【大切なお知らせ】JACCS アカウント情報確認に関するご連絡 — JACCSを騙るフィッシングメール解析レポート

メール概要

メール本文（全文引用）

【重要なお知らせ】ご本人様情報の確認について

平素よりジャックス インターコムクラブをご利用いただき、誠にありがとうございます。

弊社では、お客様のアカウントの安全性を確保するため、定期的にご本人様情報の確認をお願いしております。

ご登録内容に不備がある場合や一定期間確認が行われていない場合、アカウントの一部機能を制限させていただくことがございます。

お手数ですが、下記よりご本人様情報のご確認および必要項目のご入力をお願いいたします。

本人情報の確認へ進む

本メールは送信専用のため、返信いただいても対応いたしかねます。
内容にお心当たりがない場合は、そのまま破棄していただいて問題ございません。

今後ともジャックス インターコムクラブをよろしくお願いいたします。

© 2025 JACCS Co., Ltd. All Rights Reserved.

本文は典型的な「情報確認催促」の構文を用いており、アカウント機能制限をちらつかせて焦りを誘う手口です。「本人情報の確認へ進む」と書かれたリンクが誘導先のフィッシングURLへの入口となっています。

フィッシング確定の根拠（複合判断）

本メールをフィッシングと確定した判断は、以下の複数の証拠の組み合わせによるものです。単一の指標のみによる断定ではありません。

1. 差出人ドメインとブランドの不一致（確認済み）

観測事実：差出人アドレスは hirosesatoshi1952[@]flamingowind[.]fyalvc[.]cn であり、Return-Pathも同一ドメインです。

示唆：JACCSの公式サイトで確認できる正規ドメインは一般に jaccs[.]co[.]jp として知られています。flamingowind[.]fyalvc[.]cn はこれと全く異なる中国の .cn ドメインであり、正規の送信元として説明がつきません。

総合：差出人表示名を「株式会社ジャックス」と偽りながら、実際の送信元はJACCSと無関係のドメインであるという矛盾は、なりすましフィッシングの典型的特徴です。

2. メール認証の失敗状態（確認済み）

SPF none・DKIM permerror・DMARC未付与が重なった状態は、正規メール配信基盤では通常発生しにくく、後述の差出人偽装・誘導先不審URLと合わせてフィッシングの根拠を補強します。

3. 中国語環境を示すメタデータ（確認済み）

観測事実：メール本文には font-family: microsoft yahei（微软雅黑）というフォント指定が含まれていました。また件名・本文はISO-2022-JPでエンコードされています。

示唆：Microsoft YaHeiは中国語（簡体字）環境向けのフォントであり、日本語フォントとして選ばれることは一般的にありません。日本の金融機関が公式メールで使用するフォントとしては不自然です。これは制作環境が日本語ネイティブでない可能性を示唆する補助的指標です。

4. 不審な誘導先URL（確認済み）

観測事実：メール内のリンク先として hxxps://qfe3hfbo[.]cn/Nbgg91DG7D[.]nagoya[.]com を検出しました。このURLは2段階のリダイレクトを経て hxxps://www[.]a[.]com に転送された後、停止・エラー状態となっています。

示唆：リダイレクトチェーンを用いた設計は、URLフィルタリングの回避や実際の最終誘導先を隠蔽する目的で使われる手法として一般的に知られています。qfe3hfbo[.]cn はランダム文字列のような構造を持つ中国ドメインであり、JACCSとの関連性はありません。

送信元インフラ解析

送信元IPアドレス

このIPアドレスはメール送信に使用されたサーバーとして観測されたものです。

誘導先ドメイン

URLパス部分に [.]nagoya[.]com という文字列が含まれていますが、これはパス文字列であり実際のドメインではありません。接続先はあくまでも qfe3hfbo[.]cn です。このような紛らわしいパス構成は、一見すると正規ドメインへのリンクに見せかける手口として使われることがあります。

フィッシングURLの仕組み（技術解説）

リダイレクトチェーンによる追跡回避

今回の誘導URLは単一のURLではなく、複数段階のリダイレクトを経由する構造になっていました。この手法には主に2つの目的があると一般的に考えられています。

• URLフィルター回避：メールセキュリティ製品がリンクをスキャンした時点では中間のURLしか見えず、最終誘導先を隠せる
• 動的切り替え：最終的な誘導先を後から差し替えることができ、特定のターゲットにのみ有効なURLを提示できる

SPF / DKIM / DMARCとは

これらはメールの正当性を検証するための技術的な仕組みです。

• SPF（Sender Policy Framework）：「このドメインのメールは、これらのサーバーからのみ送信される」と宣言するDNSレコード。SPF noneは宣言が確認できない状態を意味します
• DKIM（DomainKeys Identified Mail）：送信者が秘密鍵でメールに電子署名し、受信側が公開鍵で検証する仕組み。permerrorは検証処理自体が成立しなかったことを示します
• DMARC：SPFとDKIMの結果を受けて、受信側が「迷惑メール扱い」か「拒否」かを自動判断するポリシー。上流の検証が機能しないと、DMARCも機能しません

正規の金融機関は一般的にこれらすべてを適切に設定しており、認証が通過することが正規メールの必要条件のひとつです（ただし認証通過だけで安全とは言えません）。

対処方法

今回のメールに特有の注意点を以下に示します。

このメールを受け取った場合

• 「本人情報の確認へ進む」リンクは絶対にクリックしない。リダイレクトチェーンを経由するため、リンク先のURL表示だけでは危険性を判断できません
• JACCSからの連絡か確認したい場合は、メール内のリンクを使わず、公式サイト（jaccs[.]co[.]jpとして一般に知られているドメイン）を直接ブラウザに入力してアクセスしてください
• 差出人アドレスが [.]cn ドメインであることは、日本の金融機関からの正規メールとして明らかに不自然です。差出人表示名だけでなく、メールアドレスのドメイン部分を必ず確認してください
• もしリンクをクリックしてしまい、情報を入力した場合は、直ちにJACCSのカスタマーサポートに連絡し、パスワード変更・カード利用停止などの対応を行ってください

組織での対応

• 送信元ドメイン flamingowind[.]fyalvc[.]cn および誘導先ドメイン qfe3hfbo[.]cn をメールフィルター・プロキシのブロックリストに追加することを推奨します
• 送信元IP 185[.]91[.]209[.]13 についても同様にブロック検討の対象となります

IOC一覧

まとめ

本メールは、差出人ドメインの偽装・メール認証の不整合・中国語環境を示すメタデータ・不審な誘導先URLという複合的な根拠から、JACCSを騙るフィッシングメールであると確定しています。

文面は丁寧な日本語で書かれており、一見すると公式メールのように見えます。しかし、「差出人表示名は偽れる」という基本的な事実を念頭に置き、メールアドレスのドメインを確認する習慣が重要です。正規の金融機関からの連絡は、常に公式サイトを直接ブックマーク等で開いて確認するようにしてください。