【最終通知】ANAマイル失効まで残りわずか｜4月2日までにお手続きを ─ ANAマイレージクラブを騙るフィッシングメール解析レポート

公開日：2026年4月2日　分類：フィッシング（確定）　対象ブランド：全日本空輸株式会社（ANA）/ ANAマイレージクラブ

概要

2026年4月2日、ANAマイレージクラブを騙るフィッシングメールが確認されました。件名「【最終通知】ANAマイル失効まで残りわずか｜4月2日までにお手続きを」を使用し、受信者に当日期限のマイル失効を信じ込ませ、偽サイトへ誘導しようとするものです。送信元ドメインのANA公式ドメインとの不整合、SPF softfail、ブランド詐称を含む複合的な証拠によりフィッシングと確定しています。

受信したメール全文

以下は実際に受信したフィッシングメールの全文です。検索でお越しの方は、この文面と一致するメールを受信している可能性があります。

件名: 【最終通知】ANAマイル失効まで残りわずか｜4月2日までにお手続きを
差出人: ANAマイレージクラブ <noreply[@]mail25[.]duoyuedu[.]com>

ANAマイレージクラブお客様各位

平素よりANAマイレージクラブをご利用いただき、誠にありがとうございます。

お客様の口座には現在24,152マイルが貯まっておりますが、このうちの一部につきまして、まもなく有効期限を迎えます。期限が過ぎますと、これらのマイルはすべてご利用いただけなくなり、失効いたしますので、お早めにお手続きくださいますようお願いいたします。

━━━━━━━━━━━━━━━━━━━━
■ 失効期限：2026年4月2日 23:00
━━━━━━━━━━━━━━━━━━━━

対象となるマイル数：24,152マイル

━━━━━━━━━━━━━━━━━━━━
■ 24,152マイルのご活用例
━━━━━━━━━━━━━━━━━━━━
　国内線特典航空券（往復分）と交換することが可能です
　国際線特典航空券のために、不足分を追加することもできます
　ANAショッピング「A-style」にて、人気の商品と交換いただけます
　Amazonギフト券など、日常のお買い物にすぐにお使いいただけるギフト券もご用意しております

この機会に、お持ちのマイルをぜひ旅先や日々の暮らしの中でお役立てください。

━━━━━━━━━━━━━━━━━━━━
■ マイル交換のお手続き
━━━━━━━━━━━━━━━━━━━━
下記リンクよりログイン後、特典交換ページに進んでいただき、お手続きをお願いいたします。

hxxps://www[.]ana[.]co[.]jp/ja/jp/amc/

※期限を過ぎたマイルの再発行はできませんので、あらかじめご了承ください。

━━━━━━━━━━━━━━━━━━━━

ご不明な点がございましたら、ANAマイレージクラブサービスセンターまでお問い合わせください。

今後ともANAグループをご愛顧賜りますよう、よろしくお願い申し上げます。

━━━━━━━━━━━━━━━━━━━━
本メールは送信専用のため、ご返信いただいてもお答えできません。
本メールに心当たりのない方、または既にマイルをご利用済みの方は、本メールを破棄していただけますようお願いいたします。

全日本空輸株式会社（ANA）
[郵便番号] [住所]2号汐留シティセンター
ANAマイレージクラブサービスセンター：[電話番号]
配信停止： hxxps://www[.]ana[.]co[.]jp/
© ANA 2026 All rights reserved. Iv8tMiYi

手口の解説：なぜ騙されやすいのか

1. 緊急性の演出

「4月2日 23:00」という当日締切を設定し、受信者に冷静な判断をさせないよう誘導しています。「失効したマイルの再発行はできない」という一文が、焦りをさらに煽る構造になっています。

2. 具体的なマイル数の記載

「24,152マイル」という具体的な数字を記載することで、本物の通知のように見せています。実際には一律の数字であり、受信者個人の残高ではありません。

3. 本文中のURLは正規ドメイン

メール本文中の手続きリンクとして記載されているのは hxxps://www[.]ana[.]co[.]jp/ja/jp/amc/ という正規ドメインです。しかし、メール内の実際のクリックリンク（HTMLソース中のhref属性等）は別のURLに設定されている可能性があります。「見た目のURL」と「実際のリンク先」が異なる手口は、HTMLメールで広く使われる偽装手法です。

4. 末尾の無意味な文字列

本文末尾の「Iv8tMiYi」は、スパムフィルターの機械学習モデルを回避するために挿入されるランダムトークンである可能性があります（確認済み：解析結果に含まれる事実。原因の限定は不可）。

5. 住所・電話番号の省略

正規のANAメールには具体的な住所・電話番号が記載されますが、本メールでは「[郵便番号]」「[住所]」「[電話番号]」というプレースホルダーのまま送信されており、テンプレートの不完全な使用が確認されています。

技術解析

メール認証（SPF / DKIM / DMARC）

認証項目	結果	意味
SPF	softfail	送信IP（34[.]84[.]83[.]122）が、送信元として名乗るドメインのSPFレコードに承認されていないことを示す。「～から来たかもしれないが保証できない」という状態
DKIM	pass	mail25[.]duoyuedu[.]com ドメインによるDKIM署名が有効。ただしこれはduoyuedu[.]comの正当性を示すのみであり、ANAによる署名ではない
DMARC	pass	DKIMがFromアドレスのドメイン（mail25[.]duoyuedu[.]com）と整合しているためpass。ANAへのなりすましを防ぐ仕組みではなく、duoyuedu[.]comドメインとしての正当性を示すにすぎない

解釈（3段構成）：

観測事実：SPFはsoftfailだが、DKIMおよびDMARCはpassとなっている。smtp[.]mailfromは noreply-example=example[.]com[@]mail25[.]duoyuedu[.]com で、duoyuedu[.]comドメインが主体となっている。
示唆：DKIM/DMARCのpassはあくまでduoyuedu[.]comドメインの正当性を示すものであり、ANAが送信したことを保証しない。メール認証の仕組みはなりすまし先ブランド（ANA）の保護ではなく、Fromドメインの整合性チェックである。
総合判断：SPF softfailに加え、後述のFromドメイン不整合・ブランド詐称との複合根拠により、フィッシングと判断。

From / Return-Path の不整合

このメールの送信元情報を整理すると、以下のとおりです。

フィールド	値
表示From（Display From）	ANAマイレージクラブ <noreply[@]mail25[.]duoyuedu[.]com>
Return-Path（エンベロープFrom）	noreply-example=example[.]com[@]mail25[.]duoyuedu[.]com
送信元ドメイン（事実）	mail25[.]duoyuedu[.]com
ANA公式ドメイン（一般に知られているもの）	ana[.]co[.]jp

ANAが一般に公式ドメインとして使用していることが知られているのは ana[.]co[.]jp および anahd[.]com 等であり、duoyuedu[.]com とは無関係です（公式サイトで確認可能）。表示名を「ANAマイレージクラブ」としながら、実際の送信元は全く別のドメインであることが確認されています。

Return-Pathに含まれる =example[.]com の部分は、バウンスメール処理のためにエンベロープFromにエンコードする「VERP（Variable Envelope Return Path）」形式の一部です。正規のメール配信サービスでもVERPは使用されますが、本件では送信元ドメイン自体がANA非公式である点が問題の本質です。

送信元IPアドレス

送信元IPは 34[.]84[.]83[.]122 です。このIPアドレス帯（34[.]84[.]0[.]0/14）は、一般にGoogle Cloud Platform（GCP）のアジアリージョン（asia-northeast1 等）として知られています。クラウドインフラを悪用した送信は、IPレピュテーションによるブロックを回避しやすいため、フィッシングメールの送信に利用されるケースがあります。

URLおよびリダイレクト解析

メール本文に記載された手続きURLは正規ドメイン hxxps://www[.]ana[.]co[.]jp/ja/jp/amc/ ですが、HTMLソース中のリンク先として検出されたURLは異なります。

項目	値
実際のリンク先URL	hxxps://jeromelaan[.]com/3mOxxIpOS3
リダイレクト経路	2ホップ → hxxps://www[.]a[.]com（最終的に停止/エラー）
状態	解析時点で停止またはエラー（確認済み）

リダイレクト先の hxxps://www[.]a[.]com は、解析時点では有効なコンテンツを返しておらず、フィッシングページがすでに停止しているか、特定条件下でのみ動作するGeo/UA制限がかかっている可能性があります。停止していても、別の短縮URLや再送信で復活する事例が多いため、引き続き注意が必要です。

誘導先ドメイン（jeromelaan[.]com）の登録情報

項目	値
ドメイン	jeromelaan[.]com
レジストラ	InterNetX GmbH
登録日	2025年4月12日
ドメイン年齢	355日（解析時点）
ネームサーバー	damien[.]ns[.]cloudflare[.]com / penny[.]ns[.]cloudflare[.]com

ドメイン年齢が約1年と比較的新しいドメインです。ネームサーバーにはCloudflareが使用されており、実際の送信元IPをDNSレベルで隠蔽する効果があります。ANAと何ら関係を持たない第三者ドメインであることが確認されています。

フィッシング確定の根拠（複合判断）

本メールをフィッシングと確定する根拠は以下の複数の証拠の組み合わせによるものです。単一の証拠による断定ではありません。

#	証拠	確度
1	Fromドメインが `mail25[.]duoyuedu[.]com` であり、ANA公式ドメインと一致しない（ブランド詐称）	確認済み
2	SPF softfail：送信IP 34[.]84[.]83[.]122 が送信元ドメインのSPFポリシーで承認されていない	確認済み
3	本文中の正規URLと実際のhref先URLが異なり、ANA非公式ドメイン（jeromelaan[.]com）にリダイレクト	確認済み
4	住所・電話番号がプレースホルダーのまま（「[郵便番号]」「[電話番号]」）送信されている	確認済み
5	当日23:00という極端な締切設定による心理的誘導	確認済み

対処方法

このメールを受信した場合

メール内のリンクは絶対にクリックしないでください。本文に「www[.]ana[.]co[.]jp」と書かれていても、実際のリンク先がjeromelaan[.]com等の別URLになっているケースがあります。
ANAマイレージクラブへのログインは、必ずブラウザのアドレスバーに ana[.]co[.]jp を直接入力してアクセスしてください。メールのリンクは使わないことを習慣にしてください。
マイルの残高・有効期限は、公式アプリまたは公式サイトのマイページで直接確認できます。
すでにリンクをクリックしてID・パスワードを入力した場合は、直ちに公式サイトでパスワードを変更し、ANAマイレージクラブサービスセンターへ連絡してください。

メールを見分けるポイント

送信元アドレスのドメイン部分を必ず確認する。ANAからの正規メールは一般に @ana[.]co[.]jp または @anahd[.]com 等から届くことが知られています。duoyuedu[.]com は無関係のドメインです。
住所・電話番号が具体的に記載されているか確認する。本メールのように「[電話番号]」というプレースホルダーが残っている場合、フィッシングである可能性が高いです。
マウスオーバーでリンク先URLを確認する（スマートフォンの場合は長押し）。表示テキストと実際のURLが異なれば要注意です。

報告先

フィッシング対策協議会：報告フォームより報告可能（一般に公式サイトで確認できます）
ANA公式：ANAマイレージクラブサービスセンターへ不審メールとして報告
フィッシング詐欺を警察に報告：最寄りの警察署またはサイバー犯罪相談窓口

IOC（侵害指標）一覧

セキュリティ担当者・インフラ担当者はこれらのIOCをブロックリストに追加することを推奨します。

メールIOC

種別	値
SHA256（EMLファイル）	`0bb588fbb9e673f35de4e7ab8187c4e6c36b2ba8b881bef8d335631e82d6a35c`
送信元ドメイン	mail25[.]duoyuedu[.]com
送信元Fromアドレス	noreply[@]mail25[.]duoyuedu[.]com
Return-Path	noreply-example=example[.]com[@]mail25[.]duoyuedu[.]com
送信元IP	34[.]84[.]83[.]122

URLおよびドメインIOC

種別	値
フィッシングURL	hxxps://jeromelaan[.]com/3mOxxIpOS3
リダイレクト先URL	hxxps://www[.]a[.]com（停止・エラー確認済み）
フィッシングドメイン	jeromelaan[.]com
ネームサーバー	damien[.]ns[.]cloudflare[.]com / penny[.]ns[.]cloudflare[.]com