【必読】「LINEポイント付与」の甘い罠！PCアクセスを拒否する偽サイトの調査結果

現在、LINEヤフー株式会社（旧LINE）の公式カスタマーサポートを精巧に偽装し、「LINEポイントの付与準備が整った」という甘い言葉でユーザーを欺くフィッシング詐欺メールが爆発的な量で観測されています。

この攻撃の極めて悪質な点は、単に公式ロゴや住所を盗用するだけでなく、「アクセスしてきたデバイス（環境）を攻撃者側のサーバーで選別（UA判定）している」という高度な隠蔽工作が施されている点です。本レポートでは、このメールの構造、偽装された配送経路、そしてセキュリティソフトを回避しようとする欺瞞的な挙動について、技術的観点から徹底的に解剖します。

メールヘッダーの解析により、送信者が主張する「LINEカスタマーサポート」というアイデンティティが完全な偽りであることが証明されました。以下はそのテクニカルデータです。

【ヘッダーから読み取る技術的背景】

送信元ドメインとして使用されている `secure.guocenjt.com` は、LINE公式とは1ミリも関係のないサードレベルドメインです。さらにSPF（Sender Policy Framework）の検証において Softfail が記録されています。これは、該当ドメインのDNSレコードが「このIPアドレス（35.217.114.132）からの送信を正規のものとして認めていない（推奨していない）」状態を意味しており、スパムフィルターが `[spam]` タグを付与する決定的な引き金となっています。

このフィッシングメールの本文は、受信者の「利得欲求」と「焦燥感」を巧妙に刺激する二段構えの設計になっています。

メール内に埋め込まれている、被害者を陥れるための核心的なフィッシングURLは以下の通りです。

Heartland-Labの調査環境PCでの接続では以下の通り「アクセス拒否」と書かれた詐欺メール調査では頻繁に見られるサイトに接続されました。

■ なぜPCでアクセスすると「アクセス拒否」されるのか？

本URLにPCブラウザや解析環境からアクセスを試みると、トレンドマイクロ社などのセキュリティ製品による「フィッシングサイト警告」が作動するほか、それを通過しても「アクセス拒否：リクエストがブロックされました（ファイアウォールで保護されています）」というエラー風画面が表示されるケースが確認されています。

これはサーバーがダウンしているわけでも、サイトが消滅したわけでもありません。攻撃者が仕込んだ「UA（ユーザーエージェント）切り分け機能」によるものです。

このように、相手のデバイスを見て表示を変える「クローキング」と呼ばれる手法が使われており、PCでの一見したチェックだけでは脅威の本質を見落とす危険性があります。

このような狡猾なフィッシング詐欺に騙されないために、以下の鉄則を日常の運用に組み込んでください。

• メール内のリンクは絶対に踏まない： ポイントの付与、アカウントの確認、規制解除などの案内が届いた場合、メールのボタンではなく、必ずスマホの公式アプリ、または自身でブックマークしている正規ブラウザから確認を行う。
• ドメインの末尾を確認する： 公式のカスタマーサポートが `guocenjt.com` や `dilwc.com` といった無関係な海外風のドメインを使用することは絶対にありません。
• 不審な「[spam]」表記に注意する： サーバー側がフィッシングの疑いありと判定したメールには、高い確率で件名に警告タグが付与されています。これがある場合は即座にゴミ箱へ破棄してください。

昨今のフィッシングメールは、企業統合やサービス名変更（LINEヤフー株式会社への移行など）のタイミングを狙って非常にタイムリーな内容で送られてきます。攻撃手法の巧妙化（UA判定など）に対応するためにも、常に最新のインテリジェンスを共有し、組織および個人の防衛力を高めていきましょう。