【閲覧注意】「メールの送受信が制限されています」——heteml偽装フィッシングメールがリンク先は別ブランドの偽サイトという杜撰な二重偽装
■ 実際に届いた詐欺メール(スクリーンショット)
※以下は実際に受信した詐欺メールの画面です。heteml by GMOペパボの公式ロゴを正確に模倣していますが、すべて偽物です。
⚠️ このメールは公式サイトを装った真っ赤な偽物です ⚠️
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 特別レポート:SPF・DKIM・DMARCすべてPass——正規サービス「Zoho Mail」の悪用
今回のメールヘッダーを解析すると、驚くべき事実が判明しました。通常の詐欺メールは認証チェックで引っかかりますが、本メールはSPF・DKIM・DMARCという3つのメール認証をすべて通過しています。
その理由は、攻撃者がZoho Mail(ゾーホー・メール)という世界中の企業が使っている正規のクラウドメールサービスのアカウントを取得・悪用しているためです。Zoho Mailのサーバー(136.143.188.151)を経由することで、メールフィルターに「正規の送信元から来た信頼できるメール」と判断させています。
送信元サーバー:sender4-g3-151.zohomail360.com [136.143.188.151]
認証結果:SPF=Pass DKIM=Pass DMARC=Pass
ホスティング:Zoho Corporation(インド・米国)正規メールサービス
3つすべての認証がPassでも安全とは限りません。認証は「このサーバーから送られた」ことを確認するだけで「内容が本物かどうか」は確認しません。送信者名とメールアドレスのドメインを必ず確認してください。
■ 二重偽装の発覚:hetemlのメール→全く別のホスティング会社の偽ログイン画面
調査のためリンク先にアクセスしたところ、さらに驚くべき事実が判明しました。メールはhetemlを装っているのに、リンク先に表示されたのは全く別のホスティング会社のログイン画面だったのです。
これは攻撃者が複数のホスティング会社向けフィッシングサイトを使い回しており、メール本文とリンク先のブランドを揃えるのを失念したか、「どのホスティング会社のユーザーでも騙せる」という大雑把な運営をしている証拠です。
→ メールとリンク先のブランドが違う時点で詐欺確定です。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
.heteml by GMOペパボ パスワードの有効期限が切れています セキュリティ保護のため、現在ご利用中のメールアカウントの パスワード有効期限が 切れています。 そのため、メールボックスは一時的に停止されており、 メールの送受信が制限されて います。 ┌──────────────────────────────────┐ メールサービスを再開するには、パスワードの更新が必要です。 下のボタンからお手続きください。 └──────────────────────────────────┘ 【パスワードを更新する】 (※偽サイトへのリンク) 【サポートに問い合わせる】 (※偽サイトへのリンク) 本メールはシステムより自動送信されています。 心当たりがない場合は、サポートまでご連絡ください。
■ 送信ルート及び偽装判定
※受信ヘッダーにはプライバシーに関わる情報が含まれるため、本記事ではスクリーンショットの掲載を省略し、調査結果のみをお伝えします。
送信元サーバー:sender4-g3-151.zohomail360.com(Zoho Mail経由)
送信元IP:136.143.188.151 [Whoisで調査する(ドメイン登録情報の国際標準データベース)]
ホスティング:Zoho Corporation(正規クラウドメールサービス)
SPF認証:Pass
DKIM署名:Pass
DMARC:Pass(3つすべての認証を通過)
Receivedヘッダー解析:
① mx.zohomail.com(Zoho Mailサーバー)
↓(正規クラウドメールサービスを悪用)
② sender4-g3-151.zohomail360.com [136.143.188.151]
↓
③ 受信者側サーバー(非公表)
↓
④ 受信者側サーバー(非公表)
↓
⑤ 受信者のメールボックスへ到達
【偽装判定】:
本物のhetemlからのメールは @heteml.jp または @pepabo.com ドメインから送信されます。本メールの送信ドメイン sporting-tksports.com はhetemlとは一切関係のない使い捨てドメインです。
発信元ロケーション解析:
IP:136.143.188.151 / ホスティング:Zoho Corporation(インド・米国)
※ジオロケーション情報は実際の攻撃者の所在地とは異なる場合があります。
【ip-sc.netで調査する(国内の無料IP調査サービス)】 【Whoisで調査する(ドメイン登録情報の国際標準データベース)】
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):
hxxps://well-solve[.]com/jp/?response=(長いパラメーター)
リンクドメイン:well-solve.com
サイトサーバーIP:35.73.27.113(AWS東京リージョン)
偽装内容:hetemlを装ったメールでありながら、リンク先に表示されたのは全く別のホスティング会社の偽ログイン画面でした。IDとパスワードを入力させてアカウントを乗っ取ることが目的です。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。リンク先の状態は調査日以降に変化している場合があります。
■ 注意点と対処法
- 「メールが止まる」という焦りに注意:仕事でメールを使っている方ほど焦って行動してしまいます。まず落ち着いて送信元メールアドレスを確認しましょう。
- 送信元ドメインを確認する:本物のhetemlからのメールは
@heteml.jpまたは@pepabo.comから届きます。それ以外は偽物です。 - 3つの認証がPassでも安心しない:今回のメールはSPF・DKIM・DMARCすべてを通過しています。認証結果だけで安全を判断しないでください。
- メールとリンク先のブランドが違ったら詐欺:hetemlのメールを受け取ったのにリンク先が別のサービスのログイン画面だったら、確実に詐欺です。
- 公式サイトから直接ログイン:不審なメールを受け取った場合は、ブックマークや検索エンジンから heteml公式サイト に直接アクセスして確認してください。
- heteml公式の注意喚起を確認:【注意喚起】hetemlを騙った不審なメールにご注意ください(heteml公式)
📋 まとめ
「パスワードの有効期限が切れています。メールが止まります」——仕事でメールを使っている方なら思わず焦ってしまう一言です。しかし送信元はスポーツ用品系ドメイン、正規のZoho Mailサービスを悪用して認証を突破し、リンク先は全く別のホスティング会社の偽ログイン画面。これだけの矛盾だらけのメールが、高精度な偽装によって本物に見えてしまう——それが今の詐欺メールの恐ろしさです。レンタルサーバーをご利用の事業者様・フリーランスの方に「気をつけて!」のひと言を添えて、この記事のURLをLINEグループで共有してあげてください。
本記事の調査日:2026年6月3日 ※フィッシングサイトの状態・IPジオロケーション情報は調査日以降に変化している場合があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net / heteml 公式注意喚起
