【緊急】Apple iCloudを騙る「お支払い方法の問題」フィッシングメール発覚——Cloudflareのボット検証で調査を妨害する巧妙な手口を解析
🔴 緊急度:高
このメールはAppleとは一切無関係の真っ赤な偽物です。リンクをクリックしてしまった方は至急Apple IDのパスワードを変更してください。この情報を家族のLINEグループに転送して注意喚起してください。
日本国内ドメインを踏み台に悪用する手口
今回のメールで特に注目すべきは、送信元アドレスが icloud.no-reply@shingo-d.co.jp となっている点です。shingo-d.co.jp は日本国内の第三者のドメインであり、Appleとは一切関係がありません。
攻撃者はこのドメインのメールサーバーを何らかの方法で不正利用し、Appleを騙るメールの送信元として悪用しています。icloud.no-reply@ というローカル部(@より前の部分)はAppleの正規メールアドレスに似せた文字列ですが、@の後のドメイン部分を確認すれば即座に偽物と判断できます。Appleの正規メールは必ず @apple.com または @id.apple.com などApple公式ドメインから送信されます。
※以下の内容は届いたフィッシングメールを技術検証のために忠実に再現したものです。
件名:<iCloud+ストレージの更新について> 更新手続きのお願い iCloud 200 GBのiCloud+(1か月) JCT(10%)を含む ¥41 月額¥450 お支払い方法の問題 ○○ 様 ご利用中のサブスクリプションについて、お支払い処理に問題が発生する可能性があります。 引き続きサービスをご利用いただくため、お支払い情報の見直しをお願いいたします。 【 情報更新のお願い 】 Apple Account・販売条件・プライバシーポリシー Copyright © 2026 iTunes K.K.
送信ルート解析
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過記録):
Received: from ae45119-aichi582.aichi.t-com.ne.jp (193.239.154.44)
送信元IP:193.239.154.44(欧州系ホスティング推定・逆引き不可)
愛知県のプロバイダ(t-com.ne.jp)のサーバーを経由して送信されています。これは攻撃者が国内プロバイダのサーバーを中継点として悪用したものと見られます。
SPF認証結果:Fail
shingo-d.co.jp の正規送信者として認証されていません。
【偽装判定】:
Appleの正規メール送信元は @apple.com / @id.apple.com / @email.apple.com です。shingo-d.co.jp はAppleとは一切無関係の日本国内ドメインであり、このドメインからAppleのメールが届くことはありません。
発信元ロケーション推定:欧州系ホスティング(193.239.154.44)
Googleマップ:【推定エリアを確認する(西欧)】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
フィッシングサイト解析:Cloudflareのボット検証で調査を3分妨害
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://boluo19k[.]cyou/tion=productde
ドメイン:boluo19k.cyou(`.cyou` はAppleとは無関係の汎用ドメイン)
サーバーIP:104.21.51.40(Cloudflare CDN配下)
【最大の特徴:Cloudflare Turnstileによるボット検証】
リンクをクリックすると、すぐに偽ログインページへ飛ぶのではなく、まず「接続を確認しています——下の認証を完了してください」という画面が表示され、約3分間待機させられます。これはCloudflare Turnstile(ターンスタイル)と呼ばれるボット自動検証システム(人間とコンピュータプログラムを見分ける仕組み)によるものです。
この仕掛けには2つの目的があります:
- セキュリティ研究者や自動調査ツールを妨害:フィッシングサイトの自動検出システムやセキュリティ研究者によるアクセスを弾き、サイトの存在を長持ちさせます。
- 人間の被害者だけを通過させる:辛抱強く待った実際のユーザーだけが偽ログインページに到達する構造になっています。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
▲ リンクをクリックすると最初に表示されるCloudflare Turnstile(ボット検証)画面。約3分間の待機後、偽ログインページへ誘導される。
▲ ボット検証通過後に表示される偽Apple Accountログイン画面。Appleのロゴ・デザイン・レイアウトを精巧に再現している。絶対にApple IDとパスワードを入力しないこと。
注意点と対処法
■ 注意点と対処法
- 送信元の @以降のドメインを必ず確認:Appleからの正規メールは
@apple.com/@id.apple.com/@email.apple.com以外からは届きません。それ以外のドメインからのメールは偽物です。 - 「接続を確認しています」画面が出たら即座に閉じる:Cloudflare Turnstileの待機画面が表示された時点で、そのサイトは正規のAppleサイトではありません。待たずにブラウザを閉じてください。
- iCloudの支払い確認は公式アプリから:支払い情報の確認は、必ずiPhoneの「設定」→ 上部の名前 → 「サブスクリプション」から行ってください。メール内のリンクは使わないでください。
- Apple IDとパスワードを入力してしまった場合:至急 appleid.apple.com からパスワードを変更し、二要素認証(2ファクタ認証)を設定してください。
- 公式注意喚起を確認:フィッシングメッセージ、偽のサポート電話、その他の詐欺を認識し対処する(Apple公式)
本レポートの結論
日本国内の第三者ドメインを踏み台に悪用し、Cloudflare Turnstileのボット検証で自動調査を妨害しながらApple Accountの精巧な偽ログイン画面へ誘導する、高度に設計されたフィッシング攻撃です。iPhoneユーザーは日本中に数千万人おり、誰もがこのメールの標的になりえます。「送信元アドレスの@以降がapple.comでなければ偽物」——この一点を覚えておくだけで被害を防げます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
