【手口公開】東京電力を装う「【最終通知】TEPCO 未払い料金の支払い」詐欺メールの調査結果 2026年6月1日
HL-META: date=2026-05-31 | brand=東京電力 | sender_geo=エストニア | site_geo=NXDOMAIN | spf=pass | dkim=fail | cloaking=yes
【最近のスパム動向】 今回ご紹介するのは「東京電力エナジーパートナー 」を騙るフィッシング詐欺メールの解析情報です。この他にも日本国内で横行している様々な偽メールの関連記事を、ページ末尾に設置しているデータベースアーカイブからいつでもご覧いただけます。 【実録】東京電力の未払い料金請求を装う詐欺メールを徹底分析!不自然な「中華漢字」だらけの偽通知に騙されないための手口公開 ⚠️ メールを開いただけで直ちに金銭的被害が出るわけではありません。しかし、画像付きのHTMLメールや開通通知(確認用の仕組み)が埋め込まれている場合、メールを開封したという事実(アドレスの生存状態)が送信元へ自動的に通知され、今後さらに危険な詐欺メールの送信対象リスト(カモリスト)に登録されてしまうリスクが極めて高くなります。不審なメールは不用意に開かず、即座に削除することが最も安全です。 1. 届いた不審メールの概要と緊急性評価 危険度評価 ★★★☆☆(星3:注意が必要) 件名(Subject) [spam] 【最終通知】TEPCO 未払い料金の支払い 番号:84588185 (※メールサーバーの迷惑メール検知機能により、先頭に「[spam]」という警告ラベルが自動付与されています。これが付いている時点で100%迷惑メールですので、絶対に信用してはいけません。) 送信者名・アドレス “TEPCO【支払い管理部門】” <fire@fire.ynkcn.com> メール受信日時 2026年5月31日 12:39:55(日本時間)
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
2. メール本文のビジュアルと忠実再現 【メール本文のスクリーンショット】
以下は、受信した実際のフィッシングメールのレイアウトおよび文字遣いを可能な限り忠実に再現したテキストです(リンクの無効化処理を施しています)。日本の正規のビジネス文書では絶対にあり得ない不自然な文字(簡体字)が随所に混入していることが確認できます。
东京電力エナジーパートナー:未決済の電気料金がございます 弊社にてお支払状況を確認したところ、2026年4月分の料金が未納となっております。お忙しい中恐缩ですが、ご確認をお願いします。
請求内容 2026年4月分 電気料金 請求金額 5,931円(税込) お支払期限 2026-05-31
お手数ですが、下記リンクよりお支払い方法(クレジットカード、コンビニ、銀行振込等)を選択し、お手続きをお願いいたします。
≫ お支払い手続き画面へ(公式サイト)
■ スクリーンショットおよび本文から読み取れる不審なデザインと違和感 致命的な誤字(中華フォント・簡体字の混入) :「東京」が「东京 」、「確認」が「确认 」、「恐縮」が「恐缩 」、「選択」が「选択 」となっており、海外の詐欺グループが適当に翻訳・作成した痕跡が丸出しです。不安を煽る期限設定 :メールが届いた当日の日付(2026-05-31)がそのままお支払期限として赤字で指定されており、受信者を焦らせて冷静な思考を奪おうとする典型的な心理トラップ(心理的誘導)です。過剰な自己主張 :誘導先のリンクにわざわざ「(公式サイト)」と手書きで書き足している点が、かえって怪しさを倍増させています。
3. メールヘッダー解析と送信元IPの特定(偽装判定) ※ご注意:メールヘッダー情報には、受信者側のサーバー固有の内部ネットワーク構成情報や、詳細な個人用メールアドレスといったプライバシーに関わる文字列が含まれるため、セキュリティ保護の観点からヘッダー全体のスクリーンショット画像は本記事には掲載いたしません。代わりに、以下に安全な形で抽出・解析した結果を公開します。 ■ 送信者の表示アドレスと実際の認証IPアドレスの比較 fire@fire.ynkcn.com となっています。fire.ynkcn.com の認証状態をヘッダーから追跡すると、Received-SPF: Pass と記録されており、送信元IPアドレスである 141.148.181.185 (オラクルクラウド:世界規模のインフラ)は一見して正規にそのドメインから送られたように見えます。Received ヘッダーの記録です。
■ 最も古い「Received」ヘッカートから特定した真の送信元 Received: from smtp.signal-automation.jp ([85.253.131.218]) by fire.ynkcn.com ... (Authenticated sender: mail971@fire.ynkcn.com)85.253.131.218 というIPアドレスを踏み台(中継地点)にして接続し、認証を通した上でメールを大量送信していることがはっきりと判明しました。東京電力を名乗っていながら、日本の電力会社のサーバーは一切経由していません。
※IPアドレスから割り出される地理的ロケーション情報は、プロバイダの割り当て変更やルーティングによって刻々と変化するため、あくまで解析時点の参考データとなります。
■ DKIM認証の破綻(決定的な偽物確定要素) dkim=fail (body hash did not verify) という決定的なエラーが記録されています。これは、メールが送信された後に中身が改ざんされたか、あるいは署名の作成自体が失敗していることを意味します。セキュリティ認証技術(電子署名)の観点からも、このメールは完全に信頼性を失っています。
4. 誘導先リンクURLの危険度とサイト解析(クローキングの手口) メール本文に仕込まれていた誘導先のURLは以下の通りです。 偽URL: https://rcoinfi.com/6opd60r▼Wg.utsunomiya.jp (※セキュリティ確保のため一部を「▼」に書き換えて無効化しています)【セキュリティ警告画面のスクリーンショット】
【アクセス不可画面のスクリーンショット】
■ 巧妙な「クローキング(Cloaking)」現象の解説 クローキング(閲覧者の環境によって表示をカメレオンのように変える隠蔽工作) 、あるいはセキュリティ会社の自動巡回ロボットによる検知・ブラックリスト登録を逃れるために、特定の条件(特定のスマートフォン端末からのアクセスや、特定のリンク元経由など)を満たした被害者候補にだけ本物の詐欺ページを見せ、それ以外のアクセスには存在しないエラーサイトを見せるという極めて悪質な技術的偽装を行っている結果です。
項目 解析・稼働ステータス詳細 対象ドメイン rcoinfi.com ドメインIPアドレス NXDOMAIN (IP未割り当て・または動的ブロック状態) ※ネームサーバー側でレコードが即座に消去されたか、クローキング防御により通常のホスト名変換を遮断しています。 ロケーション情報 ホスト名解決不可のため位置特定不能(ネットワーク上からの緊急離脱・隠蔽状態) URLが危険と判断できるポイント 末尾に「utsunomiya.jp」という日本の自治体を連想させるサブドメイン構造を無理やり偽装して付与していますが、実際の親ドメインは「rcoinfi.com」という全く無関係の海外登録ドメインです。日本の公的インフラ機関がこのような海外ドメインで集金手続きを行うことは絶対にありません。 リンク先が稼働中かどうか 特殊隠蔽稼働中(クローキングによる防御体制)
5. メールの注意点と対処方法 公式の窓口以外からは絶対にログインしない :電気料金の確認や支払い手続きを行う際は、メールに記載されたリンクからではなく、あらかじめブラウザのブックマーク(お気に入り)に登録してある「東京電力エナジーパートナー」の公式サイトや、公式のスマートフォンアプリからログインして状態を確認してください。漢字の不自然さにアンテナを張る :今回のように「东京」などの漢字が使われている場合は、その時点で海外からの組織的サイバー犯罪であると断定して問題ありません。クレジットカード情報を入力してしまった場合 :万が一、リンク先のページでカード番号や暗証番号を入力してしまった場合は、一刻も早くクレジットカード会社の紛失・盗難受付ダイヤル(24時間対応)に連絡し、カードの利用停止および再発行の手続きを行ってください。■ 関連する公式の注意喚起情報 東京電力エナジーパートナー公式:不審なSMS・メールへの注意喚起ページ
6. まとめ
💡 関連する過去の解析事例アーカイブ 関連する過去の解析事例はこちらから検索できます:「東京電力」に関する過去の解析事例を検索する 📌 同じ手口の関連記事: 【実録】関西電力を騙る詐欺メールも確認されています→こちら
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る ② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る 
