【閲覧注意】ユニクロ「年間メンバーシップ還元ポイント」は詐欺メール——スマホでアクセスすると別人格を見せるクローキングと携帯番号詐取の手口
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆ (3/5) 携帯電話番号の詐取が主目的とみられ、即座の金銭被害には直結しにくい |
| 偽装工作精度 | ★★★☆☆ (3/5) 偽サイトの見た目は精巧だが、送信元アドレス自体はユニクロと無関係であることが一目で分かる |
■ メールヘッダー解析(送信者情報)
件名:[spam] 【ユニクロ】年間メンバーシップ還元ポイントのご案内
表示上の送信者名:“ユニクロギフト事務局”
送信元アドレス:TQKPHD@ptxmtonh.coupon.ntkldp.com
送信元IP:35.215.65.207(Google Cloud上のサーバーとみられる)
受信日時:2026年6月22日 17:30
SPF認証:Pass(ただし要注意)
DKIM署名:あり(攻撃者自身が管理するドメインに対する署名)
ご覧の通り、このメールはユニクロを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。なお宛名部分は受信者の個人情報保護のため「○○様」に置き換えています。
件名:[spam] 【ユニクロ】年間メンバーシップ還元ポイントのご案内 送信者:"ユニクロギフト事務局" <TQKPHD@ptxmtonh.coupon.ntkldp.com> UNIQLOANNUAL MEMBERSHIP REPORT ○○ 様 いつもユニクロをご愛顧いただき、誠にありがとうございます。 お客様の過去1年間のユニクロでのご購入実績を集計いたしました。日頃のご愛顧に感謝を込めて、ご利用金額に応じたメンバーシップ還元ポイントを進呈いたします。 年間メンバーシップ還元サマリー 対象期間 2025年6月〜2026年5月 対象ご購入 ユニクロ店舗・オンラインストア 還元種別 メンバーシップ還元ポイント 会員限定 還元ポイント ご購入金額に応じて算出 ※正確な還元ポイント数は専用ページにてご確認いただけます。 年間還元ポイントには受取期限がございます。期限を過ぎますと還元が無効になりますので、お早めにご確認をお願いいたします。 年間還元ポイントを確認する 受取期限が迫っています − お早めにご確認ください ※ 本還元はメンバーシップ会員様限定の年間プログラムです。 ※ お手続きにはご本人確認のため携帯電話番号の入力が必要です。 株式会社ユニクロ 〒107-0062 東京都港区南青山2-2-15 ※ 本メールは自動送信されています。お心当たりのない場合は破棄してください。
※実際に届いたメールの画面です。
このメール、実は送信者欄を見るだけで偽物だと分かります。表示名は「ユニクロギフト事務局」と親切に書かれていますが、実際のメールアドレスはptxmtonh.coupon.ntkldp.com——ユニクロの公式ドメイン(uniqlo.comなど)とは全く関係のない文字列です。さらに本文をよく読むと「正確な還元ポイント数は専用ページにてご確認いただけます」と肝心の金額をはぐらかしながら、「お早めにご確認ください」と急かす——もらえる額がわからないのに急がせる、という時点で本来は立ち止まるべきポイントです。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
※メールヘッダー詳細は個人情報保護のため非掲載
送信元IP:35.215.65.207(Google Cloud上のサーバーとみられる)
HELO名:coupon.ntkldp.com
【偽装判定】:
ユニクロの公式メールドメインは uniqlo.com です。本メールの送信ドメイン「ptxmtonh.coupon.ntkldp.com」は、ユニクロとは一切関係のない、攻撃者が独自に管理するドメインです。SPF認証は「Pass」と表示されますが、これは攻撃者自身のドメインに対する認証が通っているだけで、ユニクロからの正規メールであることを意味しません。
発信元ロケーション解析:
IPアドレス調査:ロサンゼルス【ip-sc.netで詳細を確認する】(※具体的な地名は未取得のため、ご確認いただければ追記します。ロケーション情報は変動する場合があります)
■ 誘導先解析——PCとスマホで「別人格」を見せるクローキング
PCからアクセスした場合:hxxps://login.a5doudou[.]com/(一部伏字)
当ラボのPC環境からアクセスしたところ、「アクセス拒否 リクエストがブロックされました。後ほどお試しください。」という無害なエラー画面が表示され、その先には進めませんでした。
スマホからアクセスした場合:hxxps://login.xuexinonline[.]com/home(一部伏字)
同じリンクでも、スマートフォンのブラウザからアクセスすると、ユニクロの公式ロゴを使った精巧な偽サイトが表示されます。
誘導先サーバー:いずれもCloudflare(IPアドレス104.21.x.x帯)の背後に隠れており、本来のサーバーの所在地は特定できません。
IPアドレス調査:【ip-sc.netで確認する】
【サイトの状態】:調査用クローラーやパソコンからのアクセスには無害なエラーを返し、スマートフォンからのアクセスにのみ偽サイトを見せるという、攻撃者にとって「ばらまき先」を限定するための仕組みが組み込まれています。
※パソコンから開くと、ただのエラー画面が出るだけです。
※スマートフォンから開くと、本物そっくりの偽サイトが現れます。
スマホ版の偽サイトでは「お客様に1,000〜3,000円分のユニクロギフトカードが当たりました!」と表示され、受け取りには電話番号の入力とSMS認証が必要だと案内されます。メール本文では「ご利用金額に応じた還元ポイント」という曖昧な書き方だったのに、サイトに着くと突然「1,000〜3,000円」という具体的かつ控えめな金額に変わっている——約束していた話の規模がいつの間にか縮んでいるあたり、攻撃者側の台本にも多少のズレがあるようです(笑)。
■ 注意点と対処法
- 送信元アドレスを必ず確認する:表示名ではなく、実際のメールアドレスのドメイン部分(@より後ろ)を確認してください。今回のように一目で「uniqlo.com」ではないと分かるケースも多くあります。
- 知らないサイトで携帯電話番号やSMS認証コードを入力しない:入力した電話番号が、別の有料サービスへの登録や、迷惑SMSの新たな送付先として悪用される恐れがあります。
- 公式サイト・公式アプリを確認:還元ポイントやキャンペーンの有無は、必ずユニクロの公式アプリまたは公式サイトから直接ご確認ください。
- URLをクリックしない:パソコンでは無害に見えても、スマートフォンでは別の挙動をする場合があります。
本レポートの結論
「年間メンバーシップ還元ポイント」を名乗るこのメールは、送信元アドレスを見るだけでユニクロと無関係なことが分かる、比較的見抜きやすい偽メールでした。しかし誘導先はPCとスマホで表示を切り替えるクローキング技術を使い、スマートフォン利用者だけを狙って携帯電話番号を詐取しようとする巧妙さも持っています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖