「【重要・親展】ハラスメント行為に関する事実確認へのご協力依頼」は詐欺！人事・コンプライアンス室を装い孤立させてサポート詐欺へ誘導する卑劣な手口を緊急公開

■ メールヘッダー解析（送信者情報）

件名：【重要・親展】ハラスメント行為に関する相談・申立に伴う事実確認へのご協力依頼

送信者名：人事部・ハラスメント相談窓口（人事・コンプライアンス室を偽装）

送信元アドレス：jinji-compliance@[非公表].jp（自組織ドメインを偽装）

送信元IP：114.25.221.121（hinet.net／台湾系ISP）

受信日時：2026年6月9日（火）11:05:51 +0900

SPF認証：Softfail（正規送信元ではないことを示す。怪しいと判定）

DKIM署名：なし

送信ツール：Microsoft Outlook 16.0（Chromium 0-day詐欺・総務部BEC詐欺と同じツール）

⚠️ 注意：業務時間中（11:05）という絶妙なタイミングに届いており、受信者が動揺しやすい時間帯を狙っています。

このメールは詐欺です。どんなに動揺しても、リンクをクリックしても電話をかけても絶対にいけません。「親展」と書かれていても、信頼できる人に相談してください。この解析結果を職場や家族のグループに転送して注意喚起してください。

📲 LINEで家族・職場に共有する

• 1. 詐欺メール本文（忠実再現）
• 2. この詐欺が特に危険な理由——「孤立させる」心理的工作
• 3. ワードサラダ（フィルター回避工作）の検出
• 4. 送信ルート及び偽装判定
• 5. 詐欺サイト詳細解析
• 6. 注意点と対処法

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

社員の皆様へ
（本メールは、人事部・コンプライアンス室より対象者に直接配信されています）

お疲れ様です。人事部・ハラスメント相談窓口です。

当窓口において、社内コンプライアンス規程に基づき、従業員の皆様からの相談を随時受け付けておりますが、
この度、あなたによる「パワーハラスメント（言動、過度な叱責、または精神的圧迫）」に該当する行為があったとして、匿名の相談・申立が行われました。

会社としては、事実関係を正確に把握し、公平な対応を行う必要があります。
そのため、本格的な調査委員会を設置する前に、まずは対象期間におけるご自身の認識について確認をさせていただきたく存じます。

大変重い内容となりますが、以下の社内人事ポータル（保護された専用ページ）にアクセスし、申し立てられた「具体的な発言内容、日時、および状況」をご確認の上、回答期限までに弁明または事実関係のご回答をお願いいたします。

？ハラスメント申立内容の確認および回答ページ（※リンク無効化済み）

※回答期限：明日 17:00まで
※本メールは自動配信であり、返信は受け付けておりません。必ず上記リンクよりご対応ください。
※プライバシー保護のため、本件を他者に口外しないよう厳守をお願いいたします。

■ 3つの心理的罠

1. 「ハラスメント申立」という恐怖：身に覚えがなくても「申立があった」と言われると動揺します。冷静な判断ができなくなります。
2. 「親展」「口外しないよう」という孤立工作：「プライバシー保護のため他者に口外しないよう厳守を」という一文で、信頼できる上司や同僚に相談することを心理的に妨げます。これが最も悪質な部分です。本物の人事部がこのような指示を出すことはありません。
3. 「明日17:00まで」という期限の圧力：考える時間を与えず、焦った状態でリンクをクリックさせようとします。

■ HTMLソース内に仕込まれた「ワードサラダ」

メール本文のHTMLソースには、日本語テキストをHTMLエンティティ（数値文字参照）に変換した文字列が大量に埋め込まれていました。これは「ワードサラダ」と呼ばれる回避手法で、ブラウザ上では普通の日本語として表示されますが、メールサーバーや一部のスパムフィルター（迷惑メール検知機能）はエンティティ文字列のまま解析するため、フィルターをすり抜けやすくなります。

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダー（メールがどのサーバーを経由してきたかの通過記録）の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from 114-25-221-121.dynamic-ip.hinet.net (unknown [114.25.221.121]) by 受信者側サーバー（非公表） with ESMTP

【偽装判定】：
送信元アドレスは自組織の人事・コンプライアンス部門に見えますが、実際の送信サーバーは台湾系ISP「HiNet（ハイネット）」のダイナミックIP（114.25.221.121）からの送信です。SPFがSoftfailとなっており、正規の送信元でないことが証明されています。

送信元IP：114.25.221.121（台湾）
Googleマップ：【位置情報を確認する（台湾・台北付近）】

■ 詐欺サイト詳細解析＆同一グループ確認

誘導先URL（伏せ字）：hxxps://wapafoman.z13.web.core.windows[.]net/（一部伏せ字）

ドメインの種類：Microsoft Azure Static Web Apps（マイクロソフトが提供する正規クラウドサービス）を悪用。windows.net はMicrosoftの正規ドメインだが、「wapafoman」は攻撃者が設定したサブドメイン。

サイトIP：135.130.108.196（Microsoft Azure / 米国）

🔗 同一グループ3度目の確認：以下の3点が当ラボが解析済みの2件と完全一致。

• 偽電話番号：0101-84448-62853——3件すべてで一致
• 識別コード：#DX4K9R2P——3件すべてで一致
• Azure Static Web Appsの悪用：zisadisan.z1→necumaref.z28→wapafoman.z13とサブドメインのみ変えて使い回し

関連記事：【1回目】Chromiumブラウザ脆弱性（0-day）緊急アップデート詐欺
関連記事：【2回目】警察と総務部を騙るBEC型サポート詐欺

■ このようなメールが届いた場合の対処法

1. 「親展」でも必ず人に相談する：「口外しないよう」と書かれていても、信頼できる上司・同僚・IT部門に相談してください。本物の人事部がメールで「口外禁止」を命令することはありません。これは孤立させるための詐欺の罠です。
2. リンクをクリックしない：URLが「windows.net」などMicrosoftの正規ドメインに見えても偽サイトです。絶対にクリックしないでください。
3. 電話番号に電話しない：画面に表示された電話番号（0101-84448-62853）は架空です。本物のMicrosoftがウェブページに電話番号を表示して「今すぐ電話を」と促すことはありません。
4. 社内の正規ルートで確認する：ハラスメント申立に関する通知は、正規のルートでは人事部から直接電話・書面・社内システムで行われます。メールのリンクから確認するよう求めることはありません。
5. 既に電話してしまった場合：すぐに電話を切り、リモートアクセスソフトをインストールした場合はPCをネットワークから切断して専門家に相談してください。

■ 同一グループによる関連記事

同一グループによる他の手口のBEC型サポート詐欺メールも確認されています。あわせてご覧ください。

【1回目】「Chromiumブラウザ脆弱性（0-day）緊急アップデート」を装ったBEC型サポート詐欺

【2回目】「歩行中の交通違反・事実確認」警察と総務部を騙るBEC型サポート詐欺

本レポートの結論

本件は「ハラスメント申立」という誰もが動揺する内容と「親展・口外禁止」という孤立工作を組み合わせた、これまでで最も悪質なBEC型サポート詐欺です。偽電話番号（0101-84448-62853）・識別コード（#DX4K9R2P）・Microsoft Azure Static Web Appsの悪用という3点が当ラボ既報の2件と完全一致しており、同一グループが手口を変えながら連続攻撃を行っていることが確認されました。「親展と書かれているから相談できない」——これがまさに詐欺グループの狙いです。不審なメールは必ず信頼できる人に相談してください。職場でこのようなメールを受け取った方は、同僚にも必ず共有してください。身近な人が騙されてからでは手遅れです。