【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開!
【実録】総務省統計局を騙るアプリ配布キャンペーン詐欺メールを徹底分析!悪質なAPKファイルに隠された罠と手口を公開最近のスパム動向:今回ご紹介するのは「総務省統計局」を騙るメールですが、関連記事もページ末尾に記載のデータベースアーカイブ(過去の解析データが蓄積された保管庫)からご覧いただけます。 こんにちは。Heartland(ハートランド)です。いつも「Heartland-Lab(ハートランド・ラボ)」をご覧いただき、ありがとうございます。日々のデジタルセキュリティ対策、お疲れ様です。 今回は、中央省庁である「総務省統計局」を騙り、言葉巧みに不審なアプリをダウンロードさせようとする、非常に巧妙かつ危険度の高いバラマキ型の詐欺メールが当ラボの調査環境へ着信しました。行政機関の信頼性を悪用し、「お住まいの市区町村を登録すれば、セブン-イレブンで使える1,000円分のクーポンをプレゼントする」などという魅力的なエサで釣る、極めて悪質なスミッシング(SMSを利用したフィッシング詐欺)や電子メール型フィッシングの典型例です。 結論から申し上げますと、このメールに書かれたボタンを押して進んでしまうと、スマートフォンを乗っ取られる恐れがある不正なプログラムを強制的にインストールさせられる危険性があります。大切な皆様が、そして皆様の身の回りの大切な方々がこのような卑劣な罠に引っかからないよう、技術的な観点からその裏側をすべて暴いていきます。 ■ 今回の詐欺メールの基本情報 緊急性評価:★★★★☆(4点 / 5点満点中) 件名: [spam] 【期間限定】総務省統計局アプリダウンロードキャンペーンNo.094090 送信者名および表示アドレス: “総務省統計局” <info@stat.go.jp> 受信日時: 2026年6月1日(月曜日) 20時22分01秒(JST:日本標準時) ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 メールのリンクをただ「開いた(クリックした)だけ」であれば、即座に直接的な金銭被害が出る可能性は低いですが、画像付きのメールや「開通通知(読み込みトラッキング技術)」が埋め込まれている場合は、あなたのメールアドレスが「現在も実際に使われている生きたアドレスである」という情報(アドレス生体通知)が相手に伝わってしまいます。その結果、今後さらに多くの詐欺メールの送信対象リストに入れられてしまう危険性があります。 【再現エリア】実際のメール本文の再現とビジュアル分析 以下は、受信したフィッシング詐欺メールの画面構成を視覚的に把握するためのスクショ設置用エリア、およびメール本文の文面を極めて忠実に再現したテキストです。攻撃者の手口を正確に把握するために、一字一句をそのまま再現しています。
件名:[spam] 【期間限定】総務省統計局アプリダウンロードキャンペーンNo.094090 送信者:”総務省統計局” <info@stat.go.jp> ——————————————————————————– 総務省統計局 データ活用推進事務局 お客様各位 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ 総務省統計局 データ活用推進事務局 メールのビジュアルに関する感想と特徴: 【ヘッダー解析】メール送信元とネットワークの偽装判定 メールの送信ルートを記録した「メールヘッダー」の解析を行います。なお、ヘッダーの全体スクリーンショット画像には、受信者(当ラボの解析環境および契約サーバー情報など)のプライバシーや固有のネットワーク経路情報が含まれているため、セキュリティ保持の観点から画像そのものの掲載は差し控え、必要十分な抽出情報のみをテキスト化して記述いたします。 時系列として最も古い(攻撃者が最初にメールを送り出した起点となる) `Received` ヘッダー、および送信ドメインの認証状態を示す `Received-SPF` ヘッダーの情報は以下の通りです。なお、安全のため特定の受信サーバー名やドメイン名は `[xxxx.net]` や `[yyyy.jp]` のように一律で伏字加工を施しています。 ■ 抽出したヘッダーレコード Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=34.104.226.72; helo=sq25.jartekin.com; envelope-from=sq25@sq25.jartekin.com; receiver=*******@[伏字.jp]
Received: from sq25.jartekin.com (sq25.jartekin.com [34.104.226.72])
by *****02.[伏字.net] (Postfix) with ESMTPS id A25FB4245DA5
for <*****@[伏字.jp]>; Mon, 1 Jun 2026 20:22:01 +0900 (JST)
送信元のドメインおよびIPアドレス偽装判定: 驚くべきことに、`Received-SPF`(送信元の正当性を検証する仕組み)の結果は「Pass(合格)」となっています。これは、攻撃者が自ら用意した `jartekin.com` というドメインにおいて、正規のメール送信手続きを正しく設定した上でメールを送信しているためです。メールのセキュリティシステムは「このメールは、送信元を主張する `jartekin.com` というドメインから正しく送られてきた本物である」と認識して通過させてしまいます。しかし、画面に表示される名前だけを「総務省統計局」に書き換えているため、人間が見ると騙されてしまうという仕組みです。 つまり、「メールの送信システムとしての認証は正常に通っているが、中身は総務省を騙る完全な成りすまし詐欺メールである」 ということです。 【表1】メール発信元サーバーのネットワーク位置情報
※ご注意:IPアドレスから割り出される地理的位置情報およびロケーションデータは、ネットワークの経路変更やプロバイダの割り当て変更により刻々と変化するため、あくまで解析時点における参考値となります。 【リンク先解析】アクセス拒否に隠された「クローキング」の罠 メールの本文中に記載されているURLは、見た目こそ `https://www.stat.go.jp/app/download` と正規の国政調査サイトを装っていますが、実際のハイパーリンク(裏に隠された移動先)は全く異なる不審なドメインに向けられています。 実際のリンク先URL:`https://shando●gjushi.com/?type=verify&key=ppkojsdeee`(※安全のため一部を伏字「●」にし、リンクを無効化しています。ドメインの一部に「shandongjushi(山東巨石)」という海外の地名を想起させる文字列が含まれています) 当ラボの解析用端末でこのURLに直接アクセスを試みたところ、セキュリティ総合対策ソフト「ウイルスバスター クラウド」によって、即座にフィッシング脅威として通信が安全に遮断されました。
この危険なフィッシングサイトの内部的な挙動について調査すると、非常に狡猾な「クローキング(Cloaking)」という隠蔽技術が使われていることが分かりました。 もし、セキュリティ会社の調査クローラー(自動巡回ロボット)や、一般的なパソコン環境からこのURLにアクセスすると、画面には「アクセス拒否 リクエストがブロックされました。後ほどお試しください。」といった素っ気ないエラーページが表示され、それ以上進むことができなくなります。 これはサイトが壊れているわけではありません。攻撃者のシステムが「アクセスしてきた相手のOS(システムの種類)や閲覧ソフトの種類(ユーザーエージェント)」を瞬時に見分け、**調査ロボットやパソコンからのアクセスの場合は無害なふりをして偽のエラー画面を返し、ターゲットである「スマートフォンのブラウザ」からアクセスが来た場合のみ、不正なダウンロードページを表示させる**という二面性を持たせているのです。このように、アクセスする相手によって表示内容をカメレオンのように切り替える手法を「クローキング」と呼びます。 つまり、「セキュリティ機関の自動検出の目を欺き、フィッシングサイトを少しでも長く延命させて、スマホユーザーだけを確実に狙い撃ちにする仕掛けが施されている」 ということです。 スマホ環境でこの「目くらまし」を潜り抜けると、Cloudflare(クラウドフレア:大手ネットワークセキュリティ会社)の正規のセキュリティ検証画面にそっくりに偽装された「サイトへの接続が安全かどうか確認しています。以下の項目をすべてタップしてください」という偽の確認ページ(4枚目のスクショ内容)が表示されます。これによって、利用者は「今から安全な公的サイトに入るんだ」と完全に信じ込まされてしまいます。
この偽のセキュリティ認証ボタンをタップさせて人間であることを確認させた後、最終的に強制ダウンロードのダイアログ(ポップアップ窓)が表示され、`zqapp.apk` という極めて怪しいファイル(5枚目のスクショ内容)を端末内に保存させようとしてきます。
【表2】誘導先フィッシングサイトのサーバー・ドメイン構造調査
【技術解説】「.apk(APKファイル)」とは何か?その危険性を学ぶ 拡張子の `zqapp.apk` というファイルは、**Android(アンドロイド)端末にアプリケーションを直接インストールするためのプログラムパッケージ形式**です。 通常、Androidのスマートフォンでアプリを入れる場合は、安全基準を満たした「Google Play(グーグル・プレイ)ストア」という正規の市場を経由して安全にダウンロードを行います。しかし、このファイルは「野良アプリ」と呼ばれるもので、Google社の安全審査を一切受けていない、あるいは意図的に審査を回避して作られたプログラムです。 この不正なAPKファイルをスマートフォンに読み込ませ、画面の指示に従って「不明なアプリのインストール」を許可して実行してしまうと、あなたのスマートフォンにバックドア(攻撃者がいつでも侵入できるようにするための勝手口)が作られてしまいます。 これにより、端末内に保存されている電話帳(連絡先)データがすべて海外のサーバーに抜き取られたり、あなたのスマートフォンを踏み台(身代わり)にして、他の見知らぬ人たちへ何千通もの詐欺SMSを勝手に送信させられたりする「加害者側の端末」に変貌させられてしまう恐れがあります。さらに最悪の場合、ネットバンキングのログインパスワードやクレジットカード情報が盗み見られ、口座からお金が引き出されるといった致命的な被害に直結します。 つまり、「行政アプリのフリをしたマルウェア(悪意ある不正プログラム)であり、絶対に手元のスマートフォンで動かしてはいけない禁忌のファイルである」 ということです。 被害に遭わないための注意点と具体的な対処方法 今回の手口の総合危険度評価:★★★★★(5点 / 5点満点中) 万が一、このようなメールを受け取ったり、誤ってファイルをダウンロードしてしまった場合の対処法は以下の通りです。
行政機関が、メールやSMSに記載した直接のリンク先からこのようなアプリパッケージ(APK形式)をユーザーに直接配布することは、日本の公式な運用手順において絶対にあり得ません。 📌 総務省による公式のインターネットトラブル注意喚起ページ: まとめとお知らせ 身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。 このようなフィッシングメールやマルウェア配布攻撃は、時間が経つとドメインや件名を少しずつ変えて何度も繰り返し発生する傾向があります。「自分だけは大丈夫」と思わず、怪しい添付ファイルや見慣れない拡張子を目にした際は、一度立ち止まる習慣を身につけていきましょう。皆様の安全なデジタルライフを、Heartland-Labはこれからも応援しております。 関連する過去の解析事例はこちらから検索できます。 📌 同じ手口の関連記事:【実録】国税庁を騙る詐欺メールも確認されています→こちら |
