「稼働状況をご確認いただけます」は詐欺!架空サービスを装いbankinghuzhuへ誘導するフィッシングメールの手口を解説
🔴 緊急度:高
| 緊急性レベル | ★★★☆☆(3/5) |
| 偽装工作精度 | ★★★☆☆(3/5)架空ブランド+デバイス判別クローキング+Cloudflare経由 |
■ メールヘッダー解析(送信者情報)
件名:稼働状況をご確認いただけます
送信者名:“Support”(具体的なサービス名なし)
送信元アドレス:d4qa76aqc@d4qa76aqc.grupofabricas.com(スペイン語圏・製造業系ドメインを悪用)
送信元ドメインIP:104.198.81.21
受信日時:2026年6月8日(月)16:24:39 +0900
SPF認証:Softfail(送信元として非推奨のサーバーから送信されたことを示す。怪しいと判定)
DKIM署名:Pass(d=d4qa76aqc.grupofabricas.com)
Feedback-ID:airtrip経由(正規のメール配信プラットフォームを不正利用している可能性)
▲ 実際に届いた詐欺メール。「サーバー状態確認のご案内」とあるが、何のサービスかを一切名乗っていない。黄色いボタン「動作状況を確認する」を押させることだけが目的。
このメールは架空のサービスを装った詐欺メールです。「動作状況を確認する」ボタンは絶対に押してはいけません。この解析結果を家族のLINEグループに転送して注意喚起してください。
詐欺メール本文(忠実再現)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
サーバー状態確認のご案内 平素よりご利用いただき、誠にありがとうございます。 先般実施した設備基盤の保全確認が完了し、現在はすべての処理機能が正常に稼働 しております。点検期間中は一部の内部処理におきまして通常よりお時間をいただ く場合がございました。 対象期間の対応経過につきましては、下記のボタンより詳細をご覧いただけます。 [ 動作状況を確認する ](※リンク無効化済み) 本メールはシステム配信のため、返信いただいてもお答えできません。ご疑問は専用お問い合わせ窓口よりご連絡ください。
「架空ブランド詐欺」の手口
■ なぜサービス名を名乗らないのか
通常のフィッシングメールは「Amazon」「楽天」「JCB」など特定のブランドを装います。しかし本件のようにあえてサービス名を明かさない手口も存在します。これを「架空ブランド詐欺(フェイクブランドクリエーション)」と呼びます。
特定のブランド名を使わないことには次のような狙いがあります:
- 幅広い標的を狙える:「Amazon詐欺」はAmazonを使っていない人には効きませんが、「何のサービスか不明」なメールは誰でも「自分が使っているサービスかも」と思わせることができます。
- ブランド名による検索・判定をすり抜ける:「Amazon 詐欺メール」のような検索にひっかかりにくくなります。
- セキュリティソフトの検出を回避しやすい:特定のブランドに対するフィッシング検知ルールが適用されにくくなります。
■ 「bankinghuzhu」ドメインの正体
誘導先ドメイン「bankinghuzhu.com」を分解すると:
- banking(バンキング):英語で「銀行業務」を意味する
- huzhu(护助):中国語で「サポート・支援」を意味する
つまり「銀行サポート」を意味するドメイン名であり、銀行・金融系の個人情報(口座番号・暗証番号・クレジットカード情報など)の詐取を目的としたフィッシングサイトである可能性が極めて高いと判断しています。
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダー(メールがどのサーバーを経由してきたかの通過記録)の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from d4qa76aqc.grupofabricas.com (qp1z4mwc5.grupofabricas.com [35.200.18.249]) by 受信者側サーバー(非公表) with ESMTPS
【偽装判定】:
送信元ドメイン「grupofabricas.com」はスペイン語圏の製造業系ドメインであり、日本の金融機関やサービス事業者とは無関係です。SPFがSoftfailとなっており、正規の送信元でないことが示されています。また「d4qa76aqc」というランダム文字列がドメイン名として使われており、使い捨て目的で取得されたものと判断されます。
送信元ドメインIP:104.198.81.21
Googleマップ:【位置情報を確認する(米国・カリフォルニア州)】
フィッシングサイト詳細解析
このフィッシングサイトはパソコンとスマートフォンで異なるエラーを返す「デバイス判別クローキング(端末の種類によって表示内容を切り替える偽装手法)」を採用しています。パソコンからはタイムアウトエラー、スマートフォンからは404エラー(ページが見つからないというエラー)が返され、調査時点ではいずれの端末からも詐欺コンテンツへのアクセスはできない状態でした。
▲ ウイルスバスター クラウドによる警告画面。「フィッシング」として正確に検出・ブロックされている。
▲ パソコンからアクセスするとタイムアウトエラーが返される。
▲ スマートフォンからアクセスすると404 Not Found(ページが存在しない)エラーが返される。パソコンとスマートフォンで異なるエラーを返すデバイス判別クローキングの痕跡。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://bankinghuzhu[.]com/tn/lo/go/yum/(一部伏せ字)
フィッシングドメイン:bankinghuzhu.com(「銀行サポート」を意味する中国語混じりのドメイン)
サイトサーバーIP:104.21.65.13(Cloudflare(クラウドフレア)CDN経由:104.16.0.0/12範囲)
Googleマップ:【位置情報を確認する(米国・カリフォルニア州)】
【サイトの状態】:ウイルスバスター クラウドでフィッシングサイトとして検出・ブロック済み。パソコンからのアクセスはタイムアウト、スマートフォンからのアクセスは404エラーを返すデバイス判別クローキングを実装。調査時点ではいずれもコンテンツへのアクセス不可。
※攻撃者がドメインやURLを随時変更している可能性があります。ウイルスバスターによるブロックが確認されているため、引き続き注意が必要です。
注意点と対処法
■ このようなメールが届いた場合の対処法
- サービス名が書かれていないメールは詐欺:「稼働状況をご確認ください」「サーバー状態確認」など、何のサービスかを名乗らないメールは詐欺と判断して問題ありません。正規のサービスは必ず自社名を名乗ります。
- リンクをクリックしない:心当たりのないメールのボタンやURLは絶対にクリックしないでください。現在エラーが表示されていても、URLが悪用され続けている可能性があります。
- 既にクリックしてしまった場合:ウイルスバスターなどのセキュリティソフトが警告を出した場合は、そこで止まってください。個人情報の入力は絶対にしないでください。
- 銀行・金融系の情報を入力してしまった場合:すぐに該当の銀行やカード会社に連絡し、アカウントの利用停止・パスワード変更を行ってください。
■ 関連記事
当ブログではさまざまな詐欺メールを取り上げています。あわせてご覧ください。
フィッシング詐欺 関連記事一覧
本レポートの結論
本件はサービス名を一切名乗らず「稼働状況の確認」という曖昧な文面で誰でも「自分宛かも」と思わせる架空ブランド詐欺メールです。誘導先ドメイン「bankinghuzhu(銀行サポート)」から銀行・金融系情報の詐取が目的と判断されます。パソコンとスマートフォンで異なるエラーを返すデバイス判別クローキングも実装されており、セキュリティ研究者による調査を妨害しています。「身に覚えがない=詐欺」——このシンプルな原則を覚えておくだけで被害を防ぐことができます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月8日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
