「Chromiumブラウザの脆弱性（0-day）緊急アップデート」は詐欺！社内セキュリティ部を装いAzureサイトへ誘導するサポート詐欺メールの手口を解説

■ メールヘッダー解析（送信者情報）

件名：【重要】Chromiumブラウザの脆弱性（0-day）に伴う緊急アップデート対応のお願い

送信者名：admin（社内の情報セキュリティ管理者を装った表示名）

送信元アドレス：admin@[非公表].jp

送信元IP：109.228.95.195（adsl-109-228-18131.crnagora.net／モンテネグロ共和国のISP（インターネット接続業者）経由）

受信日時：2026年6月7日（日）22:41:48 +0900

SPF認証：Softfail（送信元として非推奨のサーバーから送信されたことを示す。怪しいと判定）

DKIM署名：なし（メールの改ざん防止署名が存在しない）

⚠️ 注意：日曜日の夜22時台という、社内の情報セキュリティ部がメールを送るとは考えにくい時間帯に受信しています。

このメールは社内セキュリティ部を装った詐欺です。リンクをクリックしても、電話をかけても絶対にいけません。この解析結果を職場や家族のグループに転送して注意喚起してください。

📲 LINEで家族・職場に共有する

• 1. 詐欺メール本文（忠実再現）
• 2. この詐欺はどのように行われるのか
• 3. 送信ルート及び偽装判定
• 4. 詐欺サイト詳細解析
• 5. 注意点と対処法

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

社員の皆様へ

お疲れ様です。情報セキュリティ部です。

現在、業務で使用しているChromium系ブラウザ（Google Chrome / Microsoft Edge）において、
既に悪用が確認されている重大な脆弱性（0-day）が発見されました。
本日中にPCのブラウザ環境を最新の状態に更新する必要があります。

以下の社内特設ページにアクセスし、手順に従ってパッチの適用（アップデートの確認）を完了させてください。

？ブラウザアップデート確認ページ：
https://zisadisan.z1.web.core.windows.net/（※リンク無効化済み）

※本対応は、本日20:00までに必ず実施をお願いいたします。
ご協力のほど、よろしくお願いいたします。

■ BEC型サポート詐欺の仕掛け

1. 【Step 1】社内の権威ある部署を装う：「情報セキュリティ部」という社内の権威ある部署を名乗ることで、受信者に「会社からの指示だから従わなければ」という心理的プレッシャーを与えます。これを「BEC（ビジネスメール詐欺）」と呼びます。
2. 【Step 2】「0-day脆弱性」という専門用語で焦らせる：「0-day（ゼロデイ）脆弱性」とは、まだ修正パッチ（対策ソフト）が存在しない危険なセキュリティ上の弱点のことです。攻撃者はこの言葉を使って「すぐに対処しないと大変なことになる」という恐怖心を煽ります。
3. 【Step 3】Microsoftの正規ドメインで信頼させる：誘導先URLが windows.net というMicrosoftの正規ドメインを使っているため、一見すると安全なサイトに見えます。これはMicrosoftが提供するクラウドサービス「Azure Static Web Apps（アジュール スタティック ウェブアップス）」を攻撃者が無料または安価に利用して構築したものです。
4. 【Step 4】偽Windows Defender画面で電話させる：サイトにアクセスすると「Windows Defender（ウィンドウズ ディフェンダー）」というWindowsの純正セキュリティソフトを偽装した警告画面が表示され、「悪意のある木馬プログラムを検出（識別コード：#DX4K9R2P）」という偽の警告とともに架空の「テクニカルサポート」電話番号が表示されます。
5. 【Step 5】電話口でお金を騙し取る：表示された番号（0101-84448-62853）に電話すると、偽のサポートスタッフが「ウイルス除去のため」と称してリモートアクセスソフトのインストールを求めたり、「修理費用」として数万円〜数十万円を要求したりします。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダー（メールがどのサーバーを経由してきたかの通過記録）の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from adsl-109-228-18131.crnagora.net (unknown [109.228.95.195]) by 受信者側サーバー（非公表） with ESMTP

【偽装判定】：
送信元アドレスはいかにも社内管理者らしい表示名になっていますが、実際の送信サーバーは東欧・モンテネグロ共和国のISP（インターネット接続業者）のADSL回線（crnagora.net）から送信されています。SPF認証がSoftfailとなっており、正規の送信元ではないことが明らかです。日本の社内ネットワークとはまったく無関係のサーバーです。

送信元IP：109.228.95.195（モンテネグロ共和国）
Googleマップ：【位置情報を確認する（モンテネグロ付近）】

■ 詐欺サイト詳細解析

誘導先URL（伏せ字）：hxxps://zisadisan.z1.web.core.windows[.]net/（一部伏せ字）

ドメインの種類：Microsoft Azure Static Web Apps（マイクロソフトが提供する正規クラウドサービス）を悪用。windows.net はMicrosoftの正規ドメインであるため、一見すると公式サイトに見えるが、サブドメイン（ドメイン名の前の部分）「zisadisan」は攻撃者が自由に設定したものであり、Microsoftとは無関係。

サイトIP：20.150.125.196（Microsoft Azure / 米国）
Googleマップ：【位置情報を確認する（米国・カリフォルニア州）】

表示される偽電話番号：0101-84448-62853（架空のテクニカルサポート番号。絶対にかけないこと）

【サイトの状態】：Google ChromeのGoogle セーフ ブラウジングで危険なサイトとして検出済み。強制アクセスすると偽Windows Defender警告画面が表示され、架空電話番号への発信を促す。

■ このようなメールが届いた場合の対処法

1. リンクをクリックしない：URLが「windows.net」などMicrosoftの正規ドメインに見えても、クリックしてはいけません。サブドメイン部分（最初の「//」の直後）が見慣れない文字列であれば偽サイトの可能性が高いです。
2. 電話番号に電話しない：画面に表示された電話番号は架空です。本物のMicrosoftやWindowsがウェブページ上に電話番号を表示して「今すぐ電話してください」と促すことは絶対にありません。
3. 社内の正規ルートで確認する：「情報セキュリティ部からのメール」と思ったら、リンクをクリックせず、社内の正規の連絡手段（電話・社内チャット等）で直接確認してください。
4. 既に電話してしまった場合：すぐに電話を切り、クレジットカード情報や銀行口座情報を伝えた場合はカード会社・銀行に連絡してください。リモートアクセスソフトをインストールした場合はPCをネットワークから切断して専門家に相談してください。
5. 公式注意喚起の参照：テクニカルサポート詐欺からの保護（Microsoft公式）

■ 関連記事

当ブログではさまざまな詐欺メールを取り上げています。あわせてご覧ください。
サポート詐欺 関連記事一覧

本レポートの結論

本件は社内の情報セキュリティ部を装い「0-day脆弱性」という専門用語で受信者を焦らせ、Microsoftの正規クラウドサービス（Azure）を悪用した偽サイトへ誘導するBEC型サポート詐欺です。誘導先に表示される偽Windows Defender警告画面は、Windowsの設定画面を精巧に模倣しており、パソコンに不慣れな方が見れば本物と区別がつきません。「会社からの業務連絡」「Microsoftのドメイン」という二重の信頼感を悪用した巧妙な手口です。本物のMicrosoftや社内IT部門がウェブ上に電話番号を表示して「今すぐ電話を」と促すことはありません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、職場や家族のグループで『これ気をつけて！』と共有してあげてください。