【実録解析】詐欺メールには「波」がある!攻撃者の営業カレンダーと善意を狙う義援金詐欺の正体
Heartland-Lab | 特集コラム
詐欺メールには「波」がある
攻撃者の”営業カレンダー”と、善意を食い物にする最悪の手口
Heartland-Lab Security Research Unit / 調査・執筆
「最近、詐欺メールが少ない気がする……」
そう感じたことはありませんか? 実はこれ、気のせいではありません。詐欺メールには、潮の満ち引きのように、はっきりとした「波」があります。
そして怖いのは、静かな時期のあとに来る嵐が一番危ない、ということ。
このコラムでは、詐欺メールがなぜ増えたり減ったりするのかを掘り下げながら、最後に「善意につけこむ最悪の詐欺」の実例もお見せします。長いですが、読み終わる頃には詐欺師たちの思考回路がまるごと見えてくるはずです。どうぞ最後までお付き合いください。
第1章 詐欺師にも「週休二日」がある
まず手始めに、一週間単位の話から。
詐欺メールを毎日受け取っている人なら気づいているかもしれませんが、土曜・日曜は明らかにメールの量が減ります。これはなぜでしょう?
🗓️ 週末に詐欺メールが減る3つの理由
- ターゲットが「仕事モード」でない
宅配便の不在通知、銀行からのお知らせ、クレジットカードの請求確認……これらを開封するのは平日の昼間です。土日に受け取っても「あとで確認しよう」となりやすく、詐欺師的には効果が薄い。 - 攻撃者自身も休んでいる
驚くかもしれませんが、詐欺メールを送っているのも人間です。フィッシング詐欺は組織的に分業されており、メール送信担当・詐欺サイト管理担当・お金の引き出し担当などがいます。そして彼らにも休日がある。 - 二次詐欺のオペレーターが手薄
フィッシングメールを踏まえて「サポート窓口」に電話させる手口では、電話対応するオペレーターが必要です。土日は人員確保が難しくなるため、大規模なキャンペーンを仕掛けにくい。
つまり逆に言えば、月曜日の朝が一番危険です。週末にたまったメールをまとめてチェックする習慣のある人は、注意力が散漫になりがち。詐欺師はそこを狙っています。「月曜の朝のメールは疑ってかかれ」——これだけ覚えておけば、かなり防御力が上がります。
第2章 春節(旧正月)になると、世界が静まり返る
週単位よりもっとはっきりしているのが、春節(旧正月)前後の波です。
春節は毎年1月末〜2月初めごろ。中国や東南アジアでは日本のお正月以上に大切な連休で、1〜2週間まるごと休む人も珍しくありません。
そしてこの期間中、日本に届くフィッシングメールの量が目に見えて減ります。
📊 春節サイクルの実態
春節直前〜期間中:急減(攻撃者が帰省・休暇)
明けてから約1週間:やや静か(インフラ再整備中)
明けて1〜2週間後:急増・爆発的増加(新キャンペーン一斉開始)
「インフラ再整備」というのがポイントです。詐欺師は休暇中に次の作戦を考え、戻ってきてから新しい詐欺サイトを用意し、メール送信システムを調整して、一斉に「キャンペーン」を始めます。この準備期間がだいたい1週間。だから休み明けからしばらくして、どっと波が押し寄せてくるのです。
これはつまり、詐欺メールの増減はランダムではなく、攻撃者の「事業計画」に沿っているということ。彼らはビジネスをしているのです——もちろん、れっきとした犯罪ですが。
📎 HEARTLANDの過去記録
実はこの「春節メール激減」、管理人自身も毎年体感しています。2025年1月には一晩400通を超えることもある受信ボックスが、春節前後には30〜40通台まで落ち込みました。その時の記録をリアルタイムでまとめた記事がこちらです。
HEARTLAND / 迷惑メール動向
毎年、春節が来ると不審なメールが減る件
ymg.nagoya / 2025年1月29日
第3章 「季節もの」詐欺メールのカレンダー
詐欺メールにはもうひとつ、季節のイベントに合わせた「旬」があります。
詐欺師は世の中の動きをよく観察しています。人々が何に関心を持ち、どんな状況に置かれているか。そこに刺さる話題で迫ってくるのです。
カレンダーをながめると、ほぼ年中何かしらの「旬」があることに気づきます。詐欺師は休みなく機会をうかがっているのです。
第4章 「キャンペーン型」攻撃という考え方
詐欺メールが一時的に増えて、また減る——この繰り返しを、セキュリティの世界では「キャンペーン」と呼びます。まるで企業の販促キャンペーンのような言葉ですが、実態もかなり似ています。
🔄 フィッシングキャンペーンの流れ(PDCA)
① Plan(計画):標的を選ぶ。PayPayか、Amazonか、銀行か。偽サイトを作り込む。
② Do(実行):大量のメールアドレスに一斉送信。数万〜数十万通。
③ Check(確認):偽サイトへのアクセス数・騙せた人数を計測。
④ Act(改善):反応が悪ければ文面を変える、URLを変える、次の標的にシフト。
→ そして①に戻る。次のキャンペーン開始。
キャンペーンが「終わった」あとの静かな期間は、次の仕込みをしている時間です。静かになったからといって油断していると、より洗練された手口で再び波がやってきます。
また、フィッシング詐欺には「フィッシングキット」と呼ばれる、偽サイトを簡単に作れるツールが存在します。ダークウェブ(一般人が普通にはアクセスできないインターネットの裏側)で売買されており、プログラムの知識がなくてもこのキットを買えば詐欺サイトが作れてしまう。キットに新バージョンが出ると、一斉に攻撃の「質」が上がります。これも波の一因です。
第5章 「静かな時期」こそ最も危険なワケ
「最近メールが来ないから大丈夫」——この安心感が、実は一番危ない。
人間には「慣れ」という心理があります。毎日のように怪しいメールが来ていると、「また来た」と身構えます。でも、しばらく来なかったあとに届くと、警戒心が薄れていて判断が甘くなります。
⚠️ 静かな時期あとの「初弾」に要注意
次のキャンペーンの「初弾」は、往々にして今までより巧妙になっています。文面が自然になり、偽サイトが本物そっくりになり、URLも一見まともに見えるように工夫されている。静かな期間を「改善期間」に使っているからです。
春節明け1〜2週間後、大型連休明け、年度替わり——これらのタイミングは、「より巧妙なキャンペーン」が始まるサインと思って身を引き締めてください。
第6章 最悪の手口——「善意」を食い物にするチャリティ詐欺【実例】
季節やイベントに便乗する詐欺の中でも、特に許しがたいのが「チャリティ詐欺(義援金詐欺)」です。
災害や紛争が起きると、多くの人が「何か助けになれれば」と思います。詐欺師はその善意の心に目をつけます。
以下は実際に届いた詐欺メールです。2022年5月——ロシアによるウクライナ侵攻が始まってわずか2〜3ヶ月後のことでした。
⛔ 以下は実際に届いた詐欺メールです。WebMoneyおよびauペイメントとは一切関係ありません。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
ウクライナでは各地で激化している戦闘により 多くの方々が支援を必要としています。 auペイメントでは、ウクライナ人道危機救援金のインターネット募金受付窓口を開設いたしました。 本窓口より、24時間、1POINT(1POINT=1円相当)からWebMoneyを救援金として寄付いただけます。 ご協力いただきました救援金は、日本赤十字社を通じて、全額、人道危機対応及び 避難民を受け入れる周辺国の救援活動の支援のため、贈呈させていただきます。 日頃よりWebMoneyをご愛顧いただいている皆様の温かいご支援を何卒よろしくお願い申し上げます。 ▼募金はこちらから▼ hxxps://spwebmoney[.]com/?mb8u9kg.xqvr2tg1q
このメールの「巧妙さ」を解剖する
🔍 巧妙ポイント①:タイミング
侵攻開始から2ヶ月余り。世界中が連日ニュースでウクライナを報じており、「何かしたい」という気持ちが最も高まっていた時期です。心が動いているときほど、URLを確認せずにクリックしてしまいます。
🔍 巧妙ポイント②:実在する名前の組み合わせ
「auペイメント」「WebMoney」「日本赤十字社」——すべて実在する信頼性の高い名前です。これらを組み合わせることで、いかにも公式の活動に見せています。ただし、これらのどの組織もこのメールとは無関係です。
🔍 巧妙ポイント③:少額設定の心理トリック
「1ポイント(=1円)から」という少額設定は、心理的ハードルを下げるためです。「少しくらいなら……」という気持ちにさせ、リンクをクリックさせる。クリックさせた段階でWebMoneyのポイントやプリペイドカード情報を入力させ、騙し取る仕組みです。
メールヘッダーが語る「本当の姿」
送信者名はwebmoney <mail@webmoney.jp>と表示されていますが、メールの内側を調べると正体が見えてきます。
■ ヘッダー解析結果
送信元アドレス(表示):mail@webmoney.jp(本物のように見える)
実際の発信IPアドレス:152.32.169.231(WebMoneyとは無関係の海外サーバー)
SPFレコード:None(記録なし)← これだけで詐欺と断定できます
フィルターが検出したURL:hxxps://spwebmoney[.]com/...
偽ドメイン:spwebmoney.com(本物は webmoney.jp)
受信日時:2022年5月4日(水)19:07 JST
💡 SPFレコードとは?(かんたん解説)
「このドメインからメールを出して良いサーバー」を登録した名簿のようなもの。本物のWebMoneyからメールを送る場合、その名簿に登録されたサーバーから送られます。このメールは名簿に記録がなく、つまり「名乗ってはいけない者が勝手に名乗った」状態です。
第7章 なぜこんなに早く動けるのか
「侵攻からたった2ヶ月でこんな詐欺メールが……」と驚いた方もいるかもしれません。でも実際には、もっと早いケースもあります。大きな地震の翌日に義援金詐欺メールが届くことすらあります。
なぜそんなに早く動けるのか? それは、詐欺師たちがあらかじめ「テンプレート」を用意しているからです。
📋 詐欺師の「事前準備」
- 「〇〇への支援金受付を開始しました」というメールテンプレートが複数用意されている
- 義援金を集める偽サイトのひな形ができている
- 大量のメールアドレスリストが手元にある
- ニュースを監視していて、大きな事件・災害が起きたら即座に「〇〇」の部分を書き換えて送信
悲しい話ですが、これが現実です。私たちが悲しみ、「助けたい」と思っているその瞬間を、彼らは機会として待ち構えています。
第8章 それでは、どう身を守るか
長々と脅すようなことを書いてきましたが、対策はシンプルです。
🔚 このコラムのまとめ
- 詐欺メールには「週末に減る」「春節に激減・明け後に激増」という明確な波がある
- 波は攻撃者の「営業カレンダー」に連動しており、静かな時期は次の仕込み期間
- 季節・社会イベントに乗じた詐欺は年中絶えず、善意につけ込む義援金詐欺は特に悪質
- メールのリンクは踏まず、募金は必ず公式窓口から
詐欺師は休んでいるようで、実は次の作戦を考えています。「静かだな」と感じたときこそ、身構えてください。
この記事が役に立ったと思ったら、家族のLINEグループに「これ読んで!」と送ってあげてください。あなたの一言が、誰かを被害から救うかもしれません。
Data Provided by Heartland-Lab Security Research Unit
参考:フィッシング対策協議会 / JPCERT/CC / 警察庁サイバー局
