサイト,フィッシング対策,フィッシング詐欺,不正アクセス,個人情報漏洩,注意喚起,送信元偽装

Posted by heart