【脅威調査】info@gion-sakamoto.comからの不審なメールを解析：偽ログイン画面の危険性

最近のスパム動向

今回ご紹介するのは、メールサーバーの管理者を騙る詐欺メールですが、その前に最近のスパムの動向について触れておきます。現在、不特定多数に送りつける手法から、受信者のドメイン情報を悪用して「あなたのメールアドレス（admin等）が報告された」と誤認させる、より心理的な隙を突く手法へとシフトしています。

前書き

本レポートでは、実際に流通している詐欺メールの構造を解析し、その物理的な送信経路やリンク先の危険性を明らかにします。

件名：admin@*******.** _ あなたのメールは報告されました…

■ 受信詳細

■ メール本文の再現

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

メールのデザインと感想

メール全体の印象は、余計な装飾を削ぎ落とした「あっさりして素っ気ない感じ」に仕上がっています。これは事務的なシステム通知を装うための演出であり、末尾の数行だけ背景色を変える手法は、多くのフィッシング詐欺で使い回されているテンプレートです。

危険なポイント：送信元アドレスの不整合

送信者アドレス info@gion-sakamoto.com は、組織の管理ドメインとは全く異なります。正規の通知であれば、必ず自社または利用しているメールサービスのドメインから送られます。

Received（送信者情報）の解析

以下の情報は、メールヘッダーの Received 行から抽出した送信元の物理的な通信記録です。

カッコ内のIPアドレスは信頼できる送信者情報です。このIPはスペインの一般家庭向け動的回線（Orange Espana）から発信されており、組織のメールサーバーではないことが一目瞭然です。

▶ 【解析ページ】ip-sc.netで送信元回線データを詳細確認

リンク先（詐欺サイト）の回線関連情報

メール本文に直書きされているURLは伏せ字（hxxps）を含みますが、リンク先ドメイン dajimed[.]com の解析結果は以下の通りです。

【専門的見解】 ドメイン登録日が極めて最近である理由は、セキュリティソフトのブラックリストに登録される前に攻撃を完了させるための「使い捨て」運用だからです。これは典型的な詐欺サイトの構築パターンです。

▶ 【解析ページ】ip-sc.netでリンク先ドメイン情報を取得

詐欺サイトの稼働状況と視覚的エビデンス

リンク先は現在も稼働中であり、アクセスすると以下のようなウェブメールの偽ログイン画面が表示されます。Googleやウイルスバスターですでにブロック対象として判定されています。

【詐欺サイトのスクリーンショット画像】

まとめと推奨される対応

今回の検体は、過去の事例と比較しても非常にスタンダードな「管理者偽装」タイプです。しかし、メール本文に受信者のアドレスを正確に記載することで信憑性を高めようとする工夫が見られます。

【注意点と対処方法】
* 送信者アドレスが公式サイトの案内と一致するか必ず比較してください。
* 疑わしい場合は、メール内のリンクではなく、検索サイトやブックマークから公式サイトへアクセスしてください。

公式サイトによる注意喚起がある場合は、以下のリンク先も併せてご確認ください：
▶ 公式サイトの注意喚起ページを見る