どこにでもいるような普通の一般人が、たまに自分用メモを書いてる。

全日本空輸 (ANA) を詐称するフィッシング詐欺

日付:
タグ:

Received: from fhf.com ([46.110.31.31])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

ANAマイレージクラブ

未加算マイルのご案内

平素よりANAマイレージクラブをご利用いただき、誠にありがとうございます。

お客様のアカウントに未加算マイルが確認されましたので、下記の通りご案内いたします。

未加算マイル    対象フライト便数
2,580マイル     3便

申請期限
2025年6月23日 23:59

申請手続きへ進む (https://0123.cfmezfb.sbs/1234)

【重要】セキュリティに関する注意事項

当メールに心当たりのない場合は、リンクをクリックせず破棄してください
申請手続きは必ず公式サイト(ana.co.jpドメイン)から行ってください
不審なメールの場合はカスタマーセンターまでお知らせください

※申請期限経過後のマイル加算は承れません
ANAマイレージクラブ カスタマーセンター: 0570-029-333(毎日 9:00-19:00)
〒105-7133 東京都港区海岸1-2-20 シップ品川
  2025 ANA Mileage Club. All Rights Reserved
  • フィッシングサイト: *.cfmezfb.sbs
  • フィッシングサイト: 7fqhpf2.sbs
  • 送信元: Metronet

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

2通目。

Received: from bvvq.com (syn-076-184-227-042.res.spectrum.com. [76.184.227.42])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

ANAマイレージクラブ

未加算マイルのご案内

平素よりANAマイレージクラブをご利用いただき、誠にありがとうございます。

お客様のアカウントに未加算マイルが確認されましたので、下記の通りご案内いたします。

未加算マイル数    対象フライト便数
2,580マイル       3便

申請期限
2025年6月23日 23:59

申請手続きへ進む (https://0123.dkuuozo.sbs/1234)

【重要】セキュリティに関する注意事項

当メールに心当たりのない場合は、リンクをクリックせず破棄してください
申請手続きは必ず公式サイト(ana.co.jpドメイン)から行ってください
不審なメールの場合はカスタマーセンターまでお知らせください

※申請期限経過後のマイル加算は承れません
ANAマイレージクラブ カスタマーセンター: 0570-029-333(毎日 9:00-19:00)
〒105-7133 東京都港区海岸1-2-20 シップ品川
  2025 ANA Mileage Club. All Rights Reserved
  • フィッシングサイト: *.dkuuozo.sbs
  • フィッシングサイト: 7fqhpf2.sbs
  • 送信元: Charter Communications

えきねっとを詐称するフィッシング詐欺

日付:
タグ:

Received: from kghdb.cn ([194.146.39.231])
From: "えきねっと(JR東日本)" <rn@kghdb.cn>
Subject: 「えきねっと」アカウントの自動退会処理について

日頃より「えきねっと」をご利用いただきありがとうございます。

「えきねっと」は2025年6月1日にサービスをリニューアルいたしました。これに伴い、「えきねっと」利用規約·会員規約を変更し、最後にログインをした日より起算して1月以上「えきねっと」のご利用(ログイン)が確認できない「えきねっと」アカウントは、自動的に退会処理させていただくことといたしました。なお、対象アカウントの自動退会処理を、本規約に基づき、2025年6月30日より順次、実施させていただきます。

1月以上ログインしていないお客さまで、今後も「えきねっと」をご利用いただける場合は、2025年6月30日よりも前に、一度ログイン操作をお願いいたします。

→ログインはこちら (https://reurl.cc/K8NMby)

(後略)

(後略) 部分は https://www.eki-net.com/top/e-ticket/ にある『「新幹線eチケットサービス」ご利用にあたっての注意事項』のコピペなので省略した。本物っぽく見せようとして蛇足に至ってる印象。

kghdb.cn はフィッシング詐欺メイル送信用ドメインと見て差し支えないように思われる。

kghdb.cn.               1       IN      TXT     "v=spf1 a mx ip4:194.146.39.231/32  ~all"
kghdb.cn.               1       IN      MX      5 kghdb.cn.
kghdb.cn.               1       IN      A       194.146.39.231

定番とは少し違う部分がある。

  • Envelope-From と From ヘッダーが同一で実在ドメイン名のアドレス。SPF も pass するように設定されている
  • タイムゾーンが +0800 でない
  • メイル記載の reurl.cc は中華系 URL 短縮サービスのようだ。JavaScript window.locaion.replace() でリダイレクトしている
  • リダイレクト先が Cloudflare 収容でない
  • リダイレクト先ドメイン名は 22.cn で登録されたもの
  • サブドメインを駆使して本物と誤解させようとする努力が見える

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

実はリストに書いていない「定番」の特徴もいくつかあるのだが、今回のものは一致点も不一致点もあった。

メルカリを詐称するフィッシング詐欺

日付:
タグ:

Received: from blAK.com ([74.112.119.71])
From: "メルカリ事務局" <0123@mercari-alerts.jp>
Subject: 【重要】お客様のメルカリアカウントに異常なログインが検出されました

【重要なお知らせ】
お客様のアカウントに異常なログインが検出されました

平素よりメルカリをご利用いただきありがとうございます。

最近、お客様のアカウントに対して通常とは異なる地域?端末からのアクセスが確認されました。

セキュリティ保護の観点から、お客様のアカウント機能を一部制限させていただいております。
ご本人による利用であることを確認するため、以下のページよりご対応をお願いいたします。

アカウント情報を確認する (https://1234.b492l9k.sbs/2345)

※この手続きを24時間以内に行っていただけない場合、アカウントが一時停止となる可能性があります。
何卒ご理解とご協力のほど、よろしくお願い申し上げます。

※本メールは送信専用です。ご返信いただいても対応いたしかねますのでご了承ください。

メルカリ事務局
  • フィッシングサイト: *.b492l9k.sbs
  • フィッシングサイト: 8vrzlaz.sbs
  • 送信元: Hancock Internet

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

2通目。

Received: from Mwcd.com (cd.07.ce6d.cidr.airmail.net. [206.109.7.205])
From: "メルカリ事務局" <0123@mercari-alerts.jp>
Subject: 【重要】お客様のメルカリアカウントに異常なログインが検出されました

【重要なお知らせ】
お客様のアカウントに異常なログインが検出されました

平素よりメルカリをご利用いただきありがとうございます。

最近、お客様のアカウントに対して通常とは異なる地域?端末からのアクセスが確認されました。

セキュリティ保護の観点から、お客様のアカウント機能を一部制限させていただいております。
ご本人による利用であることを確認するため、以下のページよりご対応をお願いいたします。

アカウント情報を確認する (https://1234.8k7eg51.sbs/2345)

※この手続きを24時間以内に行っていただけない場合、アカウントが一時停止となる可能性があります。
何卒ご理解とご協力のほど、よろしくお願い申し上げます。

※本メールは送信専用です。ご返信いただいても対応いたしかねますのでご了承ください。

メルカリ事務局
  • フィッシングサイト: *.8k7eg51.sbs
  • フィッシングサイト: 8vrzlaz.sbs
  • 送信元: JAB Wireless
  • 送信元: Rise Broadband

ささやかな妨害工作

2通とも From は mercari-alerts.jp。これは未登録ドメイン名で、いずれ登録して騙しやすくする意図があったのかな?
ちょうど「お名前.com」 (GMO) で無料で登録できたので登録しておいた。
SPF レコードは “v=spf1 -all” に設定したため、@mercari-alerts.jp が From のメイルは必ず SPF Fail になる。
仮ウェブサイトも作った。「mercari-alerts.jp からのメイルはすべて詐欺です」

メルカリから要求があれば、mercari-alerts.jp は無料で引き渡しに応じるつもり。
連絡先: musashi@araki.jp (本メイルアドレスへの「特定電子メール」の送信は禁止)
私にはわざわざ金をかけて更新する意思はないので、連絡がなければ2026年6月末で放棄されることになる。

東京電力 (TEPCO) を詐称するフィッシング詐欺

日付:
タグ:

Received: from Xns.com ([38.141.229.31])
From: "TEPCOカスタマーセンター"
Subject: 【重要】ご契約情報の確認をお願いいたします(TEPCO)

【重要】ご契約情報の再確認のお願い

平素より東京電力をご利用いただき、誠にありがとうございます。

最近、弊社システムにてお客様のご契約情報に一部不整合が確認されました。
セキュリティ強化および継続的なサービス提供のため、下記リンクよりご契約内容の確認をお願いいたします。

ご契約情報を確認する (https://0123.47g1c08.sbs/1234)

※この確認は必須です。
※未対応の場合、サービスの一部に制限がかかる可能性がございますのでご注意ください。
※本メールは自動送信です。返信いただいても対応いたしかねます。

東京電力エナジーパートナー株式会社
カスタマーサポートセンター
https://www.tepco.co.jp
Tokyo Electric Power Company Holdings, Inc. 
  • フィッシングサイト: *.47g1c08.sbs
  • フィッシングサイト: izwkx6z.sbs
  • 送信元: Cogent Communications
  • 送信元: Vyve Broadband

38.0.0.0/8 を Cogent が持っていて、その中の 38.141.224.0/21 を Vyve に再割当。
whois では通報先が Cogent のものしか見えない。

OrgAbuseEmail:  abuse@cogentco.com

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

全日本空輸 (ANA) を詐称するフィッシング詐欺

日付:
タグ:

Received: from eagw.com ([47.156.218.39])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

未加算マイルのお知らせ

お客様のご利用履歴に未加算マイルが確認されました。

申請期限: 2025年6月21日 23:59

※必ず公式サイト(ana.co.jp)からログインしてください

マイルを確認 (https://0123.qxew3h7.sbs/1233)

このメールは送信専用です。返信不可。

ANA Mileage Club
  • フィッシングサイト: *.qxew3h7.sbs
  • フィッシングサイト: zekdwjc.cyou
  • 送信元: Frontier Communications

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

2通目。

Received: from urhb.com (wsip-24-120-39-67.lv.lv.cox.net. [24.120.39.67])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

未加算マイルのお知らせ

お客様のご利用履歴に未加算マイルが確認されました。

申請期限: 2025年6月21日 23:59

※必ず公式サイト(ana.co.jp)からログインしてください

マイルを確認 (https://0123.z9f7dit.sbs/1234)

このメールは送信専用です。返信不可。

ANA Mileage Club
  • フィッシングサイト: *.z9f7dit.sbs
  • フィッシングサイト: 2icrfl9.sbs
  • 送信元: Cox Communications

全日本空輸 (ANA) を詐称するフィッシング詐欺

日付:
タグ:

Received: from pfzv.com (wsip-174-67-106-25.ri.ri.cox.net. [174.67.106.25])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

未加算マイルのお知らせ

お客様のご利用履歴に未加算マイルが確認されました。

申請期限: 2025年6月20日 23:59

※必ず公式サイト(ana.co.jp)からログインしてください

マイルを確認 (https://0123.q8q6o8l.sbs/1234)

このメールは送信専用です。返信不可。

ANA Mileage Club
  • フィッシングサイト: *.q8q6o8l.sbs
  • フィッシングサイト: ytdwjqj.cyou
  • 送信元: Cox Communications

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

東京電力 (TEPCO) を詐称するフィッシング詐欺

日付:
タグ:

Received: from hHo.com ([75.151.21.102])
From: "TEPCOカスタマーセンター"
Subject: 【重要】ご契約情報の確認をお願いいたします(TEPCO)

【重要】ご契約情報の再確認のお願い

平素より東京電力をご利用いただき、誠にありがとうございます。

最近、弊社システムにてお客様のご契約情報に一部不整合が確認されました。
セキュリティ強化および継続的なサービス提供のため、下記リンクよりご契約内容の確認をお願いいたします。

ご契約情報を確認する (https://0123.y6chd98.sbs/1234)

※この確認は必須です。
※未対応の場合、サービスの一部に制限がかかる可能性がございますのでご注意ください。
※本メールは自動送信です。返信いただいても対応いたしかねます。

東京電力エナジーパートナー株式会社
カスタマーサポートセンター
https://www.tepco.co.jp
Tokyo Electric Power Company Holdings, Inc. 
  • フィッシングサイト: *.y6chd98.sbs
  • フィッシングサイト: ynvrkuu.cyou
  • 送信元: Comcast

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

2通目。

Received: from GMhu.com (syn-076-039-157-128.res.spectrum.com. [76.39.157.128])
From: "TEPCOカスタマーセンター"
Subject: 【重要】ご契約情報の確認をお願いいたします(TEPCO)

【重要】ご契約情報の再確認のお願い

平素より東京電力をご利用いただき、誠にありがとうございます。

最近、弊社システムにてお客様のご契約情報に一部不整合が確認されました。
セキュリティ強化および継続的なサービス提供のため、下記リンクよりご契約内容の確認をお願いいたします。

ご契約情報を確認する (https://0123.g6umfem.sbs/1234)

※この確認は必須です。
※未対応の場合、サービスの一部に制限がかかる可能性がございますのでご注意ください。
※本メールは自動送信です。返信いただいても対応いたしかねます。

東京電力エナジーパートナー株式会社
カスタマーサポートセンター
https://www.tepco.co.jp
Tokyo Electric Power Company Holdings, Inc. 
  • フィッシングサイト: *.g6umfem.sbs
  • フィッシングサイト: ynvrkuu.cyou
  • 送信元: Charter Communications

3通目。

Received: from MwhZ.com ([47.143.56.125])
From: "TEPCOカスタマーセンター"
Subject: 【重要】ご契約情報の確認をお願いいたします(TEPCO)

【重要】ご契約情報の再確認のお願い

平素より東京電力をご利用いただき、誠にありがとうございます。

最近、弊社システムにてお客様のご契約情報に一部不整合が確認されました。
セキュリティ強化および継続的なサービス提供のため、下記リンクよりご契約内容の確認をお願いいたします。

ご契約情報を確認する (https://0123.04c3htd.sbs/1234)

※この確認は必須です。
※未対応の場合、サービスの一部に制限がかかる可能性がございますのでご注意ください。
※本メールは自動送信です。返信いただいても対応いたしかねます。

東京電力エナジーパートナー株式会社
カスタマーサポートセンター
https://www.tepco.co.jp
Tokyo Electric Power Company Holdings, Inc. 
  • フィッシングサイト: *.04c3htd.sbs
  • フィッシングサイト: ynvrkuu.cyou
  • 送信元: Frontier Communications

野村證券を詐称するフィッシング詐欺

日付:
タグ:

Received: from pvg23.com (v160-251-121-164.myvps.jp. [160.251.121.164])
From: "野村證券" <information@pvg23.com>
Subject: 25年6月19日基準 【取引残高報告書】

musashi様

平素は野村證券をご愛顧いただき、誠にありがとうございます。【取引残高報告書】をWeb交付しました。

オンラインサービスにログイン後、「資産状況/履歴」→「取引報告書等Web交付」画面よりご確認ください。
(書面の閲覧には取引パスワードが必要です。)

<ログイン>
https://hometrade-nomura.198ap6.top/?rakutns=lBuda9c110OBt6UyHylA

_________________________

・本メールは、野村證券オンラインサービスにメールアドレスを
ご登録いただいているお客様に送信しております。
送信を中止することはできませんので、
あらかじめご了承ください。

・メールアドレスの変更をご希望のお客様は、
ログインのうえ、「口座情報/手続き>メールアドレス登録/変更」より
お手続きください。

・本メールの送信アドレスは発信専用です。
返信メールでのお問い合わせ等は承りかねますので、
あらかじめご了承願います。
―――――――――――――――――――――――――――――――――――
野村證券株式会社 金融商品取引業者 関東財務局長(金商) 第142号
加入協会/日本証券業協会、一般社団法人日本投資顧問業協会、
一般社団法人金融先物取引業協会、一般社団法人第二種金融商品取引業協会
―――――――――――――――――――――――――――――――――――
COPYRIGHT(C) NOMURA SECURITIES CO., LTD. ALL RIGHTS RESERVED.
  • フィッシングサイト: hometrade-nomura.198ap6.top
  • 送信元: GMO

pvg23.com はフィッシング詐欺メイル送信用ドメインと見て差し支えないように思われる。

pvg23.com.              600     IN      TXT     "v=spf1 mx -all"
pvg23.com.              600     IN      MX      10 mail.pvg23.com.
mail.pvg23.com.         600     IN      A       160.251.121.164

えきねっとを詐称するフィッシング詐欺

日付:
タグ:

Received: from ucul.com (pool-74-103-253-239.prvdri.fios.verizon.net. [74.103.253.239])
From: "えきねっと"
Subject: 【えきねっと】会員情報の確認をお願いします

【重要】会員情報確認のご案内

拝啓 時下ますますご清祥のこととお慶び申し上げます。

平素より「えきねっと」をご利用いただきまして、誠にありがとうございます。

セキュリティチェックの結果、お客様のアカウントに不審なアクセスが確認されました。
つきましては、アカウント保護のため、下記の認証手続きをお願い申し上げます。

※重要※
本メールはシステムからの自動配信メールとなります
不審なリンクや添付ファイルにはアクセスしないようご注意ください
本手続きは72時間以内の対応をお願いいたします
お心当たりのない場合は、直ちに下記カスタマーセンターまでご連絡ください

▼認証手続きは下記ボタンよりお進みください▼

アカウント認証ページへ (https://0123.zzkxdbh.cyou/1234)

〒151-0053 東京都渋谷区代々木2-2-2
JR東日本グループ 株式会社JR東日本ネットステーション
えきねっとカスタマーセンター
電話:050-2016-1600(9:00~19:00/年中無休)
メール:support@eki-net.com
JR-EAST NET STATION Co., Ltd.
※本メールは送信専用アドレスからの配信となります
※本メールに心当たりのない場合はお手数ですが破棄してください
  • フィッシングサイト: *.zzkxdbh.cyou
  • フィッシングサイト: ytxsjlh.cyou
  • 送信元: Verizon

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

全日本空輸 (ANA) を詐称するフィッシング詐欺

日付:
タグ:

Received: from hmwy.com (12.sub-75-210-159.myvzw.com. [75.210.159.12])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

未加算マイルのお知らせ

お客様のご利用履歴に未加算マイルが確認されました。
申請期限: 2025年6月20日 23:59

※必ず公式サイト(ana.co.jp)からログインしてください

マイルを確認 (https://0123.hc1cfmb.sbs/1234)

このメールは送信専用です。返信不可。
ANA Mileage Club
  • フィッシングサイト: *.hc1cfmb.sbs
  • フィッシングサイト: zekdwjc.cyou
  • 送信元: Verizon

ここ数日の定番リスト:

  • お名前.com (GMO)、Alibaba で登録されたドメイン名を使用
  • Cloudflare による実 IP アドレス隠蔽
  • メイル記載 URL から HTTP ステータスコード 301 によるリダイレクト
  • メイルには数字サブドメインを記載 (FQDN 単位ブロック回避を意図? 宛先追跡の可能性も)
  • Envelope-From は3~5文字 .com ドメイン名
  • Date ヘッダーのタイムゾーンが +0800 (中国。日本は +0900)
  • クレジットカード情報の入力を求める

2通目。

Received: from xjvz.com (syn-134-016-027-193.res.spectrum.com. [134.16.27.193])
From: "ANAマイレージクラブ事務局"
Subject: 重要なお知らせ: 未加算マイルについて

未加算マイルのお知らせ

お客様のご利用履歴に未加算マイルが確認されました。

申請期限: 2025年6月20日 23:59

※必ず公式サイト(ana.co.jp)からログインしてください

マイルを確認

このメールは送信専用です。返信不可。

ANA Mileage Club