【必読】「99通のメールが遅延しています」という恐怖を煽る詐欺メールの正体

2026年5月19日

【閲覧注意】自社から「99通のメールが遅延」と迫る偽警告！Active! mailを偽装した最凶フィッシングを暴く

本調査レポートは、組織の通信安全性を脅かすフィッシングメールの検知、および防御用データとしての活用を目的に「Heartland-Lab」監修のもと公開しています。

【前書き】巧妙化する「自社システム通知」へのなりすまし

今回検知されたのは、企業のインフラシステムとして広く導入されているWebメール「Active! mail」のログイン認証情報を掠め取ろうとする極めて悪質な標的型フィッシングメールです。
メールを開いただけで即座に金銭的被害が出るわけではありませんが、本文中のリンクには受信者の環境に合わせた精巧な罠が仕掛けられています。もし「画像付きメール」や「開通通知付き」の仕組みが組み込まれていた場合、開封した時点で「有効なメールアドレス（生体通知）」として攻撃者リストに登録され、今後さらに大量の詐欺メールや執拗なサイバー攻撃の標的にされる危険性があります。

解析対象メール基本情報
件名	99通のメールが遅延しています。
送信者表示名	s*******i.jp-メール
送信元アドレス	sales@jsdi.or.jp
受信日時	2026年5月18日 12:07:32 (+0900)
緊急度評価	★★★★☆ (4 / 5)

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

メール本文（偽装表示の正確な再現）

※以下は受信した詐欺メールの内容を技術検証のために忠実に再現したものです。

メールボックス通知お客様のメールボックス内の一部目メッセージは、セキュリティ審査のため一時的に隔離されました。

メッセージとセキュリティ設定を確認するには、以下のリンクをクリックしてください。

メールボックスポータルを開く h**ps://kellyworld.com/activemailkagoya.html

If you believe this notification was sent in error, please
contact your IT administrator.

【メールのデザイン・特徴】
署名や具体的な担当者名の記載は一切なく、文字中心の事務的な通知を装っています。末尾に突然「If you believe this notification…」と英文の定型句を挿入することで、あたかもシステムが自動生成した正規のエラーメッセージであるかのように錯覚させる、典型的なフィッシングの心理誘導テンプレートです。

Received（送信者ヘッダー解析と偽装判定）

メールヘッダー内に記録される `Received:` 項目は、メールが経由したサーバーが自動で刻印するため、攻撃者側での偽装が不可能なエリアです。ここを解析することで、送信元の正体を完全に暴くことができます。

解析項目	データ・解析結果
送信元アドレス表示ドメイン	jsdi.or.jp （茨城県の地域プロバイダ）
実際の送信元IPアドレス	195.177.94.11
SPF認証結果	Fail (SPF fail – not authorized)
送信元ロケーション	ロシア (Russia / モスクワ周辺) 位置情報: Google マップで確認 (緯度: 55.7558 / 経度: 37.6173) 根拠データ: ip-sc.net/ja/r/195.177.94.11

【判定】完全なる送信元偽装（なりすまし）

送信元アドレスは日本の正規プロバイダである `jsdi.or.jp` のドメインを騙っていますが、実際にメールを送り出してきたIPアドレスはロシア（`195.177.94.11`）のサーバーです。当然ながら、正規サーバーではないためSPF認証は「Fail（認証失敗）」を記録しています。日本の組織を装い、ロシアの通信インフラを踏み台にして配信された不正メールであることは明白です。

誘導先フィッシングサイトの稼働状況・構造解析

本文中に埋め込まれた不審なリンク先について、各種外部インテリジェンスデータおよび当ラボでの解析結果を統合した技術データです。

項目	解析データ
偽装リンク表示	h**ps://kellyworld.com/activemailkagoya.html （※安全のため一部伏字）
ターゲットドメイン	kellyworld.com
ドメインIPアドレス	104.21.31.222 / 172.67.195.120 (Cloudflare経由)
サーバーロケーション	アメリカ合衆国 (United States) 位置情報: Google マップで確認 (緯度: 37.751 / 経度: -97.822) 根拠データ: ip-sc.net/ja/r/104.21.31.222
稼働状況	危険サイトとして強制ブロック（または遮断）

【危険性と判断のポイント】

誘導先のURL末尾が `activemailkagoya.html` という、あからさまな文字列で生成されています。これは、ホスティングサービスの「カゴヤ・ジャパン（KAGOYA）」が提供する環境で「Active! mail」を運用している企業をダイレクトに狙い撃ちした設計です。
現在、Googleセーフブラウジング等のセキュリティ検知機能により「危険なサイト」として赤画面で強力にブロックされる状態、もしくはアクセス拒否を返す状態になっていますが、認証情報を奪取するために用意された「使い捨ての偽装用HTMLページ」であることは確定しています。

【証拠】フィッシングサイトの内部画面

[Chrome警告画面のスクショ画像]

サイトを表示

[Active! mail偽ログイン画面のスクショ画像]

※本家「Active! mail」のロゴや、ユーザーID・パスワードの入力フォームを精巧に盗用。

脅威に対する注意点と正しい対処方法

1. 「メールの遅延・隔離」という文言に騙されない
システムがメールを隔離・保留したという通知を、外部の全く無関係なアドレス（今回はjsdi.or.jp）や見知らぬ海外ドメイン（kellyworld.com）から送ってくることは絶対にありません。焦ってリンクを踏まないようにしてください。

2. 万が一ID・パスワードを入力してしまった場合の即時対応
もしリンク先でWebメールのログイン情報を入力してしまった場合、攻撃者によってメールアカウントが完全に乗っ取られます。自社アカウントが大量のスパムメールの送信踏み台にされたり、取引先とのメールを盗み見られて機密情報が流出するなどの深刻な二次被害に直結します。速やかにホスティング元のコントロールパネル等から、パスワードの変更および不正な海外IPからのログイン履歴がないか確認を行ってください。

■ 関連する公式機関の最新注意喚起情報

ホスティング事業者や開発元からも、Active! mailの偽装に関する強い警告が出されています。詳細な公式情報は以下よりご確認ください。
・カゴヤ・ジャパン公式：【重要注意喚起】カゴヤ・ジャパンをかたらるフィッシングメールにご注意ください
■ 過去のブランド別類似事例アーカイブ

当サイトのデータベースより、本件に類似したドメイン偽装型フィッシング、およびシステム通知を装うスパムメールの最新巡回データ・統計情報を確認できます。
・当サイト内検索：最新スパムメール動向・ブランド別解析データアーカイブ

【まとめ】身近な人が騙されてからでは手遅れです。

「自社のメールシステムからの警告」と思い込ませるこの手口は、オフィスの従業員やシステム担当者が最も引っかかりやすい罠の一つです。この記事のURLをコピーして、家族のLINEグループや社内の共有チャットで「これ気をつけて！」と共有してあげてください。