フィッシング

【注意喚起】「JCBカード/ショッピングご利用のお知らせ」を装うフィッシングメールを確認(2026年4月)

記事のHTMLを作成します。

2026年4月23日、株式会社ジェーシービー(JCBカード)のショッピング利用通知を装ったフィッシングメールの受信が確認された。差出人には「JCBカード」と表示されるが、実際の送信元アドレスはinfo[@]intercom[.]comであり、一般にJCBの公式ドメインとして知られているjcb[.]co[.]jpとは異なる。メール本文中のリンクは正規のMyJCBログインページのURLに見せかけているが、実際にはTDS(Traffic Direction System)を備えた不正なドメインに接続される仕組みになっている。

メール認証(SPF・DKIM・DMARC)がすべて不合格となっており、ブランドの詐称、URLの偽装と合わせて、フィッシング詐欺であることが確定している。

3行でわかるポイント

  • JCBカードの「ショッピングご利用のお知らせ」を装い、ローソンでの36,989円の利用があったと偽って不安を煽る手口
  • メール認証(SPF・DKIM・DMARC)が3項目すべて不合格。送信元ドメインもJCBの正規ドメインではない
  • メール内リンクの実際の接続先にはTDS(Traffic Direction System)が検出されており、アクセスごとに異なるサイトへリダイレクトされる攻撃インフラが使われている

受信されたメールの全文

以下は、実際に受信されたフィッシングメールの本文である。読者がメール件名や文面で検索した際に一致するよう、原文をそのまま引用する。メール内のリンクはすべてフィッシングサイトへの誘導であるため、絶対にクリックしないこと。

差出人: JCBカード <info[@]intercom[.]com>
件名: JCBカード/ショッピングご利用のお知らせ
日時: 2026年4月23日 20:41 (JST)

[受信者][@]example[.]com 様:

いつもJCBカードをご利用いただき、誠にありがとうございます。下記のご利用がありましたので、お知らせいたします。

カード名 【OS】JCBゴールド
ご利用日 :2026-04-23
ご利用金額: 36,989円(税込)
ご利用店舗: ローソン

本メールは、カードご利用後にお送りするリアルタイム通知です。カード情報などの入力内容を確認のうえ、再度ご利用ください。

MyJCBでログインする

▼ショッピング1回払いをご利用の場合、お支払い方法・金額の変更ができます。
→hxxps://my[.]jcb[.]co[.]jp/DirectLogitransition_id=933511&tk_id=myj_edmp_sm1_1

※一部、利用できないカードおよび加盟店があります。
※「カードご利用通知サービス」にご登録いただいているお客様に、リアルタイムで本メールをお送りしています。
※アプリをお持ちでない方は、App StoreまたはGoogle Playよりダウンロードしてご利用ください。

<注意事項>
・本メールに記載のURLはパソコン・スマートフォンよりご確認ください。
・本メールは送信専用です。返信されてもお応えできません。
・本メールの配信停止・Eメールアドレスの変更はMyJCBにログインのうえお手続きください。

<本件に関するお問い合わせ>
株式会社ジェーシービー[住所] 青山ライズスクエア
●お問い合わせ→hxxps://www[.]jcb[.]co[.]jp/

このメールがフィッシングである根拠

以下では、個々の証拠を「観測事実 → その示唆 → 総合判断」の順で解説する。単独の証拠ではなく、複数の証拠を組み合わせてフィッシングと判断している。

1. 送信元アドレスの分析

観測事実: メールのFrom(差出人)アドレスはinfo[@]intercom[.]com、Return-Path(エラー時の返送先)も同じくinfo[@]intercom[.]comである。

示唆: JCBの公式ドメインは一般にjcb[.]co[.]jpとして知られている。intercom[.]comはJCBとは無関係のドメインであり、JCBがこのドメインから公式の利用通知メールを送信するとは考えられない。正規のカード利用通知は、一般的にカード発行会社自身のドメインから送信される。

2. メール認証(SPF・DKIM・DMARC)の全面的な不合格

認証項目 結果 意味
SPF fail 送信元IPアドレス(47[.]159[.]3[.]112)が、intercom[.]comのSPFレコードで許可された送信サーバーに含まれていない
DKIM permerror 電子署名の検証において恒久的なエラーが発生しており、署名の正当性を確認できない状態
DMARC fail SPFとDKIMの結果に基づくDMARCポリシーの検証に不合格

観測事実: 3つのメール認証がすべて不合格(fail/permerror)となっている。

示唆: SPFの失敗は、このメールの送信元IPアドレスがintercom[.]comドメインの正規の送信サーバーとして登録されていないことを意味する。DKIMの恒久的エラー(permerror)は、電子署名の正当性を技術的に検証できない状態であることを示す。DMARCの失敗は、SPFとDKIMの結果を総合したポリシー検証においても送信者の正当性が認められなかったことを意味する。つまり、このメールの送信者が正規のものであることを、技術的に一切証明できない。

3. メール内URLの偽装手法

観測事実: メール本文の表示テキストにはhxxps://my[.]jcb[.]co[.]jp/というJCBの正規ドメインのURLが記載されている。しかし、実際にリンクが向いている先(HTMLのhref属性)は以下の不正ドメインである。

  • hxxps://jbcessiobc[.]yunstack[.]net/MaEUN8
  • hxxps://jbcessiobc[.]qinlingno1[.]net/MaEUN8=017540&tk_id=myj_edmp_sm1_1

示唆: これは「表示テキスト偽装」と呼ばれる手法であり、メールのHTML上ではリンクの表示テキストと実際の接続先を別々に設定できる性質を悪用したものである。利用者が表示されたURLを見てJCBの正規サイトだと信じてクリックすると、実際にはまったく別のドメインに接続される。不正ドメインのサブドメイン部分に「jbcessiobc」というJCBを想起させる文字列を含めている点も、利用者の目を欺く意図がうかがえる。

4. TDS(Traffic Direction System)の検出

観測事実: 上記2つの不正URLの両方で、TDS(Traffic Direction System)の存在が検出された。調査時点でこれらのURLにアクセスした際、最終的にwww[.]yahoo[.]co[.]jpにリダイレクトされることが観測された。両URLとも本記事執筆時点で稼働中である。

示唆: TDSとは、アクセス元のIPアドレス・ブラウザ情報・地域などの条件に応じて、接続先を動的に振り分ける仕組みである。セキュリティ調査では正規サイト(この場合はYahoo! JAPAN)にリダイレクトされ、一般利用者がアクセスした場合にのみフィッシングページを表示するという回避策として使われることが一般的に知られている。つまり、単にURLにアクセスして「正常なサイトが表示された」としても、フィッシングではないとは言い切れない。

5. X-Mailer情報の異常

観測事実: メールヘッダのX-Mailer(メール送信に使われたソフトウェアの情報)には「afbcf oteodhce vsmmg 794[.]4470[.]88873」と記載されている。

示唆: これは一般的なメールソフト(Outlook、Thunderbirdなど)や企業向けメール配信サービスの名称とは一致しない、意味のないランダムな文字列である。正規の企業メールであれば、一般的に使用しているメール配信プラットフォームの名称がX-Mailerに設定される。ランダムな文字列が設定されていることは、自動化されたメール送信ツールが使用された可能性を示唆する補助的な指標となる。

総合判断

以上の証拠を総合すると、このメールはフィッシング詐欺であることが確定している。判断根拠は以下の通り複合的である。

  1. ブランド詐称(確認済み): 差出人名に「JCBカード」を使用しているが、送信元ドメインはintercom[.]comであり、JCBの正規ドメインjcb[.]co[.]jpではない
  2. メール認証の全面不合格(確認済み): SPF fail・DKIM permerror・DMARC failの3項目すべてが不合格であり、送信者の正当性を技術的に証明できない
  3. URL偽装(確認済み): メール本文にはJCBの正規URLを表示しながら、実際のリンク先はTDS型攻撃インフラを持つ不正ドメインに誘導される

メール認証技術(SPF・DKIM・DMARC)の解説

メールの送信元が正規のものかどうかを判断するために、現在のメールシステムでは主に3つの認証技術が使われている。

SPF(Sender Policy Framework)

ドメインの所有者が「このIPアドレスからのメール送信を許可する」というリストをDNSに公開する仕組み。受信サーバーは、実際の送信元IPアドレスがこのリストに含まれているかを確認する。今回のメールではSPFが「fail」であり、送信元IP(47[.]159[.]3[.]112)がintercom[.]comの許可リストに含まれていないことを意味する。

DKIM(DomainKeys Identified Mail)

送信サーバーがメールに電子署名を付与し、受信サーバーがDNSに公開された公開鍵で署名を検証する仕組み。メールの改ざん有無を確認できる。今回は「permerror」(恒久的エラー)であり、署名の正当性を検証できない状態にある。

DMARC(Domain-based Message Authentication, Reporting and Conformance)

SPFとDKIMの検証結果を組み合わせて最終的な判断を行い、不合格メールの扱い(拒否・隔離・許可)をドメイン所有者が指定できる仕組み。今回は「fail」であり、ポリシーに基づく検証に不合格となっている。

この3つの認証がすべて不合格であるということは、このメールが正規の送信者からのものであることを技術的に証明する手段がないことを意味する。ただし、認証の失敗だけでフィッシングと断定することはできない。正規のメールでも設定不備により認証が失敗する場合がある。今回はこれに加え、ブランドの詐称やURLの偽装といった複数の証拠が揃っているため、フィッシングと確定している。

TDS(Traffic Direction System)とは

TDS(Traffic Direction System)は、Webサイトへのアクセスを条件に応じて異なる宛先に振り分ける仕組みである。正規の用途では広告配信やA/Bテストに使われるが、フィッシングにおいては、セキュリティ調査を回避し、一般利用者にのみ偽サイトを表示する目的で悪用される。

今回のケースでは、調査環境からアクセスした際にwww[.]yahoo[.]co[.]jpにリダイレクトされた。これは、調査者やセキュリティツールからのアクセスを検知し、正規サイトにリダイレクトすることでフィッシングの検出を逃れる手口と考えられる。一般利用者がアクセスした場合は、JCBの正規サイトを模した偽のログインページが表示される可能性がある。

注意: リンクをクリックしてYahoo! JAPANなどの正規サイトが表示されたとしても、それは安全だったことを意味しない。TDSが調査を検知して無害なサイトにリダイレクトしただけである可能性がある。

IOC(侵害指標)一覧

以下は本フィッシングメールから抽出されたIOC(Indicator of Compromise:侵害指標)の一覧である。セキュリティ機器やフィルタルールへの反映に活用いただきたい。

種別 備考
送信元メールアドレス info[@]intercom[.]com From / Return-Path
送信元IPアドレス 47[.]159[.]3[.]112 メールヘッダから抽出
フィッシングURL hxxps://jbcessiobc[.]yunstack[.]net/MaEUN8 TDS検出・稼働中
フィッシングURL hxxps://jbcessiobc[.]qinlingno1[.]net/MaEUN8=017540&tk_id=myj_edmp_sm1_1 TDS検出・稼働中
フィッシングドメイン jbcessiobc[.]yunstack[.]net 誘導先ドメイン
フィッシングドメイン jbcessiobc[.]qinlingno1[.]net 誘導先ドメイン
SHA-256 a88da696df56915849a37deace08a80782ad1d1684171b4c72a23da2b1a5c47a メールファイルのハッシュ値

PhishTank登録状況

  • hxxps://jbcessiobc[.]yunstack[.]net/MaEUN8 — 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
  • hxxps://jbcessiobc[.]qinlingno1[.]net/MaEUN8=017540&tk_id=myj_edmp_sm1_1 — 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

このメールを受け取った場合の対処

このフィッシングメールは、「JCBゴールドカードでローソンにて36,989円を利用した」という具体的な内容で不安を煽り、メール内のリンクからカード情報を入力させる手口である。以下の対処を推奨する。

メール内のリンクをクリックしていない場合

  1. メールを削除する。リンクをクリックせず、そのまま削除して問題ない。
  2. 身に覚えのない利用が心配な場合は、メール内のリンクではなく、自分でMyJCBにアクセスして確認する。ブラウザのブックマークから、またはJCBカード裏面に記載のURLを直接入力してMyJCBにログインし、利用明細を確認すること。JCBの公式アプリからの確認も安全である。

リンクをクリックしてしまった場合

  1. すぐにブラウザを閉じる。TDSの仕組みにより、Yahoo! JAPANなどの正規サイトが表示された場合でも、途中でCookieやアクセス情報が収集されている可能性がある。
  2. カード情報やログインID・パスワードを入力してしまった場合は、直ちにJCBに連絡する。JCBカード裏面に記載の電話番号に連絡し、カードの利用停止手続きを依頼すること。
  3. MyJCBのパスワードを変更する。正規のMyJCBサイトに自分でアクセスし、ログインパスワードを変更すること。他のサービスで同じパスワードを使い回している場合は、それらも変更すること。

送信元アドレスの見分け方

JCBの公式メールは一般にjcb[.]co[.]jpドメインから送信されることが公式サイトで確認できる。今回のメールはintercom[.]comから送信されており、差出人名に「JCBカード」と表示されていても送信元ドメインが異なる。メールの差出人名は自由に設定できるため、表示名ではなくメールアドレスのドメイン部分を確認する習慣を持つことが重要である。

リンク先の確認方法

メール内のリンクは、クリックする前に接続先URLを確認できる。パソコンではリンクにマウスカーソルを合わせるとブラウザ下部にURLが表示される。スマートフォンではリンクを長押しするとプレビューが表示される。表示されたテキストのURLと、実際のリンク先URLが異なる場合はフィッシングの可能性が高い。

検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
jbcessiobc[.]yunstack[.]net 入口URL 稼働中 メール本文
jbcessiobc[.]qinlingno1[.]net 入口URL 稼働中 メール本文

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,