【実録・閲覧注意】「お支払いは正常に処理されました」はゆうちょ銀行を騙る詐欺!薬局サーバー乗っ取り+Cloudflare悪用の二重工作を徹底解説
🔴 緊急度:高
⚠️ このメールは真っ赤な偽物です ⚠️
「ゆうちょ銀行からの支払い通知」を装っていますが、送信元は乗っ取られた調剤薬局のサーバーを踏み台にした詐欺師です。
▼ 実際に届いた詐欺メール(スクリーンショット)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
支払い処理が完了しました お振込金額:50,274円 送金人:ゆうちょ銀行(取引番号 FED2511937204618) 送金日:2026年6月3日 支払い通知を見る ※リンクを無効化しています 佐藤 美咲 買掛金
このメールの手口のポイントを解説します。
まず「支払い処理が完了しました」という通知型の手口です。「請求」ではなく「完了通知」にすることで、「自分が知らないうちに引き落とされた!?」という焦りを引き起こします。¥50,274という中途半端な金額もリアリティを演出するための工夫です。
次に「取引番号 FED2511937204618」の記載です。ランダムな英数字でも、それらしい番号があるだけで受信者は「本物かもしれない」と思い込みやすくなります。
また、署名に「佐藤 美咲/買掛金」と実在しそうな日本人名を使っている点も見逃せません。会社の経理担当者からの通知を装うことで、ビジネスメールとして読んでしまう人を狙っています。
■ 送信ルート及び偽装判定
🔍 Receivedヘッダー解析(メールの通過証跡):
Receivedヘッダーとは、メールが通過したサーバーが自動的に記録する「配達証明書」のようなものです。一番古いヘッダーを見ることで、メールがどこから旅を始めたかがわかります。
Received: from WIN-M5QVLJOMNJ (unknown [149.36.50.27])
→ 最終受信ホップ:受信者側サーバー(非公表)
【偽装判定】:
今回最も危険な点は、Received-SPFの結果が「Pass(合格)」だったことです。
SPF認証とは「このドメインからメールを送ってよいIPアドレス」をドメインオーナーが事前に登録しておく仕組みです。今回の送信元IP 210.154.215.12 は asai-pharmacy.co.jp のSPFレコードで「許可されたIP」と認識されています。つまり調剤薬局のメールサーバーまたはアカウントが何らかの形で攻撃者に乗っ取られている可能性が極めて高いということです。
SPF Passのメールは多くのスパムフィルターを素通りします。「[spam]」タグが付かずに届くケースもあり、一般的な詐欺メールより遥かに見破りにくい状態です。
📍 送信元IPアドレス:210.154.215.12
※IPジオロケーション(IPアドレスからの位置情報推定)は調査時点のものです。IPアドレスの割り当て状況は日々変化するため、現在の所在地と異なる場合があります。
■ フィッシングサイト詳細解析
誘導先URL(無効化・伏せ字):
hxxps://pub-9f4071cb86cd4e7480aa5d6289bb07bd.r2[.]dev/system.html
⚠️ Cloudflare R2 悪用の解説:
このURLの r2.dev というドメインに注目してください。これは世界最大級のCDN(コンテンツ配信ネットワーク)企業 Cloudflare が提供するオブジェクトストレージサービス「R2」のドメインです。詐欺師は正規のクラウドサービスに偽ページをアップロードすることで、次の二つの効果を狙っています。
- セキュリティソフトによるブロックを回避しやすい:Cloudflareは信頼性の高い大手サービスのため、URLだけでは判定が難しいケースがあります
- サーバーの特定・停止が困難:Cloudflareのインフラを使うことで、IPアドレスを特定してもサービス停止が容易ではありません
つまり「信頼できるサービスの陰に隠れる」という非常に卑劣な手口です。
フィッシングサイトIP:104.18.50.34(Cloudflare CDN)
※IPジオロケーション(IPアドレスからの位置情報推定)は調査時点のものです。Cloudflareはグローバルにサーバーを分散しているため、現在の所在地と異なる場合があります。
詳細情報:ip-sc.net で 104.18.50.34 を調査する
【偽サイトの特徴】:
- 「アカウントログインする」というシンプルな汎用ログイン画面
- ユーザー名・パスワードの入力欄のみ(銀行ロゴなし)
- 「© 2026」の著作権表示だけを表示する最低限の偽装
- 日本語選択プルダウンあり(日本人を標的にしていることが明確)
▼ 誘導先の偽サイト(汎用ログイン画面)
上のスクリーンショットをご覧ください。ゆうちょ銀行のロゴもデザインもない、シンプルなログイン画面です。一見して「これが銀行のサイト?」と思うかもしれませんが、ここに入力したユーザー名とパスワードは即座に詐欺師の手に渡ります。ゆうちょ銀行のIDとパスワードを入力してしまった場合、不正ログイン・不正送金の被害につながります。
■ 注意点と対処法
- 身に覚えのない「支払い完了通知」は開かない:ゆうちょ銀行から突然「支払い処理が完了しました」というメールが届いても、すぐにリンクをクリックしないでください。必ず公式アプリか電話で確認を。
- SPF Passでも安全とは限らない:今回のようにSPF認証をPassしていても詐欺メールである場合があります。送信元の表示名・アドレス・内容を総合的に判断してください。
- r2.devドメインのリンクに注意:Cloudflare R2のURLだからといって安全ではありません。見知らぬメールから誘導されたr2.devリンクは開かないようにしましょう。
- 公式サイトへはブックマークかアプリから:ゆうちょ銀行へのアクセスは必ずブラウザのブックマークまたは公式アプリを使ってください。
- 情報を入力してしまった場合は即行動:万が一IDやパスワードを入力してしまった場合は、すぐにゆうちょ銀行へ電話連絡し、パスワード変更・不正利用の確認を行ってください。
📞 ゆうちょダイレクトサポートデスク:0120-992-504 - ゆうちょ銀行の公式注意喚起を確認:
ゆうちょダイレクトを狙った犯罪にご注意ください(公式)
フィッシング詐欺にご注意ください(公式)
📋 本レポートの結論
今回の詐欺メールは、実在する調剤薬局のメールサーバーを乗っ取ってSPF認証をPassさせ、さらにCloudflare R2という信頼性の高いクラウドサービスに偽ログイン画面を設置するという、二重の偽装工作を駆使した極めて悪質なフィッシングです。
「支払い完了」という通知メールで焦りを誘い、ゆうちょ銀行のIDとパスワードを盗む手口です。スパムフィルターを通過しやすいため、普段より高い注意が必要です。メール内のリンクは絶対にクリックせず、常に公式アプリまたはブックマークからアクセスする習慣をつけましょう。
大切な家族・友人が騙されてからでは手遅れです。この記事のURLをコピーして、ぜひ家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年06月04日
免責事項:本記事に掲載しているIPアドレス・ロケーション情報は調査時点のものです。フィッシングサイトのサーバーは短期間で変更・廃棄されるため、現状と異なる場合があります。本情報は注意喚起を目的としており、特定の個人・団体を誹謗中傷するものではありません。
Data Provided by Heartland-Lab Security Research Unit
