【公開】「まもなく失効:ポイント受取手続きのお願い」の巧妙な罠を徹底解析!
【実録】WAON POINT失効を騙るフィッシングメールの手口を徹底分析!アクセス拒否画面に隠された巧妙な罠とは?
こんにちは!街のIT専門家、Heartland-Labです。
いつも当サイトをご覧いただき、本当にありがとうございます。
皆さんのデジタルライフが安全で快適なものになるよう、今日も最新のセキュリティ情報をお届けします。
今回ご紹介するのは「WAON POINT」を騙る(本物のように見せかける)迷惑メールですが、関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。
日々巧妙化する詐欺の手口をしっかりと学び、トラブルを未然に防ぎましょう。
最近のスパム(迷惑メール)動向
最近のフィッシング詐欺(実在する組織を騙って偽のウェブサイトへ誘導し、個人情報を盗み出す手口)は、非常に手口が細分化されています。
今回のように、日常生活で広く使われているポイントサービスを狙った不審なメールが急増しています。
このようなメールは、開いただけでは実質的な被害(金銭的な被害など)は無いものがほとんどです。
しかし、安心はできません。
メール内に「画像」が含まれている場合や、「開通通知(メールが読まれたことを送信元に知らせる仕組み)」が付いている場合は注意が必要です。
メールを開封しただけで「このメールアドレスは現在使われている」という事実(アドレス生体通知)が犯人側に伝わってしまいます。
その結果、今後さらに多くの詐欺メール送信リストに入れられる可能性が高くなります。
不審なメールに気づいた際は、できる限り開封せずに削除することが最も安全な対策です。
今回の解析対象メール情報
緊急性・危険度評価
| 項目 | 評価 |
|---|---|
| 緊急性(受信者を焦らせる度合い) | ★★★★☆(4/5) |
| 危険度(被害に遭うリスクの高さ) | ★★★★☆(4/5) |
メールの基本情報
| 項目 | 解析結果 |
|---|---|
| 件名(タイトル) | 【WAON POINT】まもなく失効:ポイント受取手続きのお願い |
| 送信者名 | “smart WAON事務局” |
| 送信元メールアドレス | <ZVYKOP@zbrzvdcy.invoice.yajugs.com> |
| 送信ドメインのIPアドレス | 34.4.110.64 |
| 受信日時 | 2026年5月26日 08:35:37 |
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
メール本文の再現とデザイン分析
【スクショエリア】受信メールの画面
以下のテキストは、受信したメールの本文をできる限り忠実に再現したものです。
(※安全のため、一部の文言を調整し、リンクは無効化しています)
WAON POINT
まもなく失効するポイントがございます
●●●● 様
平素よりWAON POINTをご利用いただき、誠にありがとうございます。
お客様のWAON POINTアカウントにおいて、有効期限が間近に迫っているポイントが確認されました。このままお手続きいただけない場合、該当ポイントは自動的に失効し、以後ご利用いただくことができなくなります。
一度失効したポイントの再付与は、いかなる理由があってもお受けできません。お客様の大切なポイントを守るため、至急お手続きくださいますようお願い申し上げます。
下記ボタンより専用ページにアクセスし、今すぐポイントをお受け取りください。手続きはわずか1分で完了します。
今すぐポイントを受け取る
ご注意事項
・有効期限を過ぎたポイントは自動的に失効し、復元はできません。
・本リンクはお客様専用のURLです。第三者への共有はご遠慮ください。
・受取手続き完了後、ポイントはすぐにご利用いただけます。イオン株式会社
WAON POINTサポートセンター※ 本メールは自動送信されています。ご返信いただいても対応いたしかねます。
※ 本メールにお心当たりのない場合は、お手数ですが破棄いただけますようお願い申し上げます。© AEON Co., Ltd. All Rights Reserved.
メールのデザインと特徴
メールのヘッダー部分には、本物の「WAON POINT」を意識したオレンジ色の背景と白いロゴ文字が配置されています。
デザイン全体が非常にすっきりと整えられており、一見すると公式からの案内メールと区別がつきません。
しかし、宛名部分(上記再現テキストの●●●●様の部分)に、受信者の氏名ではなくメールアドレスそのものやアカウント名がそのまま流用されているという大きな特徴があります。
これは、犯行グループが手に入れたメールアドレスのリストに対して、機械的に一斉送信を行っている動かぬ証拠です。
メールの目的と感想
このメールの目的は、「せっかく貯まったポイントが消えてしまう」という受信者の焦りやもったいない精神を刺激することです。
「至急お手続きください」「手続きはわずか1分」といった言葉で冷静な思考を奪い、偽のウェブサイトへ誘導しようとしています。
日常的に使うサービスだからこそ、深く考えずにリンクを押してしまいそうになる、非常に悪質な内容です。
技術的解析(ヘッダーとIP情報の検証)
メールがどのような経路で送られてきたのか、メールヘッダー(メールの送信経路や識別情報が記録されたデータ)のテキストから詳細な情報を抽出しました。
なお、安全のため、受信者側のサーバー情報や、個人のメールアドレスに関わる部分は全て伏字に加工しています。
※受信者様の固有情報を含むため、ヘッダー情報のスクリーンショット画像自体の掲載は差し控えさせていただきます。
抽出したヘッダー情報
- Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=34.4.110.64; helo=invoice.yajugs.com; envelope-from=zvykop@zbrzvdcy.invoice.yajugs.com; receiver=*****@*********.jp
- 最も古いReceived(時系列の起点): from invoice.yajugs.com (yajugs.com [34.4.110.64]) by *****03.k*****.*et (Postfix) with ESMTP id 1FFA32C2F27 for <*****@*********.jp>; Tue, 26 May 2026 08:35:37 +0900 (JST)
送信元IPアドレスの検証と偽装判定
メール本文に記載されている送信元のアドレスドメイン(`invoice.yajugs.com`)のIPアドレスと、実際にメールを配信してきた通信の起点となるIPアドレスを比較検証しました。
| 項目 | データ | 位置情報(ロケーション) |
|---|---|---|
| メール送信元のIPアドレス | 34.4.110.64 | アメリカ合衆国(Google Cloud) 緯度・経度: 37.751, -97.822 【ip-sc.netで詳細を確認】 【Googleマップで位置を確認】 |
技術的な検証の結果、送信元のドメイン設定(SPF)自体は認証を通過(Pass)しています。
これは、「犯人が独自に用意した使い捨てのドメイン(`yajugs.com`)と、クラウドサーバー(Google Cloud)を使って正しく送信した」ということを意味しています。
つまり、イオンやWAONの公式サーバーを不正に乗っ取って送られたメールではなく、最初から詐欺目的で構築された外部のシステムから配信されているということです。
誘導先(フィッシングサイト)の徹底調査
メール本文にある「今すぐポイントを受け取る」というボタンに仕込まれていた、実際のリンク先URLについて調査を行いました。
【スクショエリア】セキュリティシステムによるブロック画面
リンク先の情報と稼働状況
| 項目 | 詳細データ |
|---|---|
| 確認された誘導先URL | h**ps://login.crrvyv.com/?FpDkqqzBYN89&type=waon (一部伏字・リンク無効化) |
| リンク先のドメイン | login.crrvyv.com |
| ドメインのIPアドレス | 172.67.173.238 (および 104.21.31.144) |
| サーバーのロケーション | アメリカ合衆国(Cloudflareプロキシ経由) 緯度・経度: 37.751, -97.822 【ip-sc.netで詳細を確認】 【Googleマップで位置を確認】 |
| サイトの稼働状況 | 確認時、セキュリティの壁により直接の稼働確認は制限(遮断) |
URLが危険と判断できるポイントと「クローキング」の解説
本物のWAONやイオンに関わるサービスであれば、必ず公式のドメイン(`aeon.co.jp` や `smartwaon.com` など)が使われます。
しかし、今回のURLに使われているのは `crrvyv.com` という、全く関係のない不揃いな英文字のドメインです。
末尾に `type=waon` という文字を付け足すことで、システム側で「今回はWAONの偽画面を表示する」という制御を行っていることが透けて見えます。
また、3枚目のスクリーンショットにある「アクセス拒否 リクエストがブロックされました。後ほどお試しください。と書かれたページ」が表示された現象について解説します。
これは、一般的なファイアウォール(通信を監視して不正なアクセスを防ぐシステム)によって通信が守られた可能性もありますが、犯人側による「クローキング(Cloaking)」という騙しの技術が使われている疑いもあります。
クローキングとは、アクセスしてきた相手をシステムが瞬時に見極め、表示する画面をガラリと変える手法のことです。
例えば、セキュリティ会社の調査員やロボット(自動検知システム)がアクセスしてきたと判断した場合は、今回の画像のように「ただのシステムエラー画面(アクセス拒否)」を見せて、あたかもサイトが動いていないかのように装います。
その一方で、一般のスマートフォンやメールを受け取った本人がアクセスしたときだけ、本物そっくりの偽ログイン画面を表示して情報を盗み取ろうとするのです。
つまり、「エラー画面が出たからもう安全だ」と油断させておきながら、裏では特定の被害者を狙い撃ちにしている可能性があるということです。
メールの注意点と対処方法
今回のフィッシングメールに遭遇した場合の、具体的な注意点と正しい対処方法をまとめました。
- リンクは絶対にクリックしない
メール本文内のボタンやURLは、どのような理由があっても触らないようにしてください。 - 個人情報を入力してしまった場合の対応
万が一、リンク先のページでクレジットカード番号やイオンスクエアメンバーのID・パスワードなどを入力してしまった場合は、すぐにクレジットカード会社やイオンの公式サポート窓口へ連絡し、カードの利用停止やアカウントの凍結手続きを行ってください。 - 公式の注意喚起情報を確認する
イオンやWAONでは、こうしたフィッシング詐欺に関する注意喚起ページを常に更新して公開しています。以下の公式情報も合わせてご確認ください。
■公式の注意喚起URL:
【イオンカード 公式】不審なメール・SMSにご注意ください
まとめ
今回の「WAON POINT」を騙るメールは、見た目がどれほど綺麗に整えられていても、中身は情報を盗み取るための危険な罠です。
不審なエラー画面の裏で動くクローキングのような手口もあり、一瞬の油断が大きな被害につながりかねません。
身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。
