【解析】ANAを騙る「アカウントセキュリティのご案内」詐欺メール調査報告
| 【調査報告】最新の詐欺メール解析レポート 発行日:2026-03-18 | 解析種別:フィッシング詐欺・インフラ調査 |
| ■ 最近のスパム動向について 今回ご紹介するのは「ANA(全日本空輸)」を騙るフィッシングメールですが、その前に最近のスパムの動向を解説します。昨今、AIを用いた自然な日本語の生成により、以前のような「不自然なフォント」や「明らかな誤字」が減少しています。特に、旅行需要の回復に伴い、航空会社やJR各社を装い「不正ログイン」や「ポイント失効」を煽ってクレカ情報を盗む手口が常態化しており、受信者の焦りを突く手法が巧妙化しています。 |
| 1. 受信メール基本データ | |
| 件名 | [spam] 【緊急対応】ANAマイレージ アカウントセキュリティのご案内 |
| 件名の見出し | 件名の冒頭にある [spam] は、受信サーバーがこのメールを「迷惑メール」と確定診断した際に付与されるタグです。SPF/DKIM等のドメイン認証に失敗しているため、機械的に排除されています。 |
| 送信者 | “ANA” <teshima_1958@kangaroo.eukslmy.cn> |
| 受信日時 | 2026-03-17 15:21 |
| 送信者情報 | 送信元アドレスのドメインが .cn(中国) となっており、全日本空輸(ana.co.jp)とは一切関係がありません。個人のメールアドレスを盗用、あるいはランダム生成して送信している可能性が極めて高いです。 |
| ■ メール本文の忠実な再現 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
|
| ■ 犯人の目的と専門的考察 犯人の目的: 本件の最終目的は、ANAマイレージクラブのログインID(会員番号)・パスワードを盗み出し、登録されているクレジットカード情報を決済に利用、あるいはマイルを不正に他社ポイントへ交換し換金することです。 デザインの欠陥: 本文はテキスト主体で構成されており、企業の公式メールにあるべきロゴ画像や、特定商取引法に基づく表記、正しい署名が一切ありません。何より、特定の個人名ではなく「会員様」という不特定多数向けの呼びかけを行っている点が決定的な偽物である証拠です。 |
| 2. Received: 送信インフラ解析 | |
| 送信経路情報 | from kangaroo.eukslmy.cn (unknown [103.229.254.26]) |
| 送信利用IPアドレス | 103.229.254.26 ※これは攻撃者がメール配信に直接利用した信頼できる送信者情報です。 |
| ホスティング/回線種別 | KIMIVPN(AS139007) |
| 物理的設置国 | Hong Kong (HK) |
| ドメイン登録情報 | 登録日:解析不能(Whois保護により秘匿)。公式ドメイン ana.co.jp との共通点はゼロであり、明らかに偽装されています。 |
| メール回線関連情報 | 解析の根拠となる詳細データは以下より確認可能です: https://ip-sc.net/ja/r/103.229.254.26 |
| 3. 誘導先詐欺サイトの構造解析 | |
| 誘導URL | https://fbafuq.cn/g1/a2/h3/eq=a●●/(伏字あり) |
| リンク先IPアドレス | 172.67.218.151 |
| ホスティング社名 | CLOUDFLARENET |
| 国名 | United States (US) |
| ドメイン登録日 | 最近取得されたドメインです。短期間のフィッシングキャンペーンのために急造されたものであり、正規サイトではあり得ない履歴です。 |
| サイト回線関連情報 | 詐欺サイトサーバーの詳細解析: https://ip-sc.net/ja/r/172.67.218.151 |
| 稼働状況 | 稼働中 ただし、以下の画像にある通り「We apologize, but your request has timed out…」という偽のエラーメッセージを表示し、クローラーや解析者を追い返そうとしています。 |
| ■ 詐欺サイトの外観(偽のエラー表示)
|
| ■ 危険回避のための対処法 過去の事例と比較しても、本文中に「異常ログインの場所」や「IPアドレス」を具体的に記載して信憑性を高める手法が継続されています。しかし、ANAが .cn ドメインからメールを送ることは100%ありません。 不審なメールを受け取った場合は、メール内のリンクは決して開かず、必ず公式URLからログインして状況を確認してください。 ▼ ANA公式サイトによる注意喚起ページ(正確なURL) |