【調査報告】Utility auto-debit error notice 詐欺メールの技術解析と対策
【調査報告】最新の詐欺メール解析レポート
高度解析番号:ANALYSIS-ID-20260310-001 | ■ 最近のスパム動向:セクストーション(性的脅迫)の再燃
2026年現在、公的機関(市役所等)のドメインを送信元に偽装し、受信者の「過去の不適切な行動」を捏造して脅迫する「セクストーション」型スパムが再び増加しています。今回の検体は、横浜市役所のメールアドレス `kyo-soumu@city.yokohama.jp` を盗用しており、非常に悪質です。
| | メール基本情報 | | 件名 [SPAM] | Utility auto-debit error notice 7203888384 | | 送信者表示名 | “网络防御管理部sxrb79183449” (※中国語の管理部名称) | | 送信元アドレス | kyo-soumu@city.yokohama.jp (※正規ドメインの盗用) | | 受信日時 | 2026-03-10 15:05 | ■ メール本文の忠実な再現
注意:以下の内容は詐欺師による脅迫文面です。記載された要求には一切応じないでください。
今日という日が、素晴らしい達成感で満たされますように。
残念ながら、あなたに非常に悪いニュースがあります。
数-カ.月*前、私は貴方がイン~ターネット閲覧に使用しているデ.バ^イスへのア.ク^セス~権を確保しました。
それ以来、貴方のネット上での活動をすべて追跡しています。
jj-41963事の経緯はこうです:
少し前、私はハ.ッ*カ〜からメール.アカ.ウントのリストを購入しました。
貴方のアカ.ウント(******@******2e129b)にロ.グ^インすることは、私にとって非常に容易なことでした。 (中略) 決済*用アド.レス(ビットコ〜イ〜ン):
~~~~~~~~~~~~~~~~~~~~~~~~~~~~
~~==3JkneNQTfdMsjBNA63vscJY2cfTyZQmqUc==······
~~~~~~~~~~~~~~~~~~~~~~~~~~~~ この通知を開封してから 63.2時間以内に対応を完了させてください。
・この通知に返信しないでください(送信元は偽装されています)。
trms-09996243
・警察や当局に連絡を試みないでください。友人に話すのも無駄です。 2026/3/10 14:05:54 | ※本文中の記号(. ^ * ~)はスパムフィルタを回避するための難読化処理です。 | | ■ 解析結果と偽物判定の根拠 | 犯人の目的:
「性的脅迫(セクストーション)」によるビットコインの搾取。実在しないマルウェア感染を装い、被害者の羞恥心を突くことでパニック状態に追い込み、迅速な送金を促すのが目的です。公式サイトでの注意喚起:
横浜市は、市役所ドメインを装ったなりすましメールについて公式に警告しています。
横浜市:不審メール(なりすましメール)に関する注意喚起
偽者を見抜く決定的なポイント:
1. **送信者名の不一致**: 横浜市役所の部署が中国語(网络防御管理部)を名乗ることはあり得ません。
2. **難読化された日本語**: 本文中の「デ.バ^イス」「ア.ク^セス」といった異常な記号挿入は、正規の公的機関の文章では絶対に発生しません。
3. **署名の欠如**: 本メールには正規の連絡先や住所が一切記載されておらず、電話番号の確認すら不可能な状態です。これは実在の組織を装う際の極めてずさんな落ち度です。
| | | 1. コンテンツ・フィルタリングの回避(難読化)
多くのメールサーバーやセキュリティソフトは、本文中に「ビットコイン」「脅迫」「アクセス権」といった**特定のキーワード(NGワード)**が含まれていないかを自動でスキャンしています。
たとえば「デバイス」という単語を検知対象にしているフィルタに対し、攻撃者は 「デ.バ^イス」 と記述することで、システムに「別の未知の単語」と誤認させます。これにより、迷惑メールフォルダに振り分けられる確率を下げ、受信箱に直接届く可能性を高めているのです。
| | 2. 同一文面の検知を逃れる「分散化」
セキュリティ機関は、大量送信されるスパムメールの「指紋(ハッシュ値)」を記録しています。全く同じ文面のメールが数万通飛べば、即座に「スパム」として一括ブロックされます。
攻撃者は、送信する1通ごとに記号の挿入位置(例:`イン~ターネット` と `インタ^ーネット`)をランダムに変えることで、**すべてのメールを「唯一無二の異なるデータ」に見せかけ**、指紋照合によるブロックを無効化しようと試みています。
| | 3. 人間には読めてしまう「脳の補完」の悪用
機械にとっては「デ.バ^イス」は意味不明な文字列ですが、人間は前後の文脈から「デバイス」と正しく認識できてしまいます。攻撃者は**「機械には読めず、人間には読める」**という境界線を突くことで、メッセージの拡散性を維持しています。
| 【診断】 このような記号混じりの文章は、それ自体が「私は機械の目を盗んで届いた不正なメールです」という強力な証拠(インジケーター)となります。正規の組織が顧客に対し、読みやすさを著しく損なう記号をわざわざ挿入して連絡してくることは、技術的にも運用的にも100%あり得ません。
| | | ■ 送信元(Received)通信経路データ | | Received (送信元経路) | from lbthjyt (unknown [226.177.24.255]) | | 送信IPアドレス | 226.177.24.255 (※解析の根拠となる生データ) | | ホスト/ISP情報 | bc.googleusercontent.com (Google Cloud Platform利用) | | 物理サーバー設置国 | United States (US) | | ドメイン登録状況 | 登録日: 最近更新 (2026-03-01前後) / 攻撃用に短期間で取得・使い捨てされている可能性が極めて高い。 | | ■ 発信元回線関連情報(ip-sc.net 連携)
本レポートは、以下の動的解析プラットフォームのデータを根拠に構成されています。 | ■ セキュリティ・結論
本メールは100%詐欺です。横浜市役所がビットコインを要求すること、また管理部が「网络防御管理部」という中国語表記であることはあり得ません。IPアドレス解析の結果、米国のクラウドサーバーを悪用した機械的な送信が確認されました。一切の反応をせず、削除することを推奨します。
| |