みなさん、こんにちは。頼れる街のIT専門家、Heartlandです。
今日もみなさんの安全なデジタルライフを守るため、最新の詐欺メールを徹底的に解析していきましょう。 今回ご紹介するのは、私たちの生活に欠かせないインフラである「東京電力(TEPCO)」を騙る非常に悪質な詐欺メールです。
「料金が未払いだから電気を止める」という、恐怖心を植え付ける卑劣な手口が使われています。 実は、このようなメールは「開いた(閲覧した)だけ」では、すぐに実質的な金銭被害が出るわけではありません。
しかし、画像付きのメール(HTMLメール)であったり、開封したことが相手に伝わる仕組み(開通通知機能)が仕込まれていたりすると、あなたのアドレスが「現在使われている生きたアドレス」だと犯罪者に通知されてしまう危険性があります。
その結果、今後さらに大量の詐欺メール送信リスト(ターゲット名簿)に入れられてしまう恐れがあるのです。 身近な大切な人が騙されてしまう前に、この手口をしっかりと頭に入れておきましょう。
【実録】「リンクエント」という奇妙な日本語に騙されないで!東京電力(TEPCO)を装う未払い請求詐欺メールの手口を徹底分析して公開します | 最近のスパム動向 | 公共インフラや電力会社を騙り、供給停止(ライフラインの切断)を盾に脅迫するフィッシング詐欺が急増しています。 | | 緊急性評価 | ★★★★☆(4 / 5) | | メール件名 | [spam] 【重要】TEPCO お支払い期限のお知らせ 番号:99070247 | | 件名の[spam]解説 | 件名の冒頭にある「[spam]」という文字は、受信サーバーが「これは迷惑メール(詐欺メール)の可能性が非常に高い」と自動で判定して付与した警告スタンプです。 | | 送信者名・アドレス | “【TEPCO】お支払い管理チーム” <raven@raven.haorunshipin.com> | | 受信日時 | 2026年5月27日 12:16 |
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
| ■ 届いたメール本文のスクリーンショットと完全再現
※セキュリティー保護のため、不審なリンク等の挙動はすべて無効化しています。 | 【メール本文のスクリーンショット】 
| TEPCOよりご利用料金のご請求
平素より東京電力エナジーパートナー株式会社のサービスをご利用いただき、誠にありがとうございます。 下記の未払い金額について、期日までにお支払いください。期日を過ぎますと、サービスのご供給を停止させていただきます。
| <未払い金額:5,931円(税込)>
支払い期限:2026-05-27(延長不可)
【お支払い方法】
【お問い合わせ先】
東京電力エナジーパートナー株式会社 カスタマーサポートセンター
電話番号:0120-123-456(受付時間:平日 9:00~18:00)
※本メールは、TEPCOにメールアドレスを登録いただいた方へ配信しております。 東京電力エナジーパートナー株式会社
〒100-8560 東京都千代田区内幸町1丁目1番3号
※本メールに掲載された内容は許可なく転載することを禁じます。
(c) TEPCO Energy Partner, Inc. | ※上記エリアは、実際に送られてきた悪質なメールの文面を視覚的にわかりやすくするために忠実に再現(完全再現)したものです。
【メールのデザインと怪しいポイント】
メールの全体的な構成や「TEPCO」のオレンジ色の配色、緑色のボタンなどは、一見すると本物の案内のように綺麗に作り込まれています。
しかし、緑色のボタンに書かれている文字をよく見てみてください。
「▼支払いの詳細リンクエント」という不自然極まりない日本語が堂々と書かれています。
「リンク先」や「エントリー」といった言葉が翻訳の過程で奇妙に混ざり合ってしまったもの(自動翻訳のバグ)と考えられます。
正規の日本の大企業が、このようなおかしな日本語のボタンを配置して公式メールを送ることは絶対にありません。
また、メールが届いた当日の日付(2026-05-27)を支払い期限に指定し、「延長不可」と赤文字で強く脅してくるのも詐欺の典型的な手口です。
つまり、「日本語の初歩的なミスが放置されている、恐怖心を煽るための偽メール」ということです。
■ サーバー情報・送信元の技術的解析(ディープ解析)
続いて、メールの裏側に記録されている「ヘッダー情報(メールの経路図のようなもの)」を解析し、どこから送られてきたのかを暴いていきましょう。
なお、メールヘッダーのスクリーンショットには、受信者側の詳細なサーバー管理情報が含まれているため、セキュリティーの観点から掲載を控え、テキストデータから重要箇所のみを抽出しています。
【送信者のメールアドレスとIPアドレスの検証】
送信者のアドレスは raven@raven.haorunshipin.com ですが、このドメイン raven.haorunshipin.com のネットワーク上の住所(IPアドレス)を調査したところ、「161.153.122.111」であることが判明しました。
東京電力の公式サイトは当然 tepco.co.jp という日本国内の厳重に管理されたドメインを使用しますので、この中国系を思わせる怪しいドメインの時点で完全に偽物です。
【メール中継ルートと偽装判定】 | 確認項目 | 抽出データ/ロケーション(位置情報) | 解析結果・偽装判定 | Received-SPF
(送信元認証の記録) |
client-ip=161.153.122.111
identity=mailfrom
envelope-from=raven@raven.haorunshipin.com
| 認証上の矛盾はなし
「haorunshipin.com」というドメインの正規のサーバーから送信されていることは間違いありませんが、そもそもそのドメイン自体が東京電力とは何の関係もない詐欺用のドメインです。 | 最も古いReceived
(最初の中継サーバー記録) |
from smtp.admin-authentication.mufg.jp
([51.232.166.105])
by raven.haorunshipin.com 📍 位置情報(経緯度):
緯度 4.5709 / 経度 -74.2973
🌐 ip-sc.netでIP情報を確認
🗺️ Googleマップで位置を確認(コロンビア近郊)
| 【重大な偽装を検出】
ヘッダー内には mufg.jp(三菱UFJ銀行)を騙る不審な中継記述が存在しますが、実際の配信IP(51.232.166.105)は南米コロンビア周辺を示す全く無関係のサーバーです。
複数の有名企業の名を騙って騙そうとする、極めて悪質な偽装工作が行われています。
| つまり、「東京電力のフリをしながら、裏側では三菱UFJ銀行の文字をチラつかせ、実際にはコロンビアのサーバーを経由して送られてきた大嘘のメール」ということです。
■ 誘導先である「詐欺サイト(フィッシングサイト)」の検証
メールに設置されていた「▼支払いの詳細リンクエント」のボタンが、どこへ繋がっていたのかを詳細に追跡しました。
| 検証項目 | 解析データ・稼働状況 | | 偽装された誘導URL | h**ps://coingfin.com/ (一部を伏字にして安全に処理しています) | | 誘導先ドメイン | coingfin.com | | ドメインのIPアドレス | 104.21.32.217 | | サーバーの位置情報 |
緯度 37.7510 / 経度 -122.4200(アメリカ・カリフォルニア州周辺のクラウドインフラ経由)
🌐 ip-sc.netでリンク先IPを確認
🗺️ Googleマップでサーバー位置を確認
| | 現在の稼働状況 | アクセス拒否(404 Not Found)により停止状態、またはクローキング実施の疑い |
【危険と判断できるポイントとサイトの画面】
実際にこのURLにアクセスを試みると、画面には以下のような表示が出現します。
| 【404エラーまたはブロック画面のスクリーンショット】 
404 Not Found / The page never existed on the site. |
このように「ページが最初から存在しない」というエラー画面(404エラー)が表示されます。
これには2つの可能性が考えられます。
1つ目は、すでに多くのユーザーから通報され、セキュリティ機関やサーバー会社によってサイトが完全に潰された(無効化された)状態である可能性。
2つ目は、「クローキング(Cloaking)」という高度な騙しの技術が使われている可能性です。
クローキングとは、アクセスしてきた相手を自動で判別し、私たちのような「セキュリティ調査員」や「Googleの巡回ロボット」がアクセスしたときだけ、このように『一般のエラーページ(404 Not Found)』を見せて身を隠し、一般の騙しやすいスマートフォンユーザーがアクセスしたときだけ、本物そっくりの偽ログイン画面を表示してカード情報を盗み出すという、極めて狡猾な隠蔽工作(カモフラージュ)です。 つまり、「エラー画面が出ているからといって決して安全ではなく、裏で牙を隠している可能性が非常に高い危険なサイト」ということです。
■ 被害に遭わないための注意点と具体的な対処法
万が一、このようなメールが届いた場合の対処法をまとめました。
① メールの中のリンクは絶対に押さない(クリックしない)
今回のように「リンクエント」といった不自然な日本語を見つけた場合は、その場ですぐにメールを削除(ゴミ箱へ移動)してください。 ② 公式の確認は「ブックマーク」や「公式アプリ」から
本当に未払い料金があるか不安になった場合は、メールのリンクを頼るのではなく、普段自分が使っているブラウザのブックマーク(お気に入り)や、公式のマイページ(くらしTEPCO webなど)に直接ログインして情報を確認する癖をつけてください。 ③ 万が一、情報を入力してしまった場合は…
もし偽の画面にクレジットカード番号やパスワードを入力してしまった場合は、すぐにクレジットカード会社へ連絡してカードの利用をストップ(緊急停止)してください。また、同じパスワードを使い回している他社サービスがあれば、速やかにパスワードの変更手続きを行ってください。 | 【今回の詐欺メールの危険度評価】 | 危険度:★★★☆☆ | 日本語の違和感(リンクエント)が強いため見破りやすい部類ですが、インフラの停止を予告して脅してくる文面は心理的プレッシャーが強いため、中程度の警戒が必要です。 |
【公式の注意喚起情報】
東京電力エナジーパートナーからも、こうした不審なメールに関する注意喚起が発表されています。必ず公式の最新情報も合わせてご確認ください。
🔗 東京電力公式:偽メール・詐欺行為に関するご注意
■ まとめとお知らせ
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
|
関連する過去の解析事例はこちらから検索できます。
📌 同じ手口の関連記事:
【実録】同じインフラ系を装う悪質な手口!関西電力(KEPCO)を騙る詐欺メールも確認されています→こちら
これからも「Heartland-Lab」では、街のIT専門家としてみなさんのセキュリティーに関する不安を解消するため、どこよりも詳しく、手抜きのない長尺の解析レポートをお届けしてまいります。
怪しいメールを受け取ったら、決して一人で悩まずにいつでも相談してくださいね。
| 
