【調査】ご注文ありがとうございます – Apple AirPods Pro 3 解析

【調査報告】最新の詐欺メール解析レポート

メールの解析結果と対策： 楽天市場を騙る高度な環境判定型フィッシング詐欺

最近のスパム動向

今回ご紹介するのは「楽天市場」を騙るメールですが、その前に最近のスパムの動向を解説します。
2026年現在、スパムメールは単なる情報の窃取だけでなく、セキュリティソフトの自動検知を逃れるための「擬態」が極めて巧妙化しています。
特にApple製品（AirPods Pro 3等）のリリースや大型セール時期に合わせ、受信者の焦りを誘発する「覚えのない注文確認」を送付する手法が急増しています。

メール基本ヘッダー情報

メール本文の解析（再現）

※以下の内容は届いたメールのデザインを忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。リンクは全て物理的に無効化しています。

メールの目的及び解析結果

■ 犯人の目的

本メールの目的は、高額商品の購入確定を偽装してユーザーの不安を煽り、リンク先へ誘導して「楽天ログイン情報」および「クレジットカード決済情報」を窃取することです。

■ 専門的解説と異常点

ロゴやフォントを楽天市場の正規通知に極限まで寄せていますが、決定的な異常点は「送信元アドレス」です。
楽天公式ストアを名乗りつつ、アドレスが `mail7.bayanyeri.com` という全く無関係な海外ドメインになっています。
また、宛名が「お客様」という汎用的な呼びかけになっており、個別のユーザー名を特定できていない点も詐欺の特徴です。

Received（送信者情報）の解析

以下のデータは、このメールを実際に送信したインフラの実体です。

【送信元の信頼性検証（外部参照）】
カッコ内のIPアドレスは信頼できる送信者情報であることを明記し、以下で解析：
https://ip-sc.net/ja/r/34.85.58.182 (回線関連情報)

リンク先サイトの状態と「条件付きリダイレクト」の罠

リンクを押すとなぜだか楽天市場の公式サイトに接続されました。
なぜ、リンクを押しただけで本物の楽天市場に接続されたのか？

これは「環境判定型リダイレクト」と呼ばれる高度な検知回避手法です。犯人のサーバーはアクセスしてきたユーザーが以下の条件に当てはまる場合、**詐欺ページを表示せずに本物のサイトへ転送**します。

• セキュリティソフトの調査用ロボットであると判定された場合
• ウイルスバスターやGoogle Safebrowsingですでにブラックリスト化された後のアクセス
• 犯人が意図しない地域（IPアドレス）からのアクセスのケース

結論： 本物が開いたからといって「安全なメール」だったわけではありません。犯人が「今はこの相手を騙せない」と判断して逃げた跡なのです。

【サイト回線関連情報（解析リンク）】
https://ip-sc.net/ja/r/104.21.31.218

危険なポイントと対処法

* 送信元を比較： 本来の楽天メールは `order@mail.rakuten.co.jp` 等から届きます。今回のドメインは完全に偽物です。
* 宛名の確認： 「お客様、」という記載は不自然です。正規の注文確認には必ず登録者のフルネームが入ります。
* 公式サイトでの確認： 不安な場合はメールのリンクを踏まず、検索から公式サイトへ行き「購入履歴」を直接確認してください。

楽天公式サイトによる注意喚起：
【楽天市場】不審なメールへの注意喚起

まとめ

今回の事例は、最新デバイスの注文を装う季節性の高いスパムでした。過去事例と比較しても、デザインの完成度が高く、リンク先が状況に応じて本物に切り替わるなど、極めて悪質な「逃げ道」を確保した攻撃です。
見出しに「[spam]」がある場合は、サーバーが発した最後の警告です。絶対に無視せず、速やかに削除することをお勧めします。

解析協力：セキュリティレポート解析チーム