【閲覧注意】「決済エラーに伴う支払手続き」——さくらインターネット偽装フィッシングメールの送信元を特定
■ 実際に届いた詐欺メール(スクリーンショット)
※以下は実際に受信した詐欺メールの画面です。さくらインターネットの公式メールに見えますが、すべて偽物です。
⚠️ このメールは公式サイトを装った真っ赤な偽物です ⚠️
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
「クレジットカード決済(即時決済)」または「銀行振込」にてお支払いください。 【1】クレジットカード決済(即時決済)の場合 会員メニューより手動でクレジットカード決済を行っていただけます。 【2】銀行振込の場合 振込先口座情報は、会員メニューの「請求書のご確認」よりご確認ください。 ※振込手数料はお客様負担となります。 ※ご契約者様名義でお振込みください。異なる名義の場合は会員IDを追記してください。 銀行振込時の注意事項は下記URLをご確認ください。 h**ps://help.sakura.ad.jp/purpose_beginner/2517/ (※偽サイトへのリンク) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■ お支払後のご確認について ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ お支払いが完了いたしましたら、弊社へのご連絡は不要です。 入金確認後、ご登録メールアドレス宛に入金確認の通知メールを送信いたします。 ご入金確認までに要する時間や、現在の入金ステータスは下記よりご確認いただけます。 ・入金確認に要する時間について: h**ps://help.sakura.ad.jp/purpose_beginner/2531/ (※偽サイトへのリンク) ・会員メニューでの支払状況の確認: h**ps://help.sakura.ad.jp/purpose_beginner/2530/ (※偽サイトへのリンク) ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ ■ 決済エラーおよび次回請求について ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ クレジットカードで決済エラーとなった原因として、主に以下の2点が考えられます。 ・原因1:カード情報の有効期限切れ、限度額オーバー等 ・原因2:サービス解約や請求内容変更のタイミングによるエラー 次回のご請求は、その時点で登録されているクレジットカードにて決済を行います。 カード情報の変更・更新が必要な場合は、下記URLよりお手続きをお願いいたします。 h**ps://help.sakura.ad.jp/purpose_beginner/2519/ (※偽サイトへのリンク) ※今回の請求分につきましては、自動での再引き落としは行われません。上記【1】または【2】の方法で直接お支払いください。 ご不明な点などございましたら、本メールへの返信ではなく、下記サポートサイトよりお問い合わせください。 今後ともさくらインターネットをよろしくお願い申し上げます。 ━━━━━━━━━━━━━━━━━━━━━━━━━━━━━ さくらインターネット株式会社カスタマーセンター ■サポートサイト:h**ps://help.sakura.ad.jp/ (※偽サイトへのリンク) ■お問い合わせ:h*ps://help.sakura.ad.jp/contact/ (※偽サイトへのリンク) ※メールは24時間365日受け付けております(返信は営業日時間内となります)。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(メールが通過したサーバーの記録):
① tech-mnq5s7.sunhaidandan.com [106.185.144.216]
↓(メール送信元・攻撃者のサーバー)
② *****02.******.** [210.134.51.7]
↓(受信側中継サーバー)
③ fmail21.*****.** [203.142.207.220]
↓(受信側中継サーバー)
④ *****.*****.**
↓(受信者側サーバー(非公表))
⑤ 受信者のメールボックスへ到達
【偽装判定】:
正規のさくらインターネットからのメールは @sakura.ad.jp または @sakurainternet.co.jp ドメインから送信されます。本メールの送信ドメイン sunhaidandan.com はさくらインターネットとは一切関係のない第三者ドメインです。
SPF Pass の罠:
本メールはSPF認証を「Pass」しています。これは攻撃者が sunhaidandan.com のDNSを自ら設定しているためであり、「認証に通過した=本物」とは限りません。メールソフトが「安全」と判断してしまう高精度な偽装です。
発信元ロケーション解析:
IP:106.185.144.216 / ホスティング:Akamai Technologies(旧Linode)東京リージョン
推定所在地:東京都(日本国内VPS)
※ジオロケーション情報は実際の所在地と異なる場合があります。
【ip-sc.netで調査する】 【Whoisで調査する】
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):
hxxps://www.xacerestoration[.]com/secure-vps/login
リンクドメイン:xacerestoration.com
偽装内容:さくらインターネット会員認証画面を精巧に模倣。本物と見分けがつかないほど作り込まれており、会員IDとパスワードを入力させて盗み取ることが目的です。
サーバーIP:調査時点でDNS失効を確認(ドメイン停止済みの可能性あり)
【セキュリティソフトの検知状況】:フィッシングサイトとして検知・ブロック済み
■ セキュリティソフトによる警告画面
実際にリンク先へアクセスしようとすると、セキュリティソフトが「このWebサイトは安全ではない可能性があります」と警告を表示してブロックしました。これが詐欺サイトである証拠のひとつです。
そしてたどり着いたのは立派な詐欺サイトでした。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。リンク先の状態は調査日以降に変化している場合があります。
■ 注意点と対処法
- URLをクリックしない:リンク先はさくらインターネットの会員認証画面に見せかけた偽サイトです。絶対にIDやパスワードを入力しないでください。
- 送信元アドレスを確認する:差出人の表示名が「さくらインターネット」であっても、メールアドレスが
@sakura.ad.jp以外であれば偽物です。 - 公式サイトから直接ログイン:不審なメールを受け取った場合は、リンクをクリックせず、ブックマークや検索エンジンから正規のさくらインターネット会員メニューにアクセスしてください。
- もしIDを入力してしまったら:すぐに公式サイトからパスワードを変更し、さくらインターネットのサポートに連絡してください。
- 公式の注意喚起を確認:さくらインターネット フィッシングメールに関するご注意
📋 まとめ
「決済エラー」という焦りを演出し、さくらインターネットの会員認証画面に見せかけた偽サイトへ誘導してIDとパスワードを盗み取る——これが今回の詐欺の全貌です。SPF認証をPassさせ、メール本文の書式もサポートサイトのURLも本物そっくりに偽装した、精度の高い攻撃です。さくらインターネットをご利用のご家族・お知り合いは今この瞬間も同じメールを受け取っているかもしれません。「気をつけて!」のひと言を添えて、この記事のURLをLINEグループで共有してあげてください。
本記事の調査日:2026年6月3日 ※フィッシングサイトの状態・IPジオロケーション情報は調査日以降に変化している場合があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net / さくらインターネット 公式サイト
