検体受信日時: 2026年6月9日 10:59(JST)
分類: フィッシング詐欺(確定)
なりすまし対象: ANA(全日本空輸)/ ANAマイレージクラブ
ANAマイレージクラブ事務局を騙り、「ボーナスマイル 6,605マイル」のプレゼントを餌にして偽サイトへ誘導するフィッシングメールが確認されました。差出人アドレスにANAとは無関係のドメインが使われていること、本文中に多数の日本語異常があること、誘導先URLが正規ANAサイトでないことなど、複数の証拠からフィッシング詐欺と確定しています。本記事では技術的な解析結果とともに、見分け方と対処法を解説します。
フィッシングメールの本文(全文引用)
見出し
読者がメール本文の検索でこの記事にたどり着けるよう、受信した原文をそのまま引用します。赤太字は、正規の日本語として不自然な箇所です。
[画像: ANA]
平穏りよりANAマイレージクラブをご利用いただき、誠にありがとうございます。
このたば、会員のひとわたまのご感謝を込めて、特別ボーナスマイルをプレゼントさせていただくさい。
下記のボーナスマイルを獲得するチャンスです!
ボーナスマイル 6,605マイル
獲得可能期間 今月末までボーナスマイルを獲得するには、下記URLにアクセスし、簡単なアンケートにご回答ください。回答完了後、ボーナスマイルが自動的に加算されます
▶ ボーナスマイルを獲得(リンク先: hxxps://szxinmei[.]com/5le7tCOp7s[.]team)
このキャンペーンは期間限定となっております。
獲得されたマイルの有効期間は積置日か{30892}年間となります。
この機会にぜひボーナスマイルを獲得はご注意ください。
引き續きANAマイレージクラブをよろしくお願いいたします。
恥兵
ANA カスタマゼーセンター
© ANA CO., LTD. All rights reserved.
技術的な解析結果
1. 差出人アドレスがANA公式ドメインと無関係【確認済み】
| ヘッダ | 値 |
|---|---|
| From(表示名) | ANAマイレージクラブ事務局 |
| From(アドレス) | old[@]old[.]harsyee[.]com |
| Return-Path | old-[受信者アドレス][@]old[.]harsyee[.]com |
観測事実: 差出人アドレスのドメインは old[.]harsyee[.]com です。ANAの公式ドメインは一般に ana[.]co[.]jp として知られており、このドメインとは一切関係がありません。
示唆: 表示名を「ANAマイレージクラブ事務局」に偽装し、受信者にANAからの正規メールであるかのように見せかけています。メールソフトによっては表示名のみが表示され、実際の送信元アドレスが隠れるため、見落としやすい手口です。
補足: Return-Pathに受信者アドレスが埋め込まれたVERP(Variable Envelope Return Path)形式が使われています。VERP自体は正規の配信システムでもバウンス管理のために使用される一般的な形式ですが、ドメインがANAと無関係である事実と合わせると、攻撃者が独自に構築したメール配信基盤であることを示しています。
2. メール認証(SPF / DKIM / DMARC)の解釈【確認済み】
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | pass | 送信元IPが old[.]harsyee[.]com のSPFレコードに許可されている |
| DKIM | pass | old[.]harsyee[.]com の鍵で署名が検証された |
| DMARC | 不明 | 検証結果が付与されていない |
観測事実: SPFとDKIMはいずれも pass となっています。ただし、これらは old[.]harsyee[.]com というドメインに対する認証結果であり、ana[.]co[.]jp に対する認証ではありません。DMARC検証結果は付与されていません。
示唆: SPF/DKIM が pass であることは、「old[.]harsyee[.]com のドメイン管理者がこのメールの送信を正当に許可した」ことを意味します。つまり、攻撃者が自身の管理するドメインに正しいSPFレコードとDKIM鍵を設定しているということです。SPF/DKIM pass は、メールがANAから送信されたことを意味しません。
読者への解説: メール認証(SPF/DKIM/DMARC)は、メールが「どのドメインから送られたか」を検証する仕組みです。フィッシングメールでも、攻撃者が自分のドメインに正しく認証設定を行えば pass になります。認証結果が pass であることだけを根拠に、メールを信用してはいけません。重要なのは、認証されたドメインがそのブランドの正規ドメインと一致しているかどうかです。
3. HTML内の誘導リンク【確認済み】
観測事実: HTML本文内のリンクは1件のみ確認されました。
| 表示文言 | 実際のリンク先URL |
|---|---|
| 「ボーナスマイルを獲得」 | hxxps://szxinmei[.]com/5le7tCOp7s[.]team |
リンクの直前には「下記URLにアクセスし、簡単なアンケートにご回答ください。回答完了後、ボーナスマイルが自動的に加算されます」という文言が配置されており、アンケート回答を口実にクリックを促す構成です。
示唆: リンク先ドメイン szxinmei[.]com はANAの公式ドメイン(ana[.]co[.]jp)とは完全に無関係です。「ボーナスマイルを獲得」という行動を促す文言でクリックを誘導し、外部の不正サイトへ遷移させる典型的なフィッシングの手口です。
現在の状態: 本記事公開時点で、当該URLはアクセス不能(停止またはエラー)の状態です。ただし、攻撃者がURLを再有効化する可能性があるため、引き続き注意が必要です。
4. 日本語テキストの異常【確認済み】
観測事実: メール本文中に、正規のANA公式メールでは考えられない多数の日本語異常が確認されました。以下に具体例を列挙します。
| メール内の表記 | 本来の日本語(推定) | 異常の種類 |
|---|---|---|
| 平穏りより | 平素より | 「平素」→「平穏」の誤字+余分な「り」挿入 |
| このたば | このたび | 「び」→「ば」の清濁取り違え |
| ひとわたまの | (皆さまの等) | 意味を成さない文字列 |
| いただくさい | いただきます | 活用語尾の誤り |
| 積置日か𰢒年間 | 積算日から○年間 | 「積算」→「積置」の誤字+文字化け(CJK拡張漢字の混入) |
| 獲得はご注意ください | (意味不明) | 文法的に成立しない文 |
| 引き續き | 引き続き | 「続」の旧字体/繁体字「續」の混入 |
| 恥兵 | (敬具 等) | 署名・結語の文字化け |
| カスタマゼーセンター | カスタマーサービスセンター | 長音符の脱落、文字の欠落 |
示唆: これほど多くの日本語異常が1通のメールに集中していることは、本文が自動翻訳ツールや生成AIで作成され、日本語ネイティブによる校正を経ていないことを強く示唆します。特に「續」(繁体字)の混入は、簡体字圏または繁体字圏の言語環境で生成されたテキストが元になっている可能性を示します。ANAの正規メールでこのような品質の日本語が使用されることはありません。
5. 送信インフラの特定【確認済み】
| 項目 | 値 |
|---|---|
| 送信元IP | 132[.]145[.]147[.]143 |
| 組織 | Oracle Public Cloud |
| CIDR | 132[.]145[.]0[.]0/16 |
観測事実: メールの送信元IPアドレスはOracle Public Cloud(クラウドサービス)に属しています。
示唆: 航空会社が顧客向けメールをパブリッククラウドのIPから直接送信することは一般的ではありません。正規の大規模メール配信では、専用のメール配信サービスや自社インフラが使用されるのが通常です。攻撃者がクラウド上のサーバーを利用してフィッシングメールを大量配信していることを示しています。
6. 誘導先ドメインの調査【確認済み】
| 項目 | 値 |
|---|---|
| ドメイン | szxinmei[.]com |
| レジストラ | eName Technology Co., Ltd. |
| 登録日 | 2025年6月21日 |
| ドメイン年齢 | 約353日(約1年) |
| ネームサーバー | ns1[.]363[.]hk, ns2[.]363[.]hk, ns3[.]363[.]hk, ns4[.]363[.]hk |
観測事実: 誘導先ドメイン szxinmei[.]com は、eName Technology Co., Ltd.(中国のドメイン登録事業者として知られる)をレジストラとして約1年前に登録されたドメインです。ネームサーバーには 363[.]hk(香港のドメイン)配下のサーバーが使用されています。
示唆: ANAは日本の航空会社であり、公式サイトのドメインは ana[.]co[.]jp(日本のco.jpドメイン)です。それに対し、誘導先のドメインは中国系レジストラで登録され、香港のネームサーバーを使用しています。ドメイン名自体にも「ANA」を想起させる文字列は含まれておらず、ANAとの関連性は一切確認できません。
読者への解説: ドメイン年齢(登録からの経過期間)はフィッシング判定の参考指標の一つです。フィッシング用のドメインは使い捨てで新規登録されることが多く、年齢が若いドメインほど注意が必要です。ただし、ドメイン年齢だけでフィッシングと判断することはできません。他の証拠と組み合わせて総合的に評価することが重要です。
総合判断
以下の複合的な証拠から、本メールはANAマイレージクラブを騙るフィッシング詐欺であると確定判断します。
- 差出人ドメインの不一致【確認済み】: 送信元
old[.]harsyee[.]comはANA公式ドメインana[.]co[.]jpと無関係 - 誘導先URLの不一致【確認済み】: リンク先
szxinmei[.]comはANA公式サイトではない - メール認証のすり抜け【確認済み】: SPF/DKIMはpassだが、認証対象は攻撃者自身のドメインであり、ANA正規ドメインの認証ではない
- 日本語の品質異常【確認済み】: 9箇所以上の誤字・文字化け・旧字体混入があり、正規の企業メールとして成立しない
- 不審な送信インフラ【確認済み】: Oracle Public Cloudからの送信、中国系レジストラで登録された1年未満のドメイン、香港のネームサーバー
- 典型的フィッシング手口【確認済み】: 「ボーナスマイル進呈」で緊急性を煽り、「アンケート回答」を口実にリンクをクリックさせる手法
IOC(侵害指標)一覧
セキュリティ対策製品やファイアウォールでのブロックにご活用ください。
| 種別 | 値 | 備考 |
|---|---|---|
| 件名 | 【ANA限定】ボーナスマイルキャンペーン開催中 | 件名による検知用 |
| SHA256 | d7bb18da18ffa3c4370f98d641d2d759eacc71ce3c00558b1e6b447a38b19f25 |
メール検体のハッシュ値 |
| 差出人ドメイン | old[.]harsyee[.]com |
Fromアドレスのドメイン |
| Return-Pathドメイン | old[.]harsyee[.]com |
エンベロープFrom |
| 送信元IP | 132[.]145[.]147[.]143 |
Oracle Public Cloud |
| フィッシングURL | hxxps://szxinmei[.]com/5le7tCOp7s[.]team |
現在停止中 |
| 誘導先ドメイン | szxinmei[.]com |
eName Technology登録、ドメイン年齢約353日 |
| ネームサーバー | ns1[.]363[.]hk ~ ns4[.]363[.]hk |
香港のNSインフラ |
PhishTank登録状況
対象URL hxxps://szxinmei[.]com/5le7tCOp7s[.]team は、本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処
以下の対処を行ってください。対処方法はこのフィッシングメールの手口に応じた内容です。
- メール内のリンクを絶対にクリックしない: 「ボーナスマイルを獲得」のリンクは、ANA公式サイトではなく
szxinmei[.]comという攻撃者のサイトに誘導されます。クリックすると、ANAマイレージクラブのログイン画面に偽装したページでID・パスワード・個人情報を窃取される可能性があります。 - 既にリンクをクリックし情報を入力してしまった場合:
- ANAマイレージクラブの公式サイト(ブラウザのアドレスバーに直接URLを入力してアクセス)から、パスワードを直ちに変更してください
- 同じパスワードを他のサービスでも使い回している場合は、それらのサービスのパスワードもすべて変更してください
- クレジットカード情報を入力した場合は、カード会社に連絡して利用停止の手続きを行ってください
- ANAマイレージクラブの残高・利用履歴に不審な変動がないか確認してください
- このメールをANAに報告する: ANAではフィッシングメールの報告を受け付けています。公式サイトの問い合わせ窓口から報告することで、他の利用者への被害拡大防止につながります。
- メールを削除する: 報告後、メールを削除してください。迷惑メールフォルダに移すだけでなく、完全に削除することを推奨します。
ANAを騙るフィッシングメールの見分け方
今回の手口を踏まえ、ANAを名乗るメールを受け取った際に確認すべきポイントをまとめます。
- 差出人アドレスのドメインを確認する: 表示名が「ANAマイレージクラブ事務局」であっても、アドレスの@以降が
ana[.]co[.]jpでなければ偽メールの可能性が高いです。今回はold[.]harsyee[.]comというドメインでした。 - リンク先URLを確認する: メール内のリンクにカーソルを合わせ(クリックはせず)、ブラウザ下部やツールチップに表示されるURLを確認してください。
ana[.]co[.]jp以外のドメインであれば偽サイトです。 - 日本語の品質をチェックする: 今回のメールには「平穏りより」「このたば」「恥兵」など、日本の大手企業が送信するメールとしてはあり得ない品質の日本語が含まれていました。不自然な表現が1箇所でもあれば警戒してください。
- 「すぐに行動しないと損する」と急かす内容に注意する: 「今月末まで」「期間限定」など、緊急性を煽って考える時間を与えない手口はフィッシングの常套手段です。
- マイル残高は公式アプリまたは公式サイトで直接確認する: ボーナスマイルの付与等は、メールのリンクからではなく、必ずANA公式アプリまたはブラウザで
ana[.]co[.]jpに直接アクセスして確認してください。