【閲覧注意】恐怖の短文メール。たった5文字の「HELLO」が告げる、大規模フィッシング詐欺のカウントダウン
【実録】閲覧注意!「HELLO」と囁く死神の挨拶。匿名インフラを悪用した組織的犯行の全貌を公開~Google Cloudを隠れ蓑にする最新スパムの「生存確認」を暴く~ 監修:Heartland-Lab(ハートランド・ラボ) |
■ 最近のスパム動向:静かなる前兆
今回ご紹介するのは「謎の挨拶(HELLO)」を騙るメールですが、その前に最近のスパム動向を解説します。 直近1か月、当ラボの調査では「三井住友信託銀行」や「セゾンカード」を装ったフィッシング詐欺が多発していましたが、現在はその「手口」が二極化しています。一つは即座に個人情報を盗む派手な詐欺。そしてもう一つが、今回のような「生存確認型」です。一見、無害な挨拶に見えるメールをバラ撒き、エラーで返ってこないアドレス=「攻撃可能なターゲット」を選別するフェーズに入っています。 |
| ◇ 何を装ったメールか? 正体不明の送信者による「極短の挨拶メール」 ◇ どこで見分けるか? ◇ どう対処すべきか? |
■ 解析対象メールの諸元
| 件名の見出し: [spam] HELLO ※サーバー側で有害判定されたため[spam]スタンプが付与されています。 件名: HELLO 送信者: “張登宇” <Admin@ag-164.com> 受信日: 2026-04-24 受信時刻: 14:51 |
■ 詐欺メールの本文再現(実録)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
| HELLO
2026-04-24 13:51:02 |
▼ 犯人の目的:静かなる「生存確認」
「HELLO」としか書かれていないこのメール。リンクもないのになぜ送るのか?
犯人の目的は、あなたのメールアドレスが有効かどうかを確かめることにあります。このメールがエラーで戻ってこなければ、犯人は「このアドレスは生きている」と確信し、リストの重要度を上げます。その後、本命のフィッシング詐欺が送りつけられる仕組みです。
▼ 専門的な視点:デザインの違和感
送信者名に中国語圏の氏名が使われ、本文には意味不明なタイムスタンプ。日本国内の正規サービスが、宛名もなくこのようなメールを送ることは100%あり得ません。
■ 驚愕のヘッダー解析:攻撃の「発信基地」
| Received 情報 from ag-164.com (230.200.97.34.bc.googleusercontent.com [34.97.200.230]) これは送信に利用した情報であり、カッコ内のIPアドレス[34.97.200.230]は信頼できる送信者情報です。 ホスト名に bc.googleusercontent.com が含まれています。Google Cloudを利用するのは、犯人が自身の足跡を消すためにGoogleの巨大なクラウドインフラを「隠れ蓑」として悪用している決定的な証拠です。 犯人は自分のパソコンから直接メールを送っているのではなく、クラウド上の仮想サーバーを使い捨ての「発信基地」として利用しています。この「匿名性の高いインフラの私物化」こそが、現代の組織的なフィッシング詐欺の典型的な手口です。 |
| 【判定結果】送信者メールアドレス偽装発覚! |
送信者ドメイン「ag-164.com」と、Receivedヘッダーに記録されたドメインは一見一致していますが、前述の通り隠れ蓑としてGoogleのインフラが介在しており、正規のルートを経由していません。
■ 犯行拠点の特定:サイト回線関連情報
| 送信元IPアドレス | 34.97.200.230(送信者が利用したIPアドレス) |
| ホスト名 | 230.200.97.34.bc.googleusercontent.com(送信者が利用したホスト) |
| 国(拠点) | 日本 大阪市 |
| ホスティング会社 | Google Cloud |
| ドメイン登録日 | 2026-04-20 |
ドメイン取得からわずか4日後にこのメールは送られています。まさに「スパム送信のためだけに用意されたドメイン」であることが証明されました。海外のインフラを巧みに操る犯人の姿が見えてきます。
■ 専門解析レポートの詳細
本件のより詳細なネットワーク解析データ、およびリアルタイムの脅威情報は、以下の専門解析レポートよりご確認いただけます。
⇒ 脅威解析レポート:IPアドレス「34.97.200.230」の更なる詳細(ip-sc.net)
まとめ:不気味な挨拶に隠された牙「ただの挨拶だから」と油断してはいけません。リンクがなくても、画像が表示されたり、返信をしたりするだけで、あなたの情報は裏社会の「カモリスト」へと刻まれます。 |
