【実録・緊急警告】「新しいボイスメールを受信しました」は罠!GoTo偽装+PLANEX正規ドメイン悪用でSPF/DKIMをすり抜けるフィッシングの手口を完全解析
🔴 緊急度:高
| 緊急性レベル | ★★★★★ (5/5) |
| 偽装工作精度 | ★★★★★ (5/5) |
■ メールヘッダー解析(送信者情報)
件名:新しいボイスメールを受信しました
送信者表示名:「【GoTo】新しいボイスメールを受信しました」
送信元アドレス:planex@mx7.mesh.ne.jp
ドメインIP解析:222.227.84.33(mta-sp-e01.biglobe.ne.jp 経由)
受信日時:2026年6月10日(水)22:38
SPF認証:Pass(送信元IPがmx7.mesh.ne.jpの正規範囲内と判定)
DKIM署名:Valid(d=mx7.mesh.ne.jp で署名あり)
▼ 届いた詐欺メール。GoToの名前と本物そっくりのデザインで受信者を油断させる
ご覧の通り、このメールは実在するサービスを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
詐欺メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
件名:新しいボイスメールを受信しました 送信者:【GoTo】新しいボイスメールを受信しました <planex@mx7.mesh.ne.jp> ━━━━━━━━━━━━━━━━━━━━━━ 新しいボイスメールメッセージを受信しました ━━━━━━━━━━━━━━━━━━━━━━ 🔔 新しいボイスメールメッセージ 時刻: 07:19 AM 発信者: Private (090) 9153-0030 通話時間: 28 seconds ボイスメールボックス:105 メールボックス容量: 98/99 available 【ボイスメールメッセージを再生する】← ※このボタンが偽サイトへの入口です © 2026 GoTo Group, Inc. Shinagawa Seaside Park Tower, 4-12-4 Higashi-Shinagawa, Shinagawa-ku, Tokyo 140-0002, Japan フォローはこちら: Twitter / LinkedIn / Facebook
🔍 このメールの「巧妙な罠」ポイント
- 「ボイスメールボックス:98/99 available」という表示で「あと1通で満杯になる!」という焦りを演出
- 「Private」発信・電話番号付きで「本当に誰かから電話があったのかも」という不安を煽る
- GoToの住所(東京品川)をフッターに記載することで本物らしさを演出
- 再生ボタンは大きく黄色く目立つデザインで、思わずクリックさせようとする
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側サーバー(非公表)の情報が含まれるため掲載を控えています。ご了承ください。
【最重要・偽装の核心】PLANEXの正規ドメインを「間借り」した攻撃:
本メールの送信元アドレスは planex@mx7.mesh.ne.jp です。mx7.mesh.ne.jp は、国内ネットワーク機器メーカーPLANEX(プラネックス)が運営するメッシュWi-Fiサービス用の正規ドメインです。攻撃者はこのドメインを利用した何らかの方法(アカウント侵害またはメール送信サービスの悪用など)でメールを送信しており、受信側のスパムフィルターはPLANEXの正規サーバーからの送信として扱ってしまいます。
SPF認証(送信元が本物かどうかを確認する仕組み):Pass(通過)
送信元IP(222.227.84.33)がmx7.mesh.ne.jpのSPFレコードに含まれるbiglobe.ne.jpのサーバーと一致するため、認証を通過してしまっています。
DKIM署名(メールが改ざんされていないことを証明する仕組み):Valid(有効)
d=mx7.mesh.ne.jpで署名されており、技術的には「正規のmx7.mesh.ne.jpから送られたメール」として扱われます。GoToとは一切無関係にもかかわらず、です。
中継サーバー:biglobe.ne.jp(mta-sp-e01.biglobe.ne.jp)→ 受信者側サーバー(非公表)
発信元ロケーション解析:
中継サーバー(biglobe):日本国内
緯度・経度:35.6895, 139.6917(東京都)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://inbrachemicals[.]com/kagoya/activemailkagoya.html
リンクドメイン:inbrachemicals.com
⚠️ URLパスに「kagoya」が含まれていることに注目:
/kagoya/activemailkagoya.html というパス名は明らかにKAGOYAのメールユーザーを狙い打ちにしていることを示しています。「ランダムなメールアドレスに大量送信して引っかかった人を狙う」ではなく、KAGOYAのメールサービスを利用しているユーザーを意識して作られた標的型の偽ページです。
サイトサーバーIP:172.67.162.167
インフラ:Cloudflare CDN(コンテンツ配信ネットワーク)配下。実際のサーバーの場所はCloudflareに隠蔽されており特定困難。
ロケーション:Cloudflare(米国・サンフランシスコ付近)(37.7749, -122.4194)
マップ:【Googleマップで表示】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
偽装対象:Active!mail(QUALITIA社製・KAGOYAが採用するWebメールサービス)のログイン画面
【サイトの目的】:「ボイスメールを聞くためにはメールにログインが必要」という口実で、KAGOYAメールのユーザーIDとパスワードを入力させて盗み取る。
▼ 誘導先の偽ログイン画面。Active!mailの本物そっくりのデザインだが、URLを見るとinbrachemicals.comという全く無関係のドメインであることがわかる
注意点と対処法
■ このメールが届いたら
- 「ボイスメールを再生する」ボタンは絶対にクリックしない:クリックした瞬間に偽ログイン画面へ誘導されます。
- GoToCommunications(GoToConnect)のサービスを契約していないなら即削除:利用していないサービスからのボイスメール通知は100%詐欺です。
- 契約していても直接公式アプリやWebサイトから確認:メール内のリンクは使わず、ブックマーク済みの公式URLや公式アプリからログインして確認してください。
- もしIDとパスワードを入力してしまった場合:直ちに正規の方法でパスワードを変更し、同じパスワードを使い回しているサービスがあればそちらも変更してください。
- 送信元がPLANEXのドメインでも安心しない:SPF・DKIMが「正規」と表示されていても、送信者表示名がGoToなのに送信元がPLANEXというのは明らかな矛盾です。送信者名ではなくメールアドレスのドメイン部分を必ず確認してください。
本レポートの結論
「ボイスメールが届いた」というメールは、GoToという実在サービスへの信頼と「誰かから電話があったかも」という心理を巧みに突いた詐欺メールです。さらに国内メーカーPLANEXの正規ドメインを悪用することでスパムフィルターを素通りさせ、KAGOYAのWebメール(Active!mail)に偽装した偽ログイン画面でメールのIDとパスワードを盗み取ろうとします。メールアカウントを乗っ取られると、そこを踏み台にしてさらなる詐欺被害に発展するリスクもあります。この記事を家族のLINEグループで共有して、「ボイスメールのリンクは押しちゃダメ」と伝えてあげてください。
調査日:2026年6月11日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
