【実録】「iCloudのお支払いに問題が」——Apple Accountを騙る詐欺メール、送信元はドイツ・フィッシングサイトはCloudflare隠蔽の2段階構造だった
このメールはApple(アップル)とは無関係の、真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループで共有してください。
届いた詐欺メールの内容
まず、実際に届いたメールをご覧ください。一見するとAppleからの正規メールに見えます。
▼ メール本文スクリーンショット
※以下は届いた詐欺メールを技術検証のために忠実に再現したものです。記載のリンクには絶対にアクセスしないでください。
差出人:[iCloud請求書] <icloud.no-reply@acxi.com>
件名:Apple Accountのお支払い情報をご確認ください
🍎 お支払い方法の問題
iCloud
200 GBのiCloud+(1か月)
JCT(10%)を含む ¥41
月額¥450
お支払い方法の問題
〇〇 様
お客様のお支払い方法に問題があるため、このサブスクリプションを更新できない可能性があります。サービスを引き続きご利用いただけるよう、お支払い情報を更新してください。
お支払い情報の更新(※このボタンは詐欺サイトへのリンクです。絶対にクリックしないでください)
今後ともよろしくお願いいたします。
Apple
サブスクリプションや購入に関するサポートが必要な場合は、Appleサポートにアクセスしてください。
Apple Account · 販売条件 · プライバシーポリシー
Copyright © 2026 iTunes K.K. All rights reserved
デザインの完成度は高く、Appleの実際のメールレイアウトを忠実に再現しています。月額450円という具体的な金額の記載、サービスロゴ、著作権表記(Copyright © 2026 iTunes K.K.)まで揃っており、受け取った瞬間に本物と見分けることは容易ではありません。
しかしヘッダー情報を分析すると、この「請求書」の正体はたちまち明らかになります。
送信ルート及び偽装判定
■ Receivedヘッダー解析(サーバー通過証明)
メールが送信者から受信者に届くまでの経路(通過したサーバーの記録)を解析しました。最古のホップ(出発点)に注目します。
Received: from w53839-tochigi451.tochigi.kddi.ne.jp
X-Originating-IP: 193.239.154.138
Received-SPF: Softfail (domain owner discourages use of this host)
client-ip=193.239.154.138;
envelope-from=icloud.no-reply@acxi.com【偽装判定】
正規のAppleからのメールは @apple.com または @email.apple.com などのApple公式ドメインから送信されます。本メールの送信元アドレス icloud.no-reply@acxi.com の「acxi.com」はAppleとは一切無関係のドメインです。
さらに、そのドメインのDNSに登録されたIPアドレスとは異なるサーバー(193.239.154.138)から送信されており、SPF認証がSoftfailとなっています。これはドメイン所有者自身が「このIPからの送信は正規ではない」と宣言しているようなものです。つまり、偽装であることが技術的に証明されています。
送信元ドメイン(acxi.com)のサーバー:
IPアドレス:89.31.143.90
所在地:ドイツ連邦共和国・カールスルーエ(united-domains GmbH)
【Googleマップで位置を確認する】
※ロケーション情報はIPアドレスに基づく推定であり、調査時点のものです。実際の攻撃者の所在地と異なる場合があります。
フィッシングサイト解析:2段階の罠
メール内の「お支払い情報の更新」ボタンをクリックすると、まずCloudflare(クラウドフレア)の人間確認画面が表示されます。これはボットによる自動解析を妨害するための仕掛けです。
▼ Cloudflare人間確認画面(第1段階)
「続行」をクリックすると、今度は精巧なApple Accountのログイン画面(第2段階)が表示されます。
▼ Apple Account偽ログイン画面(第2段階)
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):
hxxps://kaiyuan15[.]cyou/activity/promotion
ドメイン:kaiyuan15.cyou
「kaiyuan(开源)」は中国語で「オープンソース」を意味する単語です。
サイトサーバーIP:104.21.48.160
ホスト:Cloudflare, Inc.(CDN)
Cloudflareを経由することで、フィッシングサイトの実際のサーバー所在地が隠蔽されています(クローキング)。
【サイトの仕掛け】
① Cloudflare人間確認 → ② Apple Account偽ログイン画面、という2段階構造になっています。最初の確認画面はセキュリティ研究者による自動解析を妨害するための盾として機能しています。
※ロケーション情報はIPアドレスに基づく推定であり、調査時点のものです。Cloudflare CDN経由のため実際のサーバー所在地は不明です。
「Cloudflareクローキング」とは?
本件のフィッシングサイトは Cloudflare(クラウドフレア) というCDN(コンテンツ配信ネットワーク)サービスを悪用しています。これを「クローキング(隠蔽)」と呼びます。
通常のアクセス: あなたのPC → Cloudflare(中継) → 詐欺サーバー(場所不明)
Cloudflareが「壁」となって詐欺サーバーの本当のIPアドレスを隠してしまうため、セキュリティ機関が追跡・削除要請を行うことが難しくなります。つまり詐欺師にとっては「身元を隠しながら攻撃できる便利な盾」として使われているのです。
注意点と対処法
■ このメールを受け取ったら
- メール内のリンクは絶対にクリックしない:「お支払い情報の更新」ボタンは偽サイトへの入口です。
- 公式アプリやブックマークから確認:iCloudやApple Accountの確認は、必ず設定アプリまたはブックマーク済みの account.apple.com から行ってください。
- 送信元アドレスを確認する:正規のAppleメールは
@apple.comまたは@email.apple.comドメインから届きます。それ以外のドメインは偽物です。 - 情報を入力してしまった場合:すぐにApple Accountのパスワードを変更し、クレジットカード会社にも連絡してください。
- Appleへの報告:フィッシングメールは reportphishing@apple.com に転送して報告できます。
Apple公式の参考情報:
・Apple Accountの不正利用が疑われる場合(Apple サポート)
・フィッシングメールや偽のサポート電話などの詐欺を見抜き、被害に遭わないようにする(Apple サポート)
本レポートの結論
今回のフィッシングメールは、Apple公式のデザインを精巧に模倣しつつ、ドイツ発のサーバーとCloudflare CDNを組み合わせた2段階の隠蔽工作を施した高度な詐欺です。SPF Softfailという明確な偽装の証拠が残っているにもかかわらず、見た目の完成度に騙されて情報を入力してしまう方が後を絶ちません。
Apple製品のユーザーは非常に多く、この手口の被害者予備軍は日本中にいます。「自分には関係ない」ではなく、身近な家族や友人が今まさに同じメールを受け取っているかもしれません。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
■ 関連記事
Apple・iCloudをかたる詐欺メールの関連記事はこちらの検索結果からご覧いただけます。
調査日:2026年6月7日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
