「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖
このメールはKAGOYAを装った偽物です。リンクをクリックしてIDとパスワードを入力すると、メールアカウントが乗っ取られます。絶対に操作しないでください。
■ 詐欺メール本文の再現
このメール、最初に受信したときはこんな状態でした。
↓受信直後の表示:文字化けで内容が読めない状態
🔍 注目ポイント③:文字化けを利用したスパムフィルター回避
受信した際、本文が文字化けして内容が判読できませんでした。これは意図的な可能性があります。文字化けした状態ではメール本文のテキストがスパムフィルターのキーワード検知を通過しやすくなります。メールクライアントで「平文表示」に切り替えると、初めて詐欺メールの全貌が見えてきます。
↓平文表示に切り替えた状態:詐欺メールの全貌が明らかに
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。絶対にクリックしないでください。
KAGOYA Corporation 重要: お客様の受信メールが保留中です お客様へ Kagoya ウェブメールサービスをご利用いただきありがとうございます。 システムアップグレードに伴うセキュリティプロファイルの不整合により、お客様宛の受信メール3通がサーバー上に一時的に保留されています。 管理番号: 00020714 / 8020135 保留件数: 3件 (Inbound Messages) ステータス: 配信待機中(要同期) 検知日時: 2026年06月01日 保留されているメールの確認および配信再開は、以下の管理画面よりプロフィールの更新を行ってください。 ▼ 受信トレイの同期・再ログイン 【偽リンク・クリック厳禁】https://inbrachemicals.com/kagoya/activemailkagoya.html【偽リンク・クリック厳禁】 リンクが機能しない場合は、以下のURLをブラウザに貼り付けてください: 【偽リンク・クリック厳禁】https://webmail.kwwwa.ne.jp/auth/inbox-sync/【偽リンク・クリック厳禁】 -- KAGOYA Corporation 〒140-0002 東京都品川区東品川 4-12-4 品川シーサイドパークタワー © KAGOYA Corporation. All rights reserved. このメールはシステムから自動送信されています。返信はご遠慮ください。
🔍 注目ポイント①:「kwwwa」というタイポスクワッティング
予備URLの webmail.kwwwa.ne.jp をよく見てください。正規のWebメールアドレスによく含まれる「www」が「kwwwa」に変わっています。一見すると気づきにくいこの手法をタイポスクワッティング(typosquatting)といいます。素早く読んだ際に正規URLと誤認させることを狙った巧妙な偽装です。なお kwwwa.ne.jp 自体はDNSが失効しており、現在はアクセスできない状態です。
🔍 注目ポイント②:ブラジルの化学会社サイトを踏み台に
メインのリンク先 inbrachemicals.com は、ブラジルに拠点を置く化学関連企業の正規ウェブサイトです。攻撃者はこの企業のサーバーに不正侵入し、/kagoya/activemailkagoya.html というパスに偽ログインページを設置したと考えられます。無関係の企業サイトを踏み台にすることで、URLフィルタリングをかわす狙いがあります。
↓リンク先の偽ログイン画面(Active!mail偽装)
■ 送信ルート及び偽装判定
Receivedヘッダー解析(メールの出発点):
Received: from mta-snd-w11.biglobe.ne.jp (mta-snd-w11.biglobe.ne.jp [27.86.113.27])
by 受信者側サーバー(非公表)(Postfix) with ESMTPS
Sat, 06 Jun 2026 07:18:22 +0900 (JST)
【踏み台判定】:
送信元IPアドレス 27.86.113.27 は、BIGLOBEの正規メール送信サーバー mta-snd-w11.biglobe.ne.jp です。さらに送信元アドレスの mx7.mesh.ne.jp はかつてBIGLOBEに統合された旧meshメールのドメインで、現在はDNSが失効しています。存在しないドメインのメールアドレスからBIGLOBEのサーバーを経由して送信されているという、不審な経路が確認されます。
発信元ロケーション:
BIGLOBE(日本)メールサーバー経由
【Googleマップで確認する】
■ フィッシングサイト詳細解析
誘導先URL①(メインリンク・伏せ字):hxxps://inbrachemicals[.]com/kagoya/activemailkagoya.html
ドメイン:inbrachemicals.com(ブラジルの化学会社サイトを不正侵入・悪用)
サイトサーバーIP:104.21.15.134(Cloudflare CDN経由・実サーバー隠蔽)
誘導先URL②(予備リンク・伏せ字):hxxps://webmail.kwwwa[.]ne.jp/auth/inbox-sync/
ドメイン:kwwwa.ne.jp(「www」を「kwwwa」に変えたタイポスクワッティング)
サイトサーバーIP:[IP取得不可:DNS失効の可能性]
偽サイトの正体:Active!mail(株式会社クオリティア製の正規Webメールシステム)のログイン画面を模倣した偽サイトです。ユーザーIDとパスワードを入力すると、攻撃者のサーバーに情報が送信されます。メールアカウントが乗っ取られると、スパムメールの踏み台として悪用されるケースも報告されています。
※Cloudflare CDNを経由することで実際のサーバー所在地は隠蔽されています。
■ 注意点と対処法
- URLのドメインを必ず確認:KAGOYAの正規WebメールURLに
inbrachemicals.comやkwwwa.ne.jpは含まれません。アドレスバーのドメインをよく確認してください。 - 「kwwwa」に騙されない:「www」を「kwwwa」に変えた偽ドメインは一見気づきにくいですが、必ずアドレスバーを確認する習慣をつけてください。
- SPF「Pass」でも安心しない:今回のように正規サーバーが踏み台にされた場合、SPF・DKIMが合格でも詐欺メールです。
- パスワードを入力してしまった場合:直ちにKAGOYAのサポートセンターに連絡し、パスワードを変更してください。
- 公式注意喚起の参照:カゴヤ・ジャパン:フィッシングメールにご注意ください
📋 本レポートの結論
「受信メールが保留されている」という焦りを煽り、BIGLOBEの正規サーバーを踏み台に、ブラジルの化学会社サイトとタイポスクワッティングドメインという2本立ての誘導URLでメールパスワードを狙う、今回は手口の巧妙さが際立つ事例でした。KAGOYAのWebメールをご利用の方は特にご注意ください。身近な家族や友人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
■ 関連記事(KAGOYA詐欺メール シリーズ)
👉 【第1弾】「12通のメール配信保留中」KAGOYA詐欺メールの正体
👉 【第2弾】「最後の警告」KAGOYA詐欺メールの通信経路を特定
調査日:2026年6月6日
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
【免責事項】本記事に掲載のIPアドレス・ジオロケーション情報は調査時点のものであり、今後変更される可能性があります。掲載内容は注意喚起を目的としたものであり、情報の完全性・正確性を保証するものではありません。本情報をもとに行動した結果について、当サイトは一切の責任を負いかねます。
