【解析】[spam] 返金処理に関するご連絡 – Appleを装う詐欺メールのIP・ドメイン調査結果
【調査報告】最新の詐欺メール解析レポート
解析対象:Appleを装った偽の返金通知メール | 最近のスパム動向
今回ご紹介するのは「Apple」を騙るメールですが、その前に最近のスパムの動向を解説します。
2026年現在、サブスクリプションサービスの普及に伴い「システム障害による返金」や「支払い情報の不備」を口実にしたフィッシング詐欺が常態化しています。特に年度末や特定の決済日を狙うのではなく、本事例のように「過去数ヶ月分の返金」という魅力的なオファーでユーザーの判断力を奪う手口が巧妙化しており、専門的な解析が不可欠です。
| メール受信情報 | | 件名 | [spam] 返金処理に関するご連絡 | | 件名の見出し | 件名冒頭に「[spam]」というタグが付与されています。これは受信サーバーのアンチスパムエンジンが、送信ドメイン認証(SPF/DKIM)の失敗や内容の有害性を検知し、自動的に危険性を警告している証拠です。 | | 送信者 | “Apple” <noreply@email.apple.com> | | 受信日時 | 2026-03-20 20:54 | | 送信者情報 | 送信者名はAppleの正規ドメインを装っていますが、実際の配送経路(Received)を確認すると、全く無関係のサーバーを経由しています。 | メール本文の解析 ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。  Apple 返金処理に関するご連絡
2026年3月20日 ・ お客様のApple ID宛て
平素よりAppleをご利用いただき、誠にありがとうございます。 お客様のアカウントで、一部のサブスクリプションサービスにおいてシステム障害が発生していた期間がございました。 該当期間(2024年10月~2025年3月)のサービス料金としてお支払いいただいた7,680円(税込)を返金させていただく手続きを試みましたが、現在登録されているお支払い方法に問題があるため、返金処理を完了できませんでした。 対象サブスクリプションサービス
対象期間2024年10月~2025年3月(6か月分)
返金額 ¥7,680 税込
状況:返金先のお支払い方法に問題があります ⚠️ ご対応について
返金を完了するには、お支払い方法の確認が必要です。現在の情報が最新でないか、有効期限が切れている可能性があります。
返金先を確認する お支払い方法のご確認・更新が完了次第、返金処理を再試行いたします。
返金が完了しましたら、ご登録のメールアドレス宛に返金完了のお知らせをお送りします。 ご不明な点は Appleサポート をご覧ください。
|
Apple Japan / 〒106-6140 東京都港区六本木6-10-1 六本木ヒルズ森タワー このメールは、返金処理に必要な支払い方法に不備があるお客様にお送りしています。
アカウント設定では、すべてのサブスクリプションとお支払い情報を確認・管理できます。 Copyright © 2026 Apple Inc. All rights reserved.
| | 技術ドキュメント:解析詳細 犯人の目的
この犯人の目的は、**「返金」という偽の利益を餌に、フィッシングサイトでApple ID(パスワード)とクレジットカード情報を盗み出すこと**です。特に「システム障害」という公式側の不備を装うことで、ユーザーの警戒心を解く心理的攻撃を用いています。
メールのデザインとテンプレート
本文の背景が白で末尾数行が水色の背景という構成は、近年Appleを騙る詐欺メールで最も多く使われているテンプレートです。また、画像内に巨大なAppleロゴを配置していますが、これは視覚的なインパクトで正規の連絡であると誤認させるためです。
偽物を見抜く重要ポイント
1. 署名の確認: 本文末尾に記載されている住所「東京都港区六本木6-10-1 六本木ヒルズ森タワー」は、実際のApple Japanの実在住所を悪用しています。しかし、正規のAppleからのメールには電話番号が含まれることが多く、本メールには連絡先電話番号が一切記載されていません。これは返信や問い合わせを防ぐためです。
2. 送信者偽装: 送信者アドレスは正規に見えますが、後述のIP解析により、AppleのインフラではなくGoogle Cloud経由で送られていることがわかります。
⇒ Apple公式:フィッシングメールを識別する方法を確認する
| Received (送信元解析データ) | | 解析ステータス | これは送信元から直接取得された「生の情報」であり、カッコ内のIPアドレスは信頼できる送信者情報であることを明記します。 | | Received | from mail16.zh-x-haixing.com (219.112.180.34.bc.googleusercontent.com [34.180.112.219]) | | 送信ドメイン | zh-x-haixing.com (正規Appleドメインと一致せず、偽装確定) | | 送信IPアドレス | 34.180.112.219 | | ホスト名 | 219.112.180.34.bc.googleusercontent.com (Google Cloud利用) | | 設置国 | アメリカ合衆国 (United States) | | ドメイン登録 | zh-x-haixing.com WHOIS情報 | | メール回線情報 | ⇒ 配送経路詳細解析:34.180.112.219 (ip-sc.net) | リンク先(詐欺サイト)の状態 | | URL | hXXps://www.acousticmode.cfd/vcfdnbrlwocvM… (伏せ字を含む) | | 稼働状況 | 閉鎖済み(非稼働) | | 現在の表示 | 「このサイトにアクセスできません」というDNSエラー(NXDOMAIN)が表示されます。これは、通報によってドメインが凍結されたか、犯人が証拠隠滅のために短期間で放棄したことを示しています。 [詐欺サイト画像:閉鎖済みエラー画面] | | IPアドレス | 104.21.6.147 / 172.67.147.165 | | ホスティング | Cloudflare, Inc. (詐欺サイトが身元を隠すために多用するCDNサービスです) | | 国名 | アメリカ合衆国 (United States) | | ドメイン登録日 | 取得日が非常に最近です。これは攻撃の直前にドメインを取得し、使い捨てる「バーン・ドメイン」手法の典型です。 | | サイト回線情報 | ⇒ 解析ページ:104.21.6.147 (ip-sc.net) | まとめと最終警告
今回の事例は、実在する住所を使い、デザインをApple公式に極限まで近づけた悪質なフィッシング詐欺です。過去事例と比較しても、返金という魅力的なワードを使いつつ、数日以内にサイトを閉鎖して逃亡する「スピード感」が特徴です。
【対処方法】
1. このようなメールが届いても、絶対にリンクを開かない。
2. 万が一開いてしまった場合でも、絶対に情報を入力しない。
3. 返金の有無が気になる場合は、必ずApple公式サイト(apple.com)から直接サインインして確認してください。
再確認用:公式サイトリンク
⇒ フィッシングメールや偽のサポート電話を避ける方法(Apple公式)
|
Security Report Generated by Specialized Data Analysis Team.
Raw Data Sources: ip-sc.net, Whois.Domaintools
| |
