ヤマト運輸を装う偽メール「荷物の配送状況を確認する」を技術検証|フィッシングサイトの構造を暴く

 

【調査報告】最新の詐欺メール解析レポート

本ドキュメントは、ヤマト運輸を騙るフィッシングメールおよび誘導先サイトのインフラ解析結果をまとめた技術資料です。

 

■ 最近のスパム動向と前書き

今回ご紹介するのは「ヤマト運輸」を騙るメールですが、その前に最近のスパム動向について解説します。2026年現在、物流インフラを装った詐欺は「住所不備」や「保管期限」を口実にする手法が主流です。特に、配送通知を装うことで、受信者が日常的に期待しているアクション(荷物の受取)に便乗し、警戒心を解く心理的攻撃が多用されています。これらは、最終的にクレジットカード情報や個人認証情報を奪取することを目的とした組織的なサイバー犯罪です。

 

■ メールの解析結果

件名: [spam] ヤマト運輸配達に関する重要なお知らせ
件名の見出し: 見出しに「[spam]」という文字列が含まれています。これは受信サーバーのフィルタリングエンジンが、送信ドメインの信頼性欠如や配信元の挙動から「迷惑メール」と判定した明らかな証拠です。
送信者: “support” <info@lqmutk.top>
受信日時: 2026-03-06 11:44

 

■ 送信者に関する解析

表示名の「support」に対し、送信アドレスは info@lqmutk.top となっています。ヤマト運輸の正規ドメイン(kuronekoyamato.co.jp)とは全く関連のない「.top」ドメインを使用しており、この時点で100%詐欺であると断定可能です。

 

■ 本文内容(検体画像の忠実な再現)

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

ヤマト運輸

住所不明のお知らせ

平素よりヤマト運輸をご利用いただき、誠にありがとうございます。

【住所不明による配達保留】

お荷物について住所不明によりお届けできませんでした。ご確認の上、再配達の手続きをお願いいたします。

お荷物情報:

送り状番号:1048-1128-6377

配達状況:住所不明により保留中

■ご対応手順

下記ボタンより公式サイトにアクセス
送り状番号を入力
正しい住所をご確認・修正の上、再配達の手続きをお願いいたします

荷物の配送状況を確認する(リンク先:hxxps://cozyhouseware[.]com/81jYVS/)

ヤマト運輸 カスタマーサービス

電話:0120-69-2618(日本国内フリーダイヤル)

受付時間:月曜日~土曜日 9:00~19:00(日曜・祝日除く)

※このメールは送信専用です。ご返信いただいてもご回答できませんのでご了承ください。

※お荷物は到着日より7日間、最寄りの営業所に保管されます。保管期間内にご連絡いただけない場合、お荷物は発送元に返送されることがあります。
お問い合わせ

配送サービス『ヤマト運輸』

「ヤマト運輸」運営事務局

運営:ヤマト運輸株式会社
〒108-8280
東京都港区高輪3-23-17

 

■ 解析レポート:犯人の目的とメールの特徴

1. 犯人の目的

このメールの目的は、受信者を偽の「再配達受付ページ」に誘導し、最終的にクレジットカード情報、暗証番号、および個人情報を盗み出すこと(フィッシング詐欺)です。

2. 専門的解析と不自然な点

署名欄に実在のヤマト運輸の住所や電話番号を記載することで、一見して事務的で正規の通知に見えるよう工夫されています。しかし、本文に受信者の具体的な氏名(宛名)が一切ない点が非常に不自然です。また、送り状番号「1048-1128-6377」は多くのスパムメールで使い回されているダミー番号であり、特定の荷物を指すものではありません。

 

■ 送信元回線関連情報(Received解析)

ヘッダー情報から抽出された、攻撃者が実際に利用した送信サーバーの生データです。カッコ内のIPアドレスは偽装が困難な信頼できる送信者情報です。

送信元ドメイン lqmutk.top(公式ドメイン kuronekoyamato.co.jp と比較して完全に偽物です)
送信利用IPアドレス 160.251.251.64
ホスト名/サーバー v160-251-251-64.jmo3.static.cnode.jp (ConoHaレンタルサーバー)
設置国 日本 (Japan)
ドメイン登録日 2026年3月初旬(非常に新しく、使い捨て目的で取得されています)

 

■ リンク先サイト(詐欺サイト)の動的解析

リンク箇所 「荷物の配送状況を確認する」というテキストリンク
誘導先URL https://cozyhouseware[.]com/81jYVS/(※安全のため一部伏字)
サイトの状態 稼働中。 公式サイトのヘッダー・フッターを完コピした「本物そっくりページ」です。
リンクドメイン cozyhouseware.com
リンク先IPアドレス 172.67.147.164
ホスティング/国 Cloudflare, Inc. / アメリカ合衆国 (USA)
ドメイン登録日 登録日: 2026-03-01付近
※取得から1週間以内。正規企業がこのような新しい無関係ドメインで配送サービスを運用することはあり得ません。
安全性判定 ウイルスバスター、Google Safe Browsingにより「詐欺サイト」としてブロック対象

 

■ 詐欺サイト(フィッシングページ)の証拠画像

画像のように、ヤマト運輸のロゴを盗用し、「配達失敗通知」として「続ける」ボタンをクリックさせる構造になっています。過去事例と比較しても、フッターのSNSアイコンまで模倣しており非常に巧妙です。

 

■ 危険なポイントと回避策

 

  • ドメインの不整合: 送信アドレスが「.top」や無関係な英単語の組み合わせでないか、必ず確認してください。
  • 緊急性の強調: 「住所不明」「保留中」など、確認を急がせる文言は詐欺の典型的なサインです。
  • 不自然なURL: 公式の kuronekoyamato.co.jp 以外のURLが含まれるリンクは絶対に開かないでください。

 


→ ヤマト運輸公式:不審なメール・電話への注意喚起(公式サイト)

 

■ まとめ

今回の検体は、ヤマト運輸のブランド力を悪用した組織的なフィッシング攻撃です。取得したばかりのドメインを使い捨て、日本のクラウドサーバーやCloudflareを隠れ蓑にするなど、技術的な防御を回避する工夫が見られます。
不審なメールを受け取った際は、メール内のリンクは無視し、必ず公式アプリや正規のブックマークからアクセスすることを徹底してください。

詐欺メール,ヤマト運輸IPアドレス調査,サイバー犯罪対策,セキュリティレポート,ネット詐欺,フィッシングサイト,フィッシング詐欺,ヤマト運輸なりすまし,不審メール注意,個人情報保護,詐欺メール,迷惑メール解析,配送状況確認スパム

Posted by heart