「【注意】NHK受信料のお支払いについて」は詐欺メール!実例と見分け方を伝授
このメールは「NHK」を装ったフィッシング詐欺です。
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
いつもご覧くださりありがとうございます!
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
前書き
怪しく危険なメールって結構波があって、Amazonを騙るものが続いたと思えば次の週は三井住友カードが多くなったり、その次の週は楽天が多くなったりします。
このトレンドについてはまた機会を作って説明したいと思いますが、今回ご紹介するのは「NHK」に成り済ます不審なメールのご紹介となります。
以前にも1度同じ件名のメールをご紹介していますが、1年ほど前のブログエントリーになるので、情報のアップデートの意味で改めてご紹介しておこうと思います。
では、詳しく見ていくことにしましょう。
あっと、その前に!
これらのメールは開いただけなら被害に遭うことはありませんので先にお伝えしておきますね!
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] 【重要】NHK受信料のお支払いについてNo.439142526
送信者: “NHK受信料センター" <server@mobile-biyibsport.com>
【重要】NHK受信料のお支払いについて
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
日本放送協会 (NHK)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お客様のNHK受信料のお支払いが確認できておりません。
平素よりNHKの放送番組をご覧いただきありがとうございます。
放送法に基づき、受信料のお支払いをお願いいたします。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【未納受信料詳細】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
・未納期間:2025年12月分
・お支払い金額:1,265円(税込)
・支払い期限:2026年1月31日まで
・契約種別:地上契約(月額)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【お支払い方法】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
💳 オンラインでお支払い:
h**ps://pid.nhk.or.jp/jushinryo/payment
✓ クレジットカード
✓ 口座振替
✓ コンビニ払い
✓ 郵便局・銀行振込
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【よくあるご質問】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
Q: テレビを持っていない場合
A: 受信設備を設置していない場合は契約の必要はありません
Q: 支払いが難しい場合
A: 分割払いなどの相談が可能です
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
【お問い合わせ】
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
NHK受信料センター
フリーダイヤル:0120-151-515
受付時間:9:00-20:00(年末年始除く)
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
※放送法第64条に基づき、テレビジョン放送の受信設備を
設置された方はNHKと受信契約を結んでいただく必要があります。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
↑↑↑↑↑↑
本文ここまで
※本記事は注意喚起目的で掲載しています
注意してくださいよ!
このメールは NHKを装った詐欺メール(フィッシング) の可能性が非常に高いです。
いくつかのポイントから怪しい点を確認できます。
不審・危険なポイント
- 送信元アドレスが怪しい
メールの送信者は「server@mobile-biyibsport.com」となっています。
でもNHK公式のドメインは「nhk.or.jp」です。
公式からのメールであればこのような不自然なドメインからは送られません。
NHKがこのような個別の未納案内を、公式ではないドメインのメールアドレスから送ることは通常ありません。 - 急かす表現・不自然な文面
「支払い期限:2026年1月31日まで」と急かしたりするのは典型的なフィッシングメールの手口です。
推奨される対応
- メール内のリンクは絶対にクリックしない。
- NHKの公式サイト(https://www.nhk.or.jp/)または公式電話で契約状況を確認する。
- 不審なメールは削除、または迷惑メールとして報告する。
- クレジットカード情報や口座情報は絶対に入力しない。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダー情報を確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from mobile-biyibsport.com (mobile-biyibsport.com [34.153.213.59])
本来ならここには、送信者のメールアドレスと同じドメインが記載されるはずですがそれとは全く異なる「mobile-biyibsport.com」なんてドメインが記載されていますね。
もうこの時点で偽メール確定!
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
このReceivedフィールドの末尾にあるIPアドレスからそのロケーション地を「IP調査兵団」で導き出してみると、東京都杉並区付近です。
でもこのロケーションは参考にすぎません。
その理由を簡単に説明しておきます
この解析結果から回線関連情報に「Google LLC」とあった通り、Googleが提供するクラウドサーバーの東京リージョンを借りて送信しています。
そのため、IPアドレスの登録地が東京になります。
東京リージョンは、物理的に複数のデータセンターを抱えていて正確な住所は非公開です。
IPデータベースでは東京都内の代表点(例:杉並区・千代田区・港区など)に丸められるので、確かに東京のどこかからではありますが、東京都杉並区付近は実在の送信者の住所ではなく、単なる代表座標地点であると言えます。
送信元の正体は
- 利用形式が「hosting(ホスティング)」
解析結果「利用形式」が hosting となっています。
これは個人や一般企業が使う接続回線(OCNやSoftBankなど)ではなく、クラウド上のレンタルサーバーから送信されていることを意味します。
NHKが一般の顧客へメールを送る際、わざわざ外部のホスティングサービスから直接送ることは不自然です。
リンク先のドメインを確認
さて、本文にNHKの公式ドメインを使って直書きされた詐欺サイトへのリンクですが、当然偽装されていて、実際に接続されるサイトのURLは以下の通りです。
【h**ps://vdenfvf.top/jp】
(直リンク防止のため一部の文字を変更してあります)
ご覧の通りNHKのドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません!
このドメインを割当てているIPアドレスを「whois.domaintools.com」さんで取得してみます。
URLが危険と判断できるポイント
- ドメイン情報が怪しい
Created on 2025-09-07
Expires on 2026-09-07
これは作成年が 2025-09-07(まだ137日しか経っていない新しいドメイン)で有効期限が 2026-09-07です。
1年で更新されるので長期運営の信頼性はありません。
詐欺サイトはこのように短期間だけ運営されることが多いです。 - 2日前の「Updated(更新)」
Updated on 2026-01-21は、IPアドレスを更新した日です。
ちょうどこのメールを受け取る直前に、ドメインの設定が変更されていることになります。
これは、攻撃(メール送信)を開始する直前に、偽サイトを稼働させる準備を行った形跡と言えます。 - レジストラとネームサーバー
レジストラ: Gname.com Pte. Ltd.は、安価で匿名登録できるレジストラ
ネームサーバー: ALIDNS.COMは、中国の Alibaba のDNSで、「IP Address 172.65.185.109 – 45,033 other sites hosted on this server」から紐解くと、同じサーバーに 3,414,385 ドメインが存在しているので、明らかに個人や詐欺業者向けの大量共用DNSであると判断できます。
割当てているIPアドレスは「172.65.185.109」
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、カナダのトロント市庁舎付近であることが分かりました。
ここに記載されている通り、利用されているプロバイダーは「Cloudflare(クラウドフレア)」のようですが、これは Cloudflareというネットワークサービスの共有IPアドレスです。
Cloudflareは世界中に拠点があり、アクセスした人に一番近い拠点が表示されるだけで運営者・犯人の場所ではありません!
この調査結果から、犯人がどのように足を隠しているのかを考察すると。
このIPアドレスは、世界中の膨大な数のサイトが共有しているものです。
犯人の本当のサーバーの前に、Cloudflareという大きな壁を立てることで、攻撃者の本拠地を特定しにくくしています。
アクセス元・タイミングによっては、ロサンゼルスであったり、東京であったり、今回の様にトロントであったりと別の拠点IPが返ることがあります。
これは Cloudflare のエッジ拠点に過ぎませんからここに詐欺サイトが設置されているとは限りません。
「」のような超大規模サービスが、わざわざこのような安価な個人利用も多い共有設定でログインページを運用することは考えにくいです。
通常、大企業は自社専用、あるいは強固に管理されたネットワークインフラを使用します。
Cloudflareサービスには詐欺にとって更に以下の利点があります。
- 本当のサーバIPを隠せる
- 無料・即日で使える
- HTTPSが簡単
- 通報されても別ドメインへ即切替可能
この Cloudflare 自体は正規サービスですが、これらの利点を悪用されてしまっています。
リンクを辿ってみると、一旦はウイルスバスターにブロックされましたが、解除して進むとこのようなページが開きました。
非常に巧妙に作られていますが、これこそが情報を盗み取るための偽のログイン画面です。
サイトの危険性
- デザインのコピー
本物の「NHKプラス」や受信料窓口のログイン画面を丸ごとコピーして作られています。
見た目だけで本物と信じ込ませるのが彼らの手口です。 - 情報の窃取
ここで「ID(メールアドレス)」や「パスワード」を入力してログインボタンを押すと、その瞬間に犯人の手元のサーバーへ情報が送信されます。 - 連鎖的な被害
もしここで入力したパスワードを他のサービス(Amazon、楽天、銀行など)でも使い回している場合、それらのアカウントまで乗っ取られるリスクがあります。
絶対にログインしてはいけません!
ログインしてしまうとその情報は取得されてしまい、不正ログインを行われた上で詐欺被害に遭うことになります。
まとめ
- 送信元: Google Cloud(海外・ホスティング)経由の不審なアドレス。
- URL: 公式(nhk.or.jp)ではなく、格安の .top ドメイン。
- Whois: 作成から日が浅く、管理が中国系のインフラ。
もし情報を入力してしまった場合は、すぐに以下の対応をとってください。
- NHKの「本物の公式サイト」からパスワードを変更する。
- 同じパスワードを使っている他社サイトのパスワードもすべて変更する。
- クレジットカード情報を入力した場合は、すぐにカード会社へ連絡して停止・再発行を依頼する。
何の手続きもせず、画面を見ただけで閉じたのであれば実害はありませんのでご安心ください。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;