「5,000円分ギフトカード当選」のユニクロメールを信じたら偽サイトでは「1,000〜3,000円」に減っていた件——第3弾・新ドメインで懲りずに続くフィッシング詐欺を解析
📌 同一グループによるドメイン使い捨て連続攻撃の記録
| 第1弾 | qhetg.com | 「アプリDLでギフトカード」→第一生命の偽サイトに誘導 |
| 第2弾 | qhetg.com | 同一URL・端末で表示ブランドが動的切り替え |
| 第3弾 ← 今回 | ubvkj.com | GCP送信・Cloudflareクローキング・SMS認証コード詐取 |
このメールはユニクロを装った偽物です。電話番号を入力するとSMS認証コードが詐取され、アカウント乗っ取りに悪用されます。絶対に操作しないでください。
■ 詐欺メール本文の再現
↓実際に届いた詐欺メールのスクリーンショット
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。絶対にクリックしないでください。
UNIQLO アプリ会員限定プログラム 〇〇 様 いつもユニクロをご利用いただき、ありがとうございます。 ユニクロアプリ会員の皆様に感謝を込めて、5,000円分のギフトカードが抽選で当たる特別プログラムをご用意しました。これはアプリ会員限定のご案内です。 ━━━━━━━━━━━━━━━━ ユニクロアプリ会員限定 5,000円分 ギフトカード進呈 抽選で当選者にギフトカードをプレゼント ━━━━━━━━━━━━━━━━ ユニクロのギフトカードは、全国のユニクロ店舗とオンラインストアでご利用いただけます。LifeWearをはじめ、新作アイテムや定番アイテムのお買い物にお使いください。 当選結果はすぐに確認できます。アプリ会員限定のこの機会をぜひお見逃しなく。 【偽リンク・クリック厳禁】ギフトカード進呈を確認する【偽リンク・クリック厳禁】 ギフトカードは本日中にご確認ください ご確認期限:2026年6月30日(火)まで ※ お手続きにはご本人確認のため携帯電話番号の入力が必要です。 株式会社ユニクロ 〒107-0062 東京都港区南青山2-2-15 ※本メールは送信専用アドレスより配信されております。
さて、メールには「5,000円分」とあります。では実際に偽サイトを確認してみましょう。
↓PCからアクセス:Chrome SafeBrowsingが「危険なサイト」として検知・ブロック
↓PCからアクセス(警告突破後):アクセス拒否画面(クローキング)
↓スマートフォンからアクセス:偽UNIQLOギフトカードサイト(電話番号入力を要求)
🔍 注目ポイント:メールと偽サイトで金額が違う
勧誘メールには「5,000円分のギフトカードが抽選で当たる」とあります。しかし実際に偽サイトを開いてみると「お客様に1,000〜3,000円分のユニクロギフトカードが当たりました!」と表示されます。釣り文句と実際の表示で最大5,000円の差があります。嘘をついて誘い込んでおいて、着地点でも別の金額を提示するという、詐欺師が自ら詐欺的な表記をしてしまっている珍しいケースです。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(メールの出発点):
Received: from ubvkj.com (unknown [35.212.167.75])
by 受信者側サーバー(非公表)(Postfix) with ESMTPS
Fri, 05 Jun 2026 16:46:59 +0900 (JST)
【偽装判定】:
正規のUNIQLOからのメールは必ず @uniqlo.com または @mail.uniqlo.com ドメインから送信されます。本メールの送信元 PECYBO@yispfhff.admin.ubvkj.com はUNIQLOとは一切無関係の第三者ドメインです。送信IPアドレス 35.212.167.75 はGoogle Cloud Platform(GCP)のサーバーであり、これまでの第1〜3弾と同様のインフラ構成です。
発信元ロケーション:
Google Cloud Platform(米国)経由
【Googleマップで確認する】
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://login.1144pk[.]com/?d9n8S9bXq2YT
リンクドメイン:1144pk.com(ルートドメイン自体はDNS失効)
サイトサーバーIP:104.21.2.148(Cloudflare CDN経由・実サーバー隠蔽)
クローキング(端末による表示切り替え):
・PC → Chrome SafeBrowsing「危険なサイト」警告 → アクセス拒否画面
・スマートフォン → 偽UNIQLOギフトカードサイト(電話番号→SMS認証コード入力)
偽サイトの手口:電話番号を入力させ、SMS認証コードを送信させることで携帯電話番号を詐取。さらに認証コードを入力させることで、各種サービスへの不正ログインや乗っ取りに悪用される恐れがあります。
※Cloudflare CDNを経由することで実際のサーバー所在地は隠蔽されています。
■ 注意点と対処法
- 電話番号を入力しない:偽サイトに電話番号を入力すると、SMS認証コードが詐取されアカウント乗っ取りに悪用されます。
- SMS認証コードを入力しない:見知らぬサイトから求められた認証コードは絶対に入力しないでください。
- ドメインを確認する:UNIQLOの公式サイトは
uniqlo.comのみです。1144pk.comのような無関係なドメインは偽サイトです。 - 金額の矛盾に気づく:メールと偽サイトで金額が違う場合は詐欺の証拠です。
- 公式注意喚起の参照:ユニクロ:フィッシング詐欺メールにご注意ください
📋 本レポートの結論
ユニクロを騙る詐欺グループは、ドメインを qhetg.com → qhetg.com(続報) → ubvkj.com と乗り換えながら同じ手口での攻撃を続けています。Cloudflareによるクローキングで調査者を弾き、スマートフォンユーザーだけを狙う巧妙な手口です。なお、メールで「5,000円分」と謳っておきながら偽サイトでは「1,000〜3,000円分」と表示するあたり、詐欺師の杜撰さも相変わらずです。身近な家族や友人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
■ 関連記事(ユニクロ詐欺メール シリーズ)
👉 【第1弾】「アプリDLでギフトカード」→第一生命の偽サイトに誘導された件
👉 【第2弾】同一URLで端末によって表示ブランドが動的に切り替わる件
👉 UNIQLO関連の詐欺メール注意喚起記事一覧
調査日:2026年6月6日
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
【免責事項】本記事に掲載のIPアドレス・ジオロケーション情報は調査時点のものであり、今後変更される可能性があります。掲載内容は注意喚起を目的としたものであり、情報の完全性・正確性を保証するものではありません。本情報をもとに行動した結果について、当サイトは一切の責任を負いかねます。
