【解析】佐川急便を騙る「ご不在連絡票」詐欺メールの送信元IPと偽サイトを徹底調査

【調査報告】最新の詐欺メール解析レポート

本レポートは、特定された不審な通信および偽装ドメインの挙動を技術的視点から解析した専門データです。

 

最近のスパム動向


今回ご紹介するのは「佐川急便」を騙るメールですが、その前に最近のスパムの動向について解説します。現在、物流インフラを装ったフィッシング詐欺は、単なる情報の窃取だけでなく、アクセス元の端末情報を判別して挙動を変えるなど、より巧妙化しています。特に2026年に入り、配送予定日を当日に設定して受信者の焦りを誘う手口が常態化しており、注意が必要です。

 

不審メールの基本解析データ

件名 [spam] ご不在連絡票に記載されている!Web再配達受付サービス!
見出し[spam]の理由 受信サーバー側のスパムフィルタが、送信ドメインの信頼性の低さや、過去のブラックリスト照合により「危険」と判定したため付与されています。
送信者 佐川急便株式会社 <member-bcwlpt@saouuq.cn>
受信日時 2026-03-04 1:53


※送信者のメールアドレスが「aaa@bbb.co.jp」のような形式で、自身のドメインを騙っている場合は、受信者のアドレスを盗用した「なりすまし」の可能性が極めて高いです。

 

不審メール本文の再現

できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。


佐川急便からの重要なお知らせ
お客様各位
平素より佐川急便をご利用いただき、誠にありがとうございます。
お荷物配達未完了のご連絡
お客様宛てのお荷物をお届けにあがりましたが、ご不在のため配達を完了することができませんでした。
荷物詳細:
・お問い合わせ番号:5884-2536-2204
・配達予定日: 2026/3/4
・配達時間帯: 10:00 – 14:00
・荷物の種類: 宅急便
再配達のご案内
お手数ですが、以下のリンクから再配達のお手続きをお願いいたします。 ご都合の良い日時と配達場所をご指定いただけます。

▼ 再配達のお申し込みはこちら

※ご注意事項:
再配達の受付は24時間可能です。
再配達は翌日以降となります。
重要: 2日以内に再配達のご連絡がない場合、お荷物は発送元へ返送されます。

※置き配サービスのご案内
ご不在時でも安心してお荷物をお受け取りいただける「置き配」サービスもご利用いただけます。再配達お申し込み時に「置き配」をご選択ください。
━━━━━━━━━━━━━
佐川急便株式会社
〒601-8104 京都市南区上鳥羽角田町68

 

専門的なメール解析と犯人の目的

■ 犯人の目的:

このメールの主目的は、再配達の手続きを装って偽のウェブサイトへ誘導し、氏名・住所・電話番号などの「個人情報」および、決済を口実とした「クレジットカード情報」を奪取することです。

■ 技術的違和感:

本文を確認すると、本文のフォントが標準的なMSゴシック等ではなく、一部の中華圏フォントや不自然なウェイト(太さ)が混じっています。これは攻撃者が海外のシステムで作成した証左です。また、公式サイトでは「.cn(中国ドメイン)」からメールを送ることは絶対にありません。

⇒ 佐川急便公式サイトによる注意喚起はこちら

 

Received(送信者情報)の技術解析

Rawデータ from unknown (HELO saouuq.cn) (150.5.129.229)
送信元IPアドレス 150.5.129.229
ホスティング会社 Google Cloud (bc.googleusercontent.com 経由)
設置国 日本 (JP) ※クラウド利用による偽装の可能性


カッコ内のIPアドレスは、送信に使用された信頼できるサーバー情報です。送信元ドメイン「saouuq.cn」と実際の配送システムのドメインを比較すると、完全に一致しておらず、偽装された送信インフラであることが明確です。

⇒ ip-sc.netでこのIP(150.5.129.229)の回線詳細情報を確認する

 

誘導先(フィッシングサイト)解析

誘導URL https://brevproof.mfb52q.cn/hyrlha/ilogin/show/ (一部伏字なし)
IPアドレス 104.21.31.218
ホスト名 Cloudflare, Inc.
設置国 アメリカ (US) / グローバルCDN
ドメイン登録日 2026-03-02 (取得からわずか2日)


■ 取得日に関する考察:
ドメイン登録が「2026-03-02」と極めて最近です。これは、セキュリティソフトのブラックリストに登録される前に使い捨てることを目的とした、典型的な攻撃用使い捨てドメインであることを示しています。

 

リンク先サイトの現状と画像


現在、このリンク先はウイルスバスターやGoogle(Safe Browsing)によって「危険なサイト」としてブロックされています。アクセスした場合、以下のようなエラー画面(タイムアウト)が表示される状態です。

【詐欺サイト(エラー表示中)のキャプチャ】

■ 危険と判断できるポイント:

1. 公式サイトと無関係な「.cn」ドメインを使用している点
2. SSL証明書の信頼性が不明瞭な点
3. Cloudflareを盾にして、真のサーバー所在地を隠蔽しようとしている点

 

解析まとめと対処法


今回の事例は、過去の事例と比較しても「置き配サービス」の文言を追加するなど、最新の配送トレンドを取り入れて信憑性を高めようとする狡猾な作りになっています。しかし、ドメイン取得日や送信元IPの不自然さは隠せません。


■ 対処法:
・宛名が「お客様各位」と曖昧な場合は詐欺を疑ってください。
・メール内のリンクは決してクリックせず、公式サイトのブックマークからアクセスしてください。

佐川急便 公式サイト(正規)

詐欺メール,佐川急便サイバー攻撃調査,スパム解析,セキュリティレポート,なりすましメール,ネット犯罪対策,フィッシング詐欺,不在通知詐欺,佐川急便詐欺メール,個人情報流出,偽サイト注意,再配達詐欺,情報セキュリティ,迷惑メール,送信元IPアドレス

Posted by heart