【注意喚起】JCBを騙るフィッシングメール「ポイント利用期限に関するお知らせ#896319」を確認 ― 非公式ドメインからの送信・フィッシングサイトへ誘導
2026年4月16日、JCBカードになりすましたフィッシングメールが国内で確認されました。「ポイント残高の利用期限が迫っている」という焦りを煽る文面で受信者を誘導し、偽サイトへのアクセスを促す手口です。送信元ドメイン・認証情報・誘導先インフラの複合的な解析により、本メールはフィッシング詐欺と確定しています。
メール概要
見出し
| 件名 | ポイント利用期限に関するお知らせ#896319 |
|---|---|
| 差出人(表示名) | JCBカスタマーセンター <service[@]mail6[.]duckyswindowcleaning[.]com> |
| Return-Path | <service[@]mail6[.]duckyswindowcleaning[.]com> |
| 受信日時 | 2026年4月16日(木)15:52:14 +0900 |
| 文字コード | UTF-8 |
| SHA256(EMLファイル) | 4fc475e994b4dde89b6e5971c2acff56e2a109880f6db7a1acf1946e81f10db1 |
メール本文(全文引用)
JCBポイントのご案内
JCBからのご案内
JCBカード会員 様
平素よりJCBカードをご利用いただき、ありがとうございます。
現在のポイント状況についてご案内いたします。
ポイント残高の一部につきまして、ご利用期限が近づいております。
なお、確認手続き完了後、ポイントの利用期限は最大1年間延長される場合があります。
- 対象カード:JCBカード
- ポイント残高:5,122ポイント ※ 1ポイント=約2円相当
- ご利用期限:2026年4月20日
確認ページへ
ポイントの詳細や各種お手続きにつきましては、会員専用ページよりご確認いただけます。
今後ともよろしくお願いいたします。本メールは送信専用です。
© JCB Co., Ltd.
本文の手口解説
文面は「5,122ポイント(約10,244円相当)が4月20日に失効する」という具体的な数字で緊迫感を演出しています。実際の期限まで4日しかない設定にすることで、受信者が冷静に送信元を確認する前にリンクをクリックさせようとする典型的な緊急性の偽造手口です。「© JCB Co., Ltd.」の著作権表記や丁寧な敬語は、正規メールに見せるための偽装です。
メール認証解析
フィッシングメールかどうかを技術的に判定する主要な認証プロトコルはSPF・DKIM・DMARCの3つです。それぞれの結果と意味を解説します。
SPF(Sender Policy Framework): softfail
観測事実:送信元IP 48[.]12[.]146[.]34 は、mail6[.]duckyswindowcleaning[.]com のSPFレコードで明示的な送信許可を受けていません。SPFの評価結果は「softfail(~all)」でした。
示唆:softfailは「このIPからの送信は推奨されていないが、即時拒否はしない」という意味です。メールサーバーがSPFポリシーに反する経路で送信されたことを示唆します。つまり、送信に使われたサーバーはmail6[.]duckyswindowcleaning[.]com が正規に許可した送信インフラではない可能性があります。
DKIM(DomainKeys Identified Mail): pass
観測事実:DKIMの電子署名検証は「pass」でした。署名ドメインはmail6[.]duckyswindowcleaning[.]com です。
示唆:DKIMのpassは「メールがそのドメインの秘密鍵で署名されている」ことを意味します。しかし注意が必要なのは、署名ドメイン自体がJCBとは無関係の非公式ドメインであるという点です。攻撃者は自分が管理するドメイン(duckyswindowcleaning[.]com)のDKIM鍵を正しく設定しているため、そのドメインに対するDKIM検証は通過します。DKIMのpassはそのドメインが「本物のJCB」であることを保証しません。
DMARC: pass
観測事実:DMARC検証は「pass」でした。
示唆:DMARCはSPFまたはDKIMのどちらか一方でも「pass」かつ送信ドメインと整合していれば通過します。本メールではDKIMがmail6[.]duckyswindowcleaning[.]com に対してpassしており、DMARCもそのドメインに対して整合性を確認した結果です。ここでも重要なのは、DMARCがpassしているのはJCBの公式ドメイン(一般にjcb[.]co[.]jpとして知られる)ではなく、攻撃者管理の非公式ドメインに対してpassしているという点です。
認証結果の総合判断
DKIM・DMARCがpassであることは、このメールが「正規のJCBから送信された」証拠には一切なりません。攻撃者は自分が管理する非公式ドメインに対して認証を通過させているだけです。一方で、SPF softfailは送信経路の不整合を示しています。From/Return-Pathに記載されたドメインがJCBの公式ドメインと全く異なることと合わせ、なりすましと判断する根拠となります。
送信元インフラ解析
送信元IPアドレス
| IPアドレス | 48[.]12[.]146[.]34 |
|---|---|
| CIDR | 48[.]0[.]0[.]0/11 |
| 登録組織 | The Prudential Insurance Company of America |
観測事実:このメールの送信に使われたIPアドレス 48[.]12[.]146[.]34 は、米国の大手保険会社「プルデンシャル・インシュアランス・カンパニー・オブ・アメリカ」に割り当てられたIPレンジ(48[.]0[.]0[.]0/11)に属しています。
示唆:保険会社の企業IPレンジからJCBの名前でフィッシングメールが送信されることは通常あり得ません。このIPアドレスが当該組織の管理下にある何らかのサーバーから不正利用されている可能性が示唆されます。一般的に、このような場合は管理不十分なメールサーバーや侵害されたシステムが悪用されるケースが知られています。
送信元ドメイン: mail6[.]duckyswindowcleaning[.]com
観測事実:Fromアドレス・Return-Pathともに service[@]mail6[.]duckyswindowcleaning[.]com が使用されています。duckyswindowcleaning[.]com は窓清掃業者のドメインと推定されます。
示唆:JCBの公式サイトで確認できる送信元ドメインとは全く異なります。このドメインがJCBとは無関係であることは明白であり、ブランドなりすましの主要な根拠のひとつです。
誘導先サイト解析
フィッシングURL
hxxps://planetadasgemeas[.]com/cart/oRsvlKxrDwF2HjN1eG7JP
メール本文中の「確認ページへ」リンクが上記URLへの誘導であることを確認(確定)。解析時点でURLはエラー状態(停止中)でしたが、これはフィッシングキャンペーンの一時的なサイト停止またはアクセス制御(TDS: Traffic Direction System)による可能性があります。
ドメイン登録情報
| ドメイン | planetadasgemeas[.]com |
|---|---|
| レジストラ | Gname 033 Inc |
| 登録日 | 2025年4月26日 |
| ドメイン年齢(解析時点) | 355日 |
| ネームサーバー | a1[.]share-dns[.]com / b1[.]share-dns[.]net |
ドメイン年齢について
観測事実:planetadasgemeas[.]com は登録から355日が経過しています。
示唆:一般にフィッシング用ドメインは短命(数日〜数週間)で使い捨てられることが多いですが、本ドメインは約1年にわたって維持されています。長期間維持されているドメインは、継続的なフィッシングキャンペーンに使い回されている可能性、または複数の攻撃波に備えて事前に取得・温存されていた可能性が示唆されます。
ネームサーバーについて
観測事実:a1[.]share-dns[.]com と b1[.]share-dns[.]net が使用されています。
示唆:share-dns[.]com / share-dns[.]net は複数のドメインのDNSを共同管理する形態です。同じネームサーバーを利用する他のドメインが存在する場合、同一の攻撃グループが複数のフィッシングドメインをインフラ的に束ねて運用している可能性があります。
フィッシング確定の根拠(複合判断)
本メールをフィッシングと確定した根拠は以下の複数の証拠の組み合わせです。
- ブランドなりすまし(確認済み):差出人表示名に「JCBカスタマーセンター」と記載しながら、実際の送信元ドメインはJCBと無関係の
mail6[.]duckyswindowcleaning[.]comです。一般にJCBの公式ドメインはjcb[.]co[.]jpとして知られており、本メールの送信元とは完全に異なります。 - SPF softfail(確認済み):送信に使用されたIP
48[.]12[.]146[.]34は送信元ドメインのSPFポリシーで承認されておらず、正規送信経路からの送信でないことを示唆します。 - 非公式フィッシングURLへの誘導(確認済み):メール本文のリンクはJCBとは無関係のドメイン
planetadasgemeas[.]comに設置されたパスへ誘導しています。DMARC/DKIMがpassであっても、誘導先がJCB公式サイトと一切異なる点は変わりません。
これら3点の複合的な証拠により、本メールはJCBを騙るフィッシング詐欺と確定しています。
IOC(侵害指標)一覧
| 種別 | 値 | 備考 |
|---|---|---|
| 差出人メールアドレス | service[@]mail6[.]duckyswindowcleaning[.]com |
JCB非公式・なりすましドメイン |
| Return-Path | service[@]mail6[.]duckyswindowcleaning[.]com |
差出人と同一 |
| 送信元IP | 48[.]12[.]146[.]34 |
The Prudential Insurance Company of America 割当IP |
| 送信元CIDR | 48[.]0[.]0[.]0/11 |
同上組織のIPレンジ |
| フィッシングURL | hxxps://planetadasgemeas[.]com/cart/oRsvlKxrDwF2HjN1eG7JP |
解析時点では停止中 |
| フィッシングドメイン | planetadasgemeas[.]com |
登録日2025-04-26、年齢355日 |
| ネームサーバー | a1[.]share-dns[.]com / b1[.]share-dns[.]net |
フィッシングドメインのDNS管理 |
| EML SHA256 | 4fc475e994b4dde89b6e5971c2acff56e2a109880f6db7a1acf1946e81f10db1 |
メールファイルのハッシュ値 |
| PhishTank登録状況 | 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。 | — |
このメールを受け取った場合の対処法
絶対にやってはいけないこと
- 「確認ページへ」リンクをクリックしない:メール内のリンクはJCB公式サイトではなく、第三者のドメインに誘導します。
- ページが表示されても情報を入力しない:解析時点ではURLはエラー状態でしたが、キャンペーンが再開されれば偽ログインページが表示される可能性があります。
- 「4月20日が期限」という焦りに乗らない:具体的な期限日と金額は受信者を急がせ、確認作業を省略させるための偽装です。
正しい確認方法
- JCBのポイント残高や期限は、ブラウザのアドレスバーに直接JCBの公式URL(一般にjcb[.]co[.]jpとして知られているサイト)を入力してログインして確認してください。メール内のリンクからは絶対にアクセスしないでください。
- JCBカスタマーセンターのカード裏面または明細書に記載の公式電話番号に問い合わせることで、ポイント状況を確認できます。
誤ってリンクをクリックしてしまった場合
- IDやパスワード、カード番号等を入力した場合は、直ちにJCBの公式カスタマーセンターへ連絡してください。
- パスワードを入力してしまった場合は即座にパスワードを変更し、他サービスで同じパスワードを使い回している場合はそちらも変更してください。
- カード番号・有効期限・セキュリティコードを入力した場合は、カードの利用停止・再発行を検討してください。
メールの見分け方(このケースに特有の指標)
- 差出人のメールアドレスをよく確認する:表示名が「JCBカスタマーセンター」であっても、メールアドレスが
service[@]mail6[.]duckyswindowcleaning[.]comのようなJCBと無関係のドメインの場合は詐欺です。 - リンク先URLをホバー(マウスを乗せる)して確認する:jcb[.]co[.]jp 以外のドメインが表示された場合はアクセスしないでください。
- 「#896319」のような件名末尾の番号は受信者ごとに変化する場合があり、本物らしさを演出するための偽装です。
まとめ
本メールは、JCBカードのポイント失効という実在しうる状況を利用した、巧妙に作り込まれたフィッシング詐欺です。DKIM・DMARCがpassという認証結果は、攻撃者が自分の管理するドメインに対して正しく認証設定を行っていることを示すに過ぎず、送信元がJCB公式であることを保証するものではありません。
送信元ドメインのJCBとの無関係性、SPF softfail、および非公式ドメインへの誘導という複数の根拠の組み合わせにより、フィッシングと確定しています。受け取った方はリンクをクリックせず、公式サイトから直接ポイント状況を確認してください。
関連記事
【注意喚起】JCBカード2026年4月10日分お振替内容確定のご案内…
NEW 【警告・確定】「【公式案内】2026年度システム基盤改修に伴う認証環…
NEW 【注意喚起】日本銀行を騙るフィッシングメール「登録方法のご案内」― …
NEW 【JCBカード重要通知】カード制限解除の最終手続きについて ─ JC…
NEW 【公示】不正アクセス事象に伴う法定補償手続きの執行について No[.…
NEW 【最終警告】認証再設定未完了による取引制限予定のご案内|マネックス証…
NEW 【注意喚起】auじぶん銀行を装ったフィッシングメール「【auじぶん銀…
NEW 【フィッシング注意喚起】楽天証券を騙る「春の特別プレゼントキャンペー…
NEW 【重要】【松井証券】口座情報の更新のお願い ― 松井証券をかたるフィ…
NEW 【安心サポート】お客様のアカウント確認について No[.]18530…
NEW 【要対応】多要素認証の登録期限が迫っています|4月7日までNo[.]…
NEW 【注意喚起】SBI証券をかたる「損失補償手続き」フィッシングメール|…
NEW 【ログイン時の安全性向上】大和証券からのセキュリティ設定のご案内—大…
NEW 【緊急】カードお買い物確認のお知らせ ─ イオンカードを騙るフィッシ…
NEW 【注意喚起】アメリカン・エキスプレスをかたるフィッシングメール「【ア…
NEW 【注意喚起】「【SAISON】Netアンサー最終ログインから3ヶ月以…
カテゴリ:フィッシング
タグ:JCB,SPF,なりすまし,フィッシング,金融
【注意喚起】「【重要】Windowsセキュリティーシステムのアップグレード」と題したMicrosoftを名乗るフィッシングメール — Azureインフラ悪用・TDS型攻撃インフラを確認
ランサムウェア被害、EDRだけでは不十分か?ハードウェア連携で迅速復旧へ マジセミがウェビナー再放送