| 1. はじめに:時事ネタに便乗した極めて悪質な「複合型詐欺」の襲来
またしても、多くの一般市民の不安と期待を煽る、極めて悪質なフィッシングメールが観測されました。今回は現在大きな話題となっている「定額減税」および「過誤納金還付手続き」を巧妙に騙った内容です。
さらに恐るべきことに、今回の攻撃は単に偽のページで情報を盗み取るだけでなく、リンクを踏んだ先で画面を激しく明滅・脈動させ、偽の警告音とともにPCをロックしたように見せかける「画面ロック型サポート詐欺」へとシームレスに遷移する複合型の手口が確認されています。 本レポートでは、この悪質なメールの技術構造を徹底的に解剖し、万が一遭遇してしまった場合でも、お年寄りから若年者まで誰もが完全に「平常心」を保って自力で安全に画面を閉じる方法を、手抜きなしで長尺解説いたします。
2. 偽装メールの全貌と本文の忠実再現
被害届および観測データから得られた、実際にユーザーの元に届いたフィッシングメールの全貌です。
| 【メール本文のスクリーンショットを挿入】 
| 上記スクショ内のメールテキストを以下にできる限り忠実に再現します。 件名: [spam] 【至急】「定額減税」および過誤納金還付手続きに関する確認のお願い
送信者: support@**********.jp
国税庁の最新指針に伴う、給与天引き(定額減税)に関する重要なお知らせです。
今期の税制改正に伴う社内データ処理の過程で、お客様の登録口座に対して本来の還付額を上回る過振込(過誤納金)が発生した可能性が検知されました。
心当たりがない場合は、すぐに還付状況を確認し、過払い分の返還手続(または修正申告)を行う必要があります。 社内で既に修正手続を終えている場合は問題ありませんが、不審な場合はデータの誤認や不正処理の可能性もあるため、下記URLの **********.jp 監査特設ページの指示に従い、情報の確認をお願いいたします。 ? 国税還付・データ整合性確認ページ —————————————-
**********.jp 財務・労務監査委員会
※本メールは自動送信です。折り返しの返信はできません。
| ⚠️ 驚愕のドメイン盗用事実:攻撃者の卑劣な偽装工作
お気づきの通り、このメールの送信元アドレスおよび本文中に記載されているドメイン「**********.jp」は、他ならぬHeartlandの正規セカンドドメインです。攻撃者は、当方のサーバーをハッキングして送ったのではなく、SMTPというメール送信プロトコルの構造的弱点を悪用し、「外側から送信元の表記だけを勝手に書き換えて」送りつけています。
自らの看板を詐欺の道具に悪用されるという、極めて不愉快かつ悪質なドメイン盗用(なりすまし)事例です。
|
3. メールヘッダーの技術的解析(足跡の暴露)
メールヘッダーから、攻撃者の「真の足跡」を証明する重要な2つの要素(時系列で最古のReceived、およびReceived-SPF)を抽出・解析します。(※セキュリティ保護のため、ホスティングサービス名および受信者・ドメイン名は伏字化しています)
【抽出①:Received-SPF(送信ドメイン認証結果)】
Received-SPF: Softfail (domain owner discourages use of this host) identity=mailfrom; client-ip=41.90.208.14; helo=[41.90.208.14]; envelope-from=support@s*********.jp; receiver=support@s*********.jp 【抽出②:最古のReceivedヘッダー(真の送信元ホスト)】
Received: from [41.90.208.14] (unknown [41.90.208.14]) by dmail02.k*********.net (Postfix) with ESMTP id 92AC5425B3E1 for <support@s*********.jp>; Thu, 21 May 2026 14:49:10 +0900 (JST) | 💡 ログから読み解く攻撃の真実 - 真の送信元IPアドレス: 41.90.208.14
- 国・地域: アフリカ・ケニア(Safaricomネットワーク)
- 判定理由: 当事務所ドメイン(s*********.jp)の正規のDNSレコードに登録されている送信許可リストの中に、このケニアのIPは当然含まれていません。そのため、受信側サーバー(k*********.net)のSPFチェックにて一発で「Softfail(なりすまし判定)」となり、件名に「[spam]」が自動付与されました。
【クローキング(Cloaking)の疑いに関する専門的考察】
今回のケースでは、メール内のリンクをクリックした際に、閲覧者の環境(IPアドレスやユーザーエージェント)を検知し、セキュリティ会社の調査ロボットには「正常なエラーページ」を見せ、一般の被害者には「サポート詐欺画面」を表示させるという「クローキング技術」が裏で併用されている可能性が極めて高いです。一見すると普通のフィッシングサイトの体を装いながら、実際には後述する凶悪な不正スクリプトを仕込んだページへ誘導する二面性を持っています。
4. 偽リンククリック後の挙動と恐怖を煽る演出
メール本文中の「国税還付・データ整合性確認ページ」というリンクをクリックしてしまった場合の二段階の画面推移です。
【第一段階:Google セーフブラウジングによるブロック】 | 【Googleセーフブラウジング警告のスクリーンショット】 
|
幸いにも、このドメインはすでに世界中のセキュリティ機関にブラックリスト登録されているため、Chromeなどのブラウザでは「危険なサイト」として真っ赤な警告画面が表示されます。しかし、これを「詳細」から無視して進んでしまったり、未対策のブラウザで開くと、以下の凶悪な画面へ叩き込まれます。
【第二段階:脈動する画面ロック型サポート詐欺】 | 【サポート詐欺偽警告のスクリーンショット】 
|
画面に進むと、Windows公式を装った「Windows Defender 保護管理センター」という偽のポップアップが最前面に表示されます。画面全体が赤や青で激しくチカチカと脈動(点滅)し、「悪意のあるトロイの木馬プログラムを検出(識別コード:#DX4K9R2P)」という大嘘のテキストが表示されます。
さらに、大音量のビープ音や「あなたのPCはウイルスに感染しました。データを保護するために今すぐサポートへ電話してください」といった偽の合成音声ガイダンスがループ再生され、閲覧者の精神を激しく揺さぶります。
💡 Heartland流・手抜きなしの種明かし:なぜ画面が動くのか?
お年寄りや若い方がこれを見ると、「本当にパソコンが乗っ取られて壊れてしまった!」とパニックになります。しかし冷静になってください。これはPCがウイルスに感染したのではなく、ただの「ホームページ(ブラウザ)に仕込まれたJavaScript(アニメーションと音声を再生するプログラム)が全画面表示で暴れているだけ」です。あなたのパソコン内の写真やデータは1ミリも壊されていませんし、盗まれてもいません。ただ動画が流れているだけと同じ状態です。
|
5. 【お年寄り・若年者向け】平常心を取り戻し、安全に画面を閉じる具体的な手順
この脈動する詐欺画面が表示された時の、最も安全で、かつ1円も被害を出さないための「正しい画面の閉じ方」を解説します。絶対に画面に書かれている電話番号「(0101) 80825-80290」に電話をかけてはいけません。
| ステップ 1:まずは音を消す(音量をミュートにする) |
大音量のアラーム音こそが、パニックを引き起こす最大の原因です。キーボードの「消音(ミュート)」ボタンを押すか、スピーカーの線を抜くか、あるいはパソコン全体の音量をゼロにしてください。音が消えるだけで、驚くほど冷静な「平常心」が戻ってきます。
| | ステップ 2:キーボードを使ってブラウザを強制終了する |
この詐欺サイトは、マウスの矢印を消したり、右クリックや「×」ボタンを押せないように画面をロックする小細工(全画面APIの悪用)をしています。そのため、マウスではなくキーボードの特権ショートカットを使って閉じます。
| 方法A(一発消去) | キーボードの一番左下にある「Alt(オルト)」キーを押しながら、一番上にある「F4」キーをポンと押します。これで今開いているブラウザが強制的に消滅します。 | | 方法B(タスクマネージャー) | キーボードの「Ctrl」と「Alt」を押しながら、「Delete」キーを同時に押します。画面が切り替わったら「タスクマネージャー」を選択し、一覧から開いているブラウザ(ChromeやEdgeなど)を選んで「タスクの終了」をクリックします。 | | | ステップ 3:【最終手段】電源ボタンを長押しする |
どうしても操作が分からなくなったり、画面が動かなくなった場合は、パソコンの本体にある「電源ボタン」を、指で5秒〜10秒間、ずっと押し続けてください。
パソコンの電源がブツッと強制的に切れます。少し待ってからもう一度電源を入れ直せば、あの真っ赤な詐欺画面は影も形もなくなっています。(※起動時にブラウザが「前回のタブを開きますか?」と聞いてきても、絶対に「復元」は押さないでください)
|
6. まとめ:相手の「仕掛け」を知れば、恐怖は消え去る
今回の事案をまとめます。
1. 「定額減税」のメールは、当事務所ドメインを盗用したケニア発の偽物である。
2. 遷移先の画面明滅や音声は、単なるホームページ上の演出(ハッタリ)である。
3. 絶対に電話をかけず、Alt+F4、または電源長押しで閉じるだけで100%安全である。
サイバー犯罪者は、技術でPCを壊しているのではなく、人間の「恐怖心」という心理の隙を突いて騙そうとしてきます。仕組みさえ知ってしまえば、チカチカ脈動する画面など、ただの安っぽいお化け屋敷の仕掛けと同じです。ご家族のお年寄りや、初めてパソコンを持つお子様にも、ぜひ「困ったらAlt+F4か電源長押し!」と教えてあげてください。 今後もHeartland-Labでは、手抜きのない徹底的な技術検証のもと、誰もが置いていかれないセキュリティ解説を継続してまいります。
| 
