【公開】詐欺確定!「ポイント利用期限に関するお知らせ」メール。Googleクラウドを悪用した卑劣な手口を暴く
【実録】「[spam] ポイント利用期限に関するお知らせ」を徹底解析!偽JCBサイトへと誘う闇の正体を暴く【閲覧注意】
今回ご紹介するのは「JCB」を騙るメールですが、その前に最近のスパムの動向を解析すると、4月の新生活や年度初めの慌ただしさに乗じ、カードの「ポイント失効」をエサにしてID・パスワードを盗み取る手口が急増しています。
1行目: JCBカードの会員サイト「MyJCB」を装った巧妙なフィッシングメール
2行目: 送信元が海外の窓掃除屋ドメイン、誘導先は全く無関係なサーバー
3行目: ログイン情報は絶対に入力せず、このレポートを共有して被害を防いでください!
【調査報告】最新の詐欺メール解析レポート ※本レポートはフォレンジック調査に基づいた解析結果です。 ■ メールの基本情報
【件名】 [spam] ポイント利用期限に関するお知らせ#0200818
【判定】 件名の冒頭に「[spam]」があるのは、サーバーが既にこのメールを「ゴミ」あるいは「毒」として自動検知している証拠です。この目印がある場合は迷わず削除が鉄則です。 【送信者】 “JCBカスタマーセンター” <service@mail6.duckyswindowcleaning.com> 【受信日時】 2026-04-16 18:25 | ■ 送信者に関する解析 ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 | ■ 本文の再現と異常箇所の特定 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 | JCBからのご案内 | | 
JCBカード会員 様平素よりJCBカードをご利用いただき、ありがとうございます。現在のポイント状況についてご案内いたします。 | ポイント残高の一部につきまして、ご利用期限が近づいております。 なお、確認手続き完了後、ポイントの利用期限は最大1年間延長される場合があります。 | | 対象カード:JCBカードポイント残高:5,122ポイント ※ 1ポイント=約2円相当 ご利用期限:2026年4月20日 | ※誘導先URL:hxxps://patitapabanconstructions.com/la(伏せ字) ポイントの詳細や各種お手続きにつきましては、会員専用ページよりご確認いただけます。 今後ともよろしくお願いいたします。 | 本メールは送信専用です。© JCB Co., Ltd. | | | ■ 犯人の目的と解析結果 この犯人の目的は、JCBのログインID(MyJCB ID)とパスワード、そしてその後の画面で入力させるであろうクレジットカード情報を盗み出すことです。
画像のように、メールにはJCBのロゴがありますが、末尾に「正式な署名」「カスタマーセンターの電話番号」「所在地」が一切ありません。これは本物の案内ではあり得ない欠落です。
また、5,122ポイントという具体的な数字を出して「もったいない」という心理を突き、数日後の失効期限(4月20日)で焦らせるという典型的な詐欺の手口です。 | ■ 送信元・Receivedヘッダー解析
Received: from mail6.duckyswindowcleaning.com (48.12.146.34.bc.googleusercontent.com [34.146.12.48])
これは送信に利用した情報であり、カッコ内のIPアドレス「34.146.12.48」は、信頼できる送信地点の情報です。
ホスト名に含まれるbc.googleusercontent.comは、Google Cloud上のサーバーであることを示しています。
このIPアドレスのロケーションも東京都杉並区ですね。地図が常に特定の地点を指し示すのは、犯人が自身の足跡を消すためにGoogleの巨大なクラウドインフラを「隠れ蓑」として悪用している決定的な証拠です。
犯人は自分のパソコンから直接メールを送っているのではなく、クラウド上の仮想サーバーを使い捨ての「発信基地」として利用しています。この「匿名性の高いインフラの私物化」こそが、現代の組織的なフィッシング詐欺の典型的な手口です。
【送信ドメイン】 mail6.duckyswindowcleaning.com
【送信IP】 34.146.12.48
【国名】 日本(Google Cloud 東京リージョン) 【ホスティング社】 Google LLC 【ドメイン登録日】 whois情報によれば数年前から存在しますが、正規の窓掃除業者のドメインが「乗っ取られて」踏み台にされている可能性が極めて高いです。 >>送信元IPアドレスの根拠データを ip-sc.net で確認 | ■ リンク先「詐欺サイト」の正体
【リンク箇所】 「確認ページへ」ボタン
【偽URL】 hxxps://patitapabanconstructions.com/la(伏せ字加工) 【脅威判定】 ウイルスバスター等のセキュリティソフトにて「フィッシング詐欺サイト」として即時ブロックを確認。
■ リンクドメイン・サイト回線関連情報
【ドメイン】 https://www.google.com/search?q=patitapabanconstructions.com
【IPアドレス】 162.241.216.147
【国名】 アメリカ合衆国(United States) 【ホスティング社】 Unified Layer (Bluehost Inc.) 【ドメイン登録日】 2026年03月(メールが届くわずか1ヶ月前に取得されています) ドメイン登録日が極めて最近である理由は、警察やセキュリティ組織によるブラックリスト登録(凍結)を逃れるために、犯人が「使い捨てドメイン」を直前に用意したためです。これは詐欺サイト特有の挙動です。 >>詐欺サイトIP:162.241.216.147 の解析ページを表示 | ■ 詐欺サイトの潜入画像 
▲ 実際の詐欺サイト。本物(MyJCB)を完璧にコピーしていますが、URLが全く違います。 【危険ポイント】 画像の通り、デザインはJCBそのものですが、画面上部の「サービス停止のご案内」などのリンクは機能していなかったり、不自然な挙動を見せたりします。ここでIDとパスワードを入力した瞬間、情報は犯人の元へ送信されます。 | ■ 過去事例との比較・公式注意喚起 過去のJCB詐欺では「カードの利用制限」を理由にするものが多かったですが、今回は「ポイントの有効期限」という、より身近で警戒心を解きやすいネタが使われています。JCB公式サイトでも同様の手口への警告が出ています。 【重要】JCB公式サイト:フィッシングメールへの注意喚起 | 身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。 |
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る
② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る
