「昇進候補者名簿の権限設定が誤って全社公開されました」というメールを開いたら、なぜかWindows Defenderの偽警告が出てきた件
このメールは社内メールを装った詐欺です。リンクをクリックするとWindows Defenderの偽警告が表示され、架空のサポート番号への電話を誘導されます。絶対に操作しないでください。
■ 詐欺メールの二段構造
このメールは「社内人事メール」→「Windowsサポート詐欺」という、全く異なる二つのジャンルをつなぐ奇妙な構造をしています。まず届いたメールの本文をご覧ください。
↓実際に届いた詐欺メールのスクリーンショット
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。絶対にクリックしないでください。
関係者各位 お疲れ様です。人事労務部の担当者です。 先ほど送信いたしました「今期の評価および次期昇進候補者の名簿」について、添付ファイルのアクセス権限の設定に一部誤り (全社公開設定)があったことが判明いたしました。 現在、セキュリティ対策のため該当リンクのアクセス権限を「閲覧制限(認証必須)」に変更いたしました。 すでにファイルをダウンロードされた方は至急破棄していただきますようお願いいたします。 また、情報漏洩防止のため、必ず社内VPNに接続した状態で、以下のセキュリティプロキシ経由にてご自身のアカウントでのアクセス可否 (閲覧制限が正しく機能しているか)をご確認ください。 ?【緊急確認】昇進リスト・給与確定データ(アクセス権限の検証)【偽リンク・クリック厳禁】 ご迷惑をおかけし、大変申し訳ございません。情報漏洩防止のため、速やかな確認作業へのご協力をお願いいたします。 -------------------------------------------------- 人事労務部 給与管理チーム
🔍 注目ポイント①:HTMLエンティティ形式のワードサラダ
メールのソースコードを確認すると、本文の合間に 関係者… という形式の大量のテキストが埋め込まれています。これはHTMLの数値文字参照(文字コードで文字を表現する方式)によるワードサラダです。メール表示上は文字化けして見えますが、スパムフィルターのキーワードマッチングを意図的に撹乱する目的があります。メールクライアントでは文字化けして見えるため、受信者は内容が読めずに困惑し、そのまま削除するか、あるいは「社内システムの問題」と誤認してリンクをクリックしてしまう恐れがあります。
↓ワードサラダ(文字化け状態)のスクリーンショット
では実際にリンク先へアクセスすると何が表示されるのでしょうか。「昇進リスト・給与確定データ」という件名から想像される人事システムのログイン画面? いいえ、全く違うものが現れました。
↓Chrome SafeBrowsing「危険なサイト」警告(アクセス前にブロック)
↓警告を突破した先に表示されたもの:Windows Defenderの偽警告画面
🔍 注目ポイント②:MicrosoftのAzureでMicrosoftを騙る
偽サイトのURL medobase.z9.web.core.windows.net は、Microsoft Azureが提供するStatic Web Apps(静的ウェブサイトホスティング)サービスのドメインです。つまりMicrosoftのサーバーにWindows Defenderの偽警告ページを設置してMicrosoftユーザーを騙るという構図です。windows.net というドメインがMicrosoftの正規ドメインであるため、一見すると本物のMicrosoftページのように見えてしまいます。攻撃者は無料または低コストのクラウドサービスを悪用することで、正規ドメインの信頼性を利用しながら追跡を困難にしています。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(メールの出発点):
Received: from [172.58.210.11] (unknown [172.58.210.11])
by 受信者側サーバー(非公表)(Postfix) with ESMTP
Fri, 5 Jun 2026 22:08:43 +0900 (JST)
【偽装判定】:
送信元ドメイン sansetubi.jp はDNSが失効しており、実在しないドメインから送信されています。SPFは「Softfail」(ドメインオーナーが送信を非推奨と宣言した状態)で、正規の送信元ではないことが確認されています。さらに X-Mailer: Microsoft Outlook 16.0 と記載されており、あたかも社内のOutlookから送信されたかのように見せかけています。
発信元ロケーション:
IPアドレス 172.58.210.11 のロケーション:[調査中]
【Googleマップで確認する】
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://medobase.z9.web.core.windows[.]net/#
ホスティング:Microsoft Azure Static Web Apps(z9.web.core.windows.net)
サイトサーバーIP:57.150.54.171(Microsoft Azure)
偽サイトの内容:Windows Defenderの管理画面を模倣した偽警告ページ。「悪意のあるトロイの木馬プログラムを検出(識別コード:#DX4K9R2P)」と表示し、架空のサポート電話番号 0101-84448-62853 への電話を誘導します。電話をかけると、遠隔操作ソフトのインストールや金銭の要求をされる「サポート詐欺」の被害に遭う恐れがあります。
クローキング:なし(PC・スマートフォンともに同一の偽警告ページが表示)
⚠️ Chrome SafeBrowsing:「危険なサイト」として検知・ブロック済み
■ 注意点と対処法
- 「社内メール」でも送信元アドレスを確認:社内の人事・給与情報を扱うメールは必ず社内ドメイン(自社の正規ドメイン)から送信されます。
sansetubi.jpのような見知らぬドメインは即座に疑ってください。 - 「VPN接続して確認」は危険なサイン:VPN接続を求めることで「業務上の正当な手続き」に見せかける手口です。社内システムへのアクセス確認は、IT部門に直接問い合わせてください。
- Windows Defenderの警告は画面に出ない:本物のWindows Defenderはブラウザ上にポップアップ警告を表示しません。ブラウザに表示されるセキュリティ警告はすべて偽物です。
- 表示された電話番号に絶対電話しない:
0101-84448-62853はサポート詐欺の架空番号です。Microsoftの正規サポート番号は公式サイトで確認してください。 - Chrome SafeBrowsingの警告を無視しない:「危険なサイト」と表示されたら、絶対に「この安全でないサイトにアクセス」をクリックしないでください。
📋 本レポートの結論
「昇進候補者名簿の権限設定誤り」という社内メールを装い、リンク先でWindows Defenderの偽警告を表示してサポート詐欺へ誘導するという、BECとサポート詐欺を組み合わせた新手の二段構え詐欺です。特に職場でKAGOYAやMicrosoft製品を使っている方、テレワーク中の方は標的になりやすいのでご注意ください。身近な同僚や家族にも共有してあげてください。
調査日:2026年6月6日
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
【免責事項】本記事に掲載のIPアドレス・ジオロケーション情報は調査時点のものであり、今後変更される可能性があります。掲載内容は注意喚起を目的としたものであり、情報の完全性・正確性を保証するものではありません。本情報をもとに行動した結果について、当サイトは一切の責任を負いかねます。
