公開日: 2026年5月18日
分類: フィッシング(確定)
証拠強度: moderate(複合根拠2件)
対象ブランド: LINE(LINEヤフー株式会社)
概要
見出し
2026年5月18日、LINEヤフー株式会社を騙り「2026年度 年間ボーナスポイント」の進呈を装って携帯電話番号の入力を求めるフィッシングメールを確認しました。メール内に設置された「電話番号を入力して確認・受取」ボタンをクリックすると、TDS(Traffic Direction System)と呼ばれる振り分けシステムを経由して不正サイトへ誘導され、電話番号を詐取される仕組みです。
LINEが「年間ボーナスポイント」の受取のためにメールで携帯電話番号の入力を求めることはありません。このようなメールを受信した場合は、メール内のリンクをクリックせず、LINEアプリ内の通知やLINE公式サイトで直接ご確認ください。
| 件名 | 【LINE】2026年度・年間ボーナスポイント進呈のご案内 |
|---|---|
| 差出人(表示名) | LINE <webmaster[@]jiklbwdt[.]mail89[.]hbjhlb[.]com> |
| Return-Path | webmaster[@]jiklbwdt[.]mail89[.]hbjhlb[.]com |
| 送信日時 | 2026年5月18日 11:10 (JST) |
| 送信元IP | 35[.]215[.]121[.]7(Google LLC) |
| SHA-256 | ab1ece36e3e045c14b60cef8d19f1fc3304897288c95ac34d69878be7cc2d073 |
このフィッシングメールの特徴
本件には、受信者を騙すための複数のソーシャルエンジニアリング手法が組み合わされています。
1. 「年間ボーナスポイント」による報酬の誘引
「日頃の感謝を込めまして、今年度の「年間ボーナスポイント」をご用意いたしました」という文言で、無料のポイントが受け取れるかのように装い、受信者の関心を引いています。LINEポイントが日常の決済やサービスで広く利用されていることから、「もらえるなら受け取りたい」という心理が働きやすい手口です。
2. 携帯電話番号の詐取
「ポイントを安全にアカウントへ反映させるため」として、受信者に「携帯電話番号」の入力を求めています。HTML本文の解析では、メール内に設置されたCTAボタンの表示文言は「電話番号を入力して確認・受取」(確認済み)であり、クリック先はLINEとは無関係のドメイン(www[.]nzvri[.]com)です。詐取された電話番号は、SMSフィッシング(スミッシング)やLINEアカウント認証の悪用など、二次攻撃に利用される可能性があります。
3. 「セキュリティ保護」を装った情報非開示
「セキュリティ保護のため、ポイント数は専用ページにてご本人様のみ確認可能です」と記載し、メール内にポイント数を一切明示していません。これにより、受信者は「自分のポイントがいくらなのか」という好奇心からリンクをクリックせざるを得ない心理状態に誘導されます。メール本文(テキスト版)でも同様に「獲得された具体的なポイント数はメール上に記載しておりません」と記載されており、情報を隠すことでクリックを促す手法です。
4. 「お客様専用URL」による第三者への相談抑止
「上記のリンクはお客様専用URLです。第三者への共有はお控えください」という記載があります。これはIT知識のある家族や知人にURLを転送して相談されることを防ぎ、受信者が一人で判断するよう仕向ける意図が考えられます。
5. 受取期限による焦燥感の醸成
「受取期限を過ぎますと特典は失効いたします」「お早めにお手続きをお願いいたします」という文言で、受信者に「急がないと損をする」という焦燥感を与えています。具体的な期限日は記載されていませんが、「失効」という不可逆な表現で速やかな行動を促す手法です。
6. 正規ドメインの混在による信頼性偽装
メール本文の署名部分にはLINEの正規ドメインである hxxps://line[.]me/ が記載されています。URL解析の結果、このドメインは実際にLINEの公式サイト(hxxps://www[.]line[.]me/ja/、ページタイトル「LINE|いつもあなたのそばに。」)へリダイレクトされることが確認済みです。一方、受信者にクリックを促すCTAボタンのリンク先は hxxps://www[.]nzvri[.]com/ というLINEとは無関係のドメインです。正規のURLを署名に配置することで、メール全体の信頼性を高める手法です。
メール本文(全文引用)
以下は、本フィッシングメールの本文を全文引用したものです。検索エンジン経由でこの文面を調べている方のために掲載しています。メール内のリンクには絶対にアクセスしないでください。
いつもLINEをご利用いただき、誠にありがとうございます。
日頃の感謝を込めまして、2026年度のLINEご利用状況に基づき、お客様が「年間ボーナスポイント」の進呈対象となりましたことをお知らせいたします。
今年度の獲得ポイント数は、お客様の専用ページにて公開しております。
安全にポイントをお受け取りいただくため、下記のURLへアクセスし、ご登録の「携帯電話番号」をご入力のうえ、ポイント額をご確認ください。
▼【2026年度】ボーナスポイントの確認・受取はこちら
hxxps://www[.]nzvri[.]com/?MGBXGGKrtFHJ&type=line※セキュリティ保護およびプライバシーの観点から、獲得された具体的なポイント数はメール上に記載しておりません。
※本特典には受取期限が設定されております。期限を過ぎますと特典は無効となりますので、お早めにお手続きをお願いいたします。
—————————————–
LINEヤフー株式会社
hxxps://line[.]me/
※本メールは送信専用です。ご返信いただけません。
—————————————–
技術分析
メール認証結果の検証
メール認証(SPF / DKIM / DMARC)の検証結果から、本メールの正当性を評価します。
| 認証項目 | 結果 | 意味 |
|---|---|---|
| SPF | softfail | smtp[.]mailfromドメイン(jiklbwdt[.]mail89[.]hbjhlb[.]com)のSPFレコードにおいて、送信元IP(35[.]215[.]121[.]7)が正規の送信サーバーとして明示的に許可されていないことを示唆します |
| DKIM | pass | メールに付与されたDKIM署名の検証に成功しました。メールが送信ドメインの秘密鍵で署名されており、送信途中で改ざんされていないことを示します |
| DMARC | pass | Fromヘッダのドメインに対するDMARC検証が成功しています。DKIM署名のドメインアライメントが合格したことを意味します |
SPF(Sender Policy Framework)とは、メールの送信元IPアドレスが、そのドメインの管理者によって許可されたサーバーから送信されているかを検証する仕組みです。softfailは「許可されていないが、受信を完全に拒否するほどではない」という判定であり、正規の送信元ではない可能性を示します。
DKIM(DomainKeys Identified Mail)とは、送信元ドメインの秘密鍵でメールに電子署名を付与し、受信側が公開鍵で検証することで、メールの改ざんと送信元の正当性を確認する仕組みです。passは署名検証に成功したことを意味します。
DKIM / DMARC が pass でもフィッシングは成立する
本メールではDKIMとDMARCがいずれもpassとなっていますが、これは本メールが安全であることを意味しません。
DKIM/DMARCは「メールがFromヘッダに記載されたドメインから実際に送信されたか」を検証する仕組みです。本件の場合、メールが jiklbwdt[.]mail89[.]hbjhlb[.]com というドメインから送信されたことが正しく検証されています。しかし、このドメイン自体がLINEの正規ドメイン(line[.]me)ではないため、「LINEではない送信者が、表示名を”LINE”に偽装したメールを送った」という事実に変わりはありません。
差出人欄に表示される「LINE」という名前は、メール送信者が自由に設定できるフィールド(表示名 / Display Name)であり、DKIM/DMARCによる認証の対象外です。つまり、認証が全てpassであっても、表示名の詐称によるフィッシングは防げません。メールの真正性を判断する際は、表示名ではなく実際のメールアドレスのドメイン部分を確認することが重要です。
送信元ドメインの分析
| 項目 | ドメイン | 評価 |
|---|---|---|
| Fromヘッダ(受信者に表示) | jiklbwdt[.]mail89[.]hbjhlb[.]com | LINEの正規ドメインではない(確認済み) |
| Return-Path(実際の送信元) | jiklbwdt[.]mail89[.]hbjhlb[.]com | Fromヘッダと同一(確認済み) |
| LINEの正規ドメイン | line[.]me | 公式サイトで確認できる正規ドメイン |
観測事実
Fromヘッダの表示名は「LINE」と設定されていますが、実際のメールアドレスは webmaster[@]jiklbwdt[.]mail89[.]hbjhlb[.]com です。LINEの正規ドメインとして一般に知られている line[.]me とは全く異なります。FromヘッダとReturn-Pathは同一のドメインを使用しています。
示唆
多くのメールソフト(特にスマートフォンのメールアプリ)では、差出人欄には「LINE」という表示名のみが表示され、実際のメールアドレス(jiklbwdt[.]mail89[.]hbjhlb[.]com)は隠れていることがあります。受信者がメールアドレスを展開して確認しない限り、正規のLINEからの通知であると誤認しやすい構造です。
ドメイン名に含まれる「jiklbwdt」「hbjhlb」といったランダムな文字列は、正規のサービスドメインとしては不自然であり、大量送信用に自動生成された使い捨てドメインであることを示唆します。さらに「mail89」というサブドメインの構造は、メール配信インフラとして体系的に番号管理されている可能性を示しています。
送信元IPアドレスの分析
| 送信元IP | 35[.]215[.]121[.]7 |
|---|---|
| 組織 | Google LLC |
| CIDR | 35[.]208[.]0[.]0/12 |
| smtp[.]mailfrom | webmaster[@]jiklbwdt[.]mail89[.]hbjhlb[.]com |
送信元IPアドレス 35[.]215[.]121[.]7 は、Google LLCに割り当てられた範囲(35[.]208[.]0[.]0/12)に含まれます(確認済み)。LINEヤフー株式会社は自社のメール配信インフラを運用しており、Google Cloudのインフラからメールを送信することは一般的ではありません。クラウドサービスのIPアドレス帯域を利用してフィッシングメールを送信することで、IPレピュテーション(信頼性評価)によるブロックを回避しようとする手法は、近年のフィッシングキャンペーンでよく観測されるパターンです。
誘導先URL・TDS(Traffic Direction System)の分析
メール内のCTAボタン「電話番号を入力して確認・受取」(確認済み)のリンク先を分析した結果、TDS(Traffic Direction System)と呼ばれる攻撃インフラの使用が確認されました。
| 段階 | URL / ドメイン | 状態 |
|---|---|---|
| HTML版CTAリンク | hxxps://www[.]nzvri[.]com/?TnUOwkhgvWUp&type=line | 稼働中・TDS検出(確認済み) |
| テキスト版リンク | hxxps://www[.]nzvri[.]com/?MGBXGGKrtFHJ&type=line | 稼働中・TDS検出(確認済み) |
| 最終リダイレクト先(今回観測) | www[.]ndsnzx[.]com | Cloudflare使用・レスポンス0バイト(確認済み) |
TDS(Traffic Direction System)とは、アクセスしてきたユーザーの環境(IPアドレス、ブラウザ、地域、ボット判定等)に応じて、異なるURLへ動的に振り分けるシステムです。セキュリティ研究者や自動スキャナからのアクセスには無害なページや空のレスポンスを返し、一般ユーザーのアクセスのみをフィッシングサイトへ誘導することで、セキュリティベンダーによる検知・テイクダウンを回避する目的で使用されます。
本件では、www[.]nzvri[.]com がTDSのエントリーポイントとして機能しており、今回の観測では www[.]ndsnzx[.]com へリダイレクトされることが確認されました。TDSの性質上、アクセスごとに異なるドメインへ誘導される可能性があります。最終リダイレクト先(www[.]ndsnzx[.]com)はCloudflareを使用しており、解析時点でレスポンスサイズが0バイトであったことから、ボット検知によるアクセス制御が行われていると考えられます。
また、HTML版とテキスト版のメールには異なるクエリパラメータ(TnUOwkhgvWUp / MGBXGGKrtFHJ)が設定されています。攻撃者がメールの表示形式(HTML / プレーンテキスト)ごとにクリック率を計測するトラッキング手法として使用していることが示唆されます。
フィッシング判定の根拠
本メールは、以下の複合的な根拠からフィッシングと判定しています。単一の証拠のみで判断しているわけではありません。
| # | 観測事実 | 示唆 | 確度 |
|---|---|---|---|
| 1 | SPF検証がsoftfailを返した | 送信元IP(35[.]215[.]121[.]7)が、smtp[.]mailfromドメインの正規送信サーバーとして明示的に許可されていない | 確認済み |
| 2 | 差出人の表示名「LINE」に対し、実際のメールドメインが jiklbwdt[.]mail89[.]hbjhlb[.]com であり、LINEの正規ドメイン(line[.]me)と異なる | LINEブランドを騙った表示名偽装(Display Name Spoofing)を行っている | 確認済み |
| 3 | CTAボタンのリンク先がLINEとは無関係のドメイン(www[.]nzvri[.]com)であり、TDS経由で www[.]ndsnzx[.]com へリダイレクトされる | LINEの正規インフラではなく、攻撃者が管理するTDS型フィッシングインフラへ誘導している | 確認済み |
| 4 | 「携帯電話番号」の入力を要求し、ポイント受取の条件としている | 個人情報(電話番号)の詐取を目的としており、二次攻撃の足掛かりとなる | 確認済み |
総合判断: SPF softfail(#1)、LINEブランドの表示名偽装(#2)、TDS型フィッシングインフラへの誘導(#3)、および電話番号の詐取要求(#4)の複合根拠から、本メールはLINE(LINEヤフー株式会社)を騙るフィッシング詐欺であると判定しました。
この手口の見分け方
以下のポイントを確認することで、同様のフィッシングメールを見分けることができます。
差出人のメールアドレスを確認する
メールの差出人欄に「LINE」と表示されていても、表示名の横にあるメールアドレスを必ず確認してください。本件では webmaster[@]jiklbwdt[.]mail89[.]hbjhlb[.]com という、LINEとは全く関係のないアドレスが使われています。LINEからの正規メールは、一般に line[.]me ドメインから送信されます。スマートフォンのメールアプリでは表示名をタップまたは長押しすることで、実際のメールアドレスを確認できます。
メール経由の電話番号入力を疑う
LINEがポイント付与のためにメールで携帯電話番号の入力を求めることはありません。LINEのポイント関連の通知は、LINEアプリ内のトーク(LINE公式アカウント)やLINEアプリのお知らせ機能を通じて行われるのが一般的です。メールで「電話番号を入力してください」と求められた場合は、フィッシングを強く疑ってください。
リンク先のURLを確認する
メール内のリンクやボタンをクリックする前に、リンク先のURLを確認してください。PCではリンクの上にマウスカーソルを重ねる(ホバー)と、ブラウザの下部にURLが表示されます。スマートフォンではリンクを長押しするとURLを確認できます。本件では、メール署名にはLINEの正規ドメイン(line[.]me)が記載されていますが、ポイント受取ボタンのリンク先は www[.]nzvri[.]com という全く別のドメインです。
LINEアプリで直接確認する
LINEからのポイントや特典に関する通知が本物であれば、LINEアプリ内でも同じ内容が確認できるはずです。メールの内容が気になる場合は、メール内のリンクを使わず、LINEアプリを直接起動して「LINEポイントクラブ」やLINE公式アカウントのトーク履歴を確認してください。
このメールを受信した場合の対処方法
- メール内のリンクをクリックしない: 「電話番号を入力して確認・受取」ボタンおよびメール本文中のURLには絶対にアクセスしないでください。
- メールを削除または迷惑メール報告する: メールソフトの迷惑メール報告機能を使って報告してください。同様のメールの受信を減らす効果があります。
- LINEアプリで直接確認する: ポイントの付与が気になる場合は、LINEアプリを直接起動し、LINEポイントクラブやLINE公式アカウントで確認してください。メールに記載された情報のみで判断しないでください。
- 既に電話番号を入力してしまった場合:
- LINEアカウントのログイン許可設定を確認し、身に覚えのないログインがないか確認してください
- LINEアカウントの2段階認証(パスコードロック)が有効になっているか確認し、未設定の場合は直ちに設定してください
- 今後届く不審なSMS(認証コードの要求など)に十分注意し、身に覚えのない認証コードは絶対に入力・返信しないでください
- 不審な電話やSMSが増えた場合は、キャリアの迷惑電話・SMS対策サービスの利用を検討してください
- フィッシング対策協議会(hxxps://www[.]antiphishing[.]jp/)への情報提供もご検討ください
- メールを証拠として保全する: 送信元情報やヘッダ情報を含めた状態でメールを保存してください。被害が発生した場合の証拠として役立ちます。
IOC(Indicator of Compromise)一覧
本フィッシングメールに関連する脅威インジケーターの一覧です。セキュリティ製品やメールフィルタの設定にご活用ください。
| 種別 | 値 | 備考 |
|---|---|---|
| SHA-256 | ab1ece36e3e045c14b60cef8d19f1fc3304897288c95ac34d69878be7cc2d073 | メールファイルのハッシュ値 |
| 送信元ドメイン | jiklbwdt[.]mail89[.]hbjhlb[.]com | From / Return-Pathドメイン |
| 親ドメイン | hbjhlb[.]com | 送信元の親ドメイン |
| 送信元IP | 35[.]215[.]121[.]7 | メール送信サーバーのIP(Google LLC) |
| メールアドレス | webmaster[@]jiklbwdt[.]mail89[.]hbjhlb[.]com | From / Return-Pathアドレス |
| TDSドメイン | www[.]nzvri[.]com | TDSエントリーポイント(稼働中) |
| フィッシングURL | hxxps://www[.]nzvri[.]com/?TnUOwkhgvWUp&type=line | HTML版CTAリンク(稼働中) |
| フィッシングURL | hxxps://www[.]nzvri[.]com/?MGBXGGKrtFHJ&type=line | テキスト版リンク(稼働中) |
| リダイレクト先ドメイン | www[.]ndsnzx[.]com | TDS最終リダイレクト先(今回観測) |
PhishTank登録状況
以下のURLは、本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
- hxxps://www[.]nzvri[.]com/?TnUOwkhgvWUp&type=line — 未登録
- hxxps://www[.]nzvri[.]com/?MGBXGGKrtFHJ&type=line — 未登録
まとめ
本件は、LINEヤフー株式会社を騙り「年間ボーナスポイント」という報酬を餌に携帯電話番号を詐取するフィッシング詐欺です。DKIM/DMARCがpassしているにもかかわらずフィッシングが成立する「表示名偽装(Display Name Spoofing)」の手口を使用しており、メール認証結果だけでは見抜けない巧妙さがあります。また、TDS(Traffic Direction System)を利用してセキュリティスキャナの検知を回避する高度なインフラが使用されている点も特徴的です。
LINEからのポイント付与通知は、メールではなくLINEアプリ内で直接確認するのが最も確実です。不審なメールを受信した場合は、メール内のリンクには触れず、必ずLINEアプリから直接確認してください。