[解析] DHLを騙る詐欺メール「重要なお知らせ:配達の試みが不成功である場合」の調査報告
【調査報告】最新の詐欺メール解析レポート メールの解析結果:独自インフラ調査による危険性の立証 | 最近のスパム動向
今回ご紹介するのは「DHL」を騙るメールですが、その前に最近のスパムの動向を整理します。現在は、配送状況の確認や関税の支払いを装い、正規ドメインに似せた偽装ドメイン(.cnや.topなど)を短期間だけ取得して攻撃を仕掛ける「使い捨て型フィッシング」が主流となっています。
| 前書き
本レポートでは、受信したメールのヘッダー情報および誘導先ドメインの徹底的な技術解析を行います。単なる注意喚起にとどまらず、攻撃者が利用したネットワークインフラを特定し、その根拠を提示することで、同様の被害を未然に防ぐことを目的としています。
| | 件名 | [spam] 重要なお知らせ:配達の試みが不成功である場合、出荷は送り主に返送されます。 | | 件名の見出し | 冒頭に [spam] のタグが付与されている場合、サーバーのフィルタリング機能が送信元の信頼性(SPF/DKIM/DMARC等)の欠如を検知したことを示しています。件名にこれがある場合は、開封前に警戒が必要です。 | | 送信者 | DHL EXPRESS <mail-tlwdyd@pizqqk.cn> | | 受信日時 | 2026-02-12 2:09 | メール本文(原文再現)
On Demand Delivery 重要なお知らせ:配達の試みが不成功である場合、出荷は送り主に返送されます。 お客様へ 保留中の出荷についてお知らせいたします。
この貨物には通関手続きが必要です、そして、それに伴う料金が発生する。 298.62円の税金は、当社のウェブサイトを訪問し、提供された手順に従ってオンラインでお支払いいただけます。 hXXps://mydhl.express.dhl/jp/ja/home.html?cid=xbu_1.0_portal_login_exp#/o71g9vqyyTab よろしくお願い申し上げます。
DHL EXPRESS チーム DHL Express – Excellence. Simply delivered.
DHL EXPRESS ON DEMAND DELIVERY
WhatsAppで通知しています [画像] | | ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 専門的解析レポート
■ メールの感想と推奨される対応
今回のメールは「少額の関税支払い(298.62円)」という、支払っても損害が少ないと思わせる心理的トラップが特徴です。しかし、真の目的はクレジットカード情報の窃取です。推奨される対応は、メールを即座に削除し、決してリンクをクリックしないことです。 ■ メールのデザイン
DHLのブランドカラーである「赤」と「黄」を巧妙に配置し、一見すると公式通知のように見えますが、テキストの日本語が「発生する。」といった不自然な敬語の欠落が見られ、機械翻訳特有の素っ気ない雰囲気になっています。 ■ 危険なポイントと注意点
最大の判別ポイントは「送信者アドレス」です。本物は `dhl.com` や `dhl.co.jp` を使用しますが、今回は `pizqqk.cn`(中国ドメイン)です。公式とアドレスが1文字でも違う、あるいは全く無関係なドメインである場合は、その時点で詐欺と断定して間違いありません。
| Received(送信者情報)解析 | 送信元データ | from unknown (HELO pizqqk.cn) (101.47.154.230) | | ステータス | これは送信に利用した情報であり、カッコ内のIPアドレスは解析の出発点となる信頼できる送信者情報です。 | | 送信ドメイン | pizqqk.cn (DHL公式ドメインと比較し、明らかに偽装されています) | | 送信IPアドレス | 101.47.154.230 (送信者が直接利用したIPアドレス) | | 回線情報 | Alibaba Cloud (中国) / ホスト名:101.47.154.230 | | 登録日コメント | ドメイン `pizqqk.cn` は取得直後であり、攻撃インフラとして用意された可能性が極めて高いです。 | | 根拠データ | ip-sc.net で 101.47.154.230 の詳細な回線解析情報を確認 | フィッシング・リンク解析 | リンク箇所 | 本文内の「hXXps://mydhl.express.dhl/」と表記された箇所ですが、実際の飛び先は全く異なります。 | | 実際のURL | hXXps://decideosity.ykdyrkye[.]cn/portal_login_exp/getQuoteTab/ (※一部伏せ字。直リンク防止済み) | | セキュリティ判定 | ウイルスバスターで「フィッシングサイト」としてブロックを確認。 | | 稼働状況 | 現在は「We apologize, but your request has timed out.」と表示され、稼働が停止しているか、アクセス制限がかかっています。 | サイト回線関連情報 | ドメイン | decideosity.ykdyrkye.cn | | IPアドレス | 104.21.5.215 | | ホスティング/国 | Cloudflare / アメリカ合衆国 | | ドメイン登録日 | 2026年2月取得 | | 判定ポイント | ドメイン登録日が攻撃時期とほぼ一致しており、かつ公式とは無関係な「ykdyrkye.cn」というランダムな文字列ドメインであることから、100%危険なサイトと断定できます。 | | 根拠データ | ip-sc.net でこのIPアドレスを解析 | 詐欺サイトの画像  現在は「We apologize, but your request has timed out.」と表示され、稼働が停止しているか、アクセス制限がかかっています。 | まとめ
過去のフィッシング事例と比較しても、配送業者を装う手法は普遍的ですが、今回の手法は「少額決済」を狙った非常に巧妙なものです。不審なメールは本文を見る前に送信元ドメインを確認する習慣をつけましょう。 改めて、DHL公式サイトの注意喚起も確認してください:
DHL公式:フィッシング詐欺への注意喚起
| |