【実録・BEC型】DocuSign「電子文書合意書に署名を」は罠!アルゼンチン発・SPF Fail・3段階誘導でメール認証情報を狙うフィッシングを解析
🔴 緊急度:高
| 緊急性レベル | ★★★★★ (5/5) |
| 偽装工作精度 | ★★★★☆ (4/5) ※送信元ドメインは本物だがSPF Fail |
■ メールヘッダー解析(送信者情報)
件名:完了:電子署名済み文書 #409 ○○○○ 向け電子文書合意書
送信元アドレス:docusign@docusign.com(正規ドメインを詐称)
⚠️ 送信元ドメインは「本物」だがサーバーは「偽物」:From欄に表示される docusign@docusign.com は正規のDocuSignドメインですが、実際にメールを送信したサーバーはDocuSignとは無関係のアルゼンチンのIPアドレスです。このような手口はSPF認証で見破ることができます。
受信日時:2026年6月11日(木)11:20
実際の送信元IP:181.193.150.175(アルゼンチン・Telecom Argentina)
SPF認証:Fail(不正と判定) — 送信元IPがdocusign.comの正規サーバー範囲外と確認された
DKIM署名:なし
発信元ロケーション:アルゼンチン(-34.6037, -58.3816 ブエノスアイレス付近)
【Googleマップで表示】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
このメールは偽物です。リンクをクリックしてIDとパスワードを入力しないでください。職場の同僚にも共有して被害を防いでください。
詐欺メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。宛名等は伏字処理しています。
差出人:eSign-Onlineシステム <docusign@docusign.com> 件名:完了:電子署名済み文書 #409 ○○○○ 向け電子文書合意書 ━━━━━━━━━━━━━━━━━━━ DocuSign ━━━━━━━━━━━━━━━━━━━ 完了待ちの書類があります。 【レビュー文書】← ※このボタンが偽サイトへの入口 こんにちは、 プロジェクト契約に関する秘密保持契約書(Non-Disclosure_Agreement.pdf)に DocuSignで署名をお願いいたします。 ありがとう DocuSign を利用
🔍 このメールの「信用させる」手口ポイント
- 件名に宛名(個人名)が入っている:「#409 ○○○○ 向け」という形式で受信者の名前を差し込み、自分専用の正式な通知に見せかけています。
- 「Non-Disclosure_Agreement.pdf」という具体的なファイル名:秘密保持契約書(NDA)は実際のビジネスでよく交わされる書類であり、「取引先からかもしれない」と思い込みやすい。
- 送信元が
docusign@docusign.com:メールアドレスだけを見ると完全に本物と区別がつきません。SPF認証の結果(Fail)を確認できる環境でないと気づくのは困難です。 - 「送信者名:eSign-Onlineシステム」:本物のDocuSignとは微妙に異なる表現。注意深く見ると違和感があります。
▼ 届いた詐欺メール。DocuSignのデザインを模倣しており一見本物に見えるが、送信元はアルゼンチンのサーバー
▼ HTMLメールをプレーンテキストで表示したもの。装飾をはがすと内容の乏しさが一目瞭然
【解説】3段階誘導型クローキングの手口
■「レビュー文書」ボタンをクリックすると何が起きるか
このフィッシングメールの誘導は3段階に分かれており、セキュリティ機器による自動解析を困難にするクローキング(隠蔽)構造になっています。
【ステップ1】メール内の「レビュー文書」ボタンをクリック
DocuSignのデザインを模倣したボタンをクリックすると、フィッシングサイト(ravnix.icu/cerveza/auth.php)へ誘導される。
【ステップ2】「Verify you’re human」(人間確認)画面
Cloudflareの正規ボット対策画面に酷似した偽の「人間確認」画面が表示される。「Confirm」ボタンを押すと次のステップへ進む。この画面はセキュリティスキャナーによる自動アクセスを排除し、実際の人間だけを偽ログイン画面へ誘導するためのフィルターです。
【ステップ3】偽のメールログイン画面
「共有ドキュメントへのアクセス権が付与されました。共有ドキュメントを閲覧するにはサインインしてください」という画面が表示され、メールアドレスとパスワードの入力を求められる。ここで入力した認証情報が攻撃者に盗み取られる。
▼ ステップ2:Cloudflareのボット対策に酷似した偽の人間確認画面。セキュリティスキャナーを欺くためのフィルターとして機能している
▼ ステップ3:偽のメールログイン画面。左側に「興生洋行(KOYEKISHA JAPAN)」の虎のマッチラベル画像が表示されており、明らかに作りかけの粗雑さが残っている
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://ravnix[.]icu/cerveza/auth.php
ドメイン:ravnix.icu
🍺 パス名「cerveza」とは:スペイン語で「ビール」を意味する単語です。DocuSignや電子署名とは全く無関係の単語をパスに使用しており、アルゼンチン発の攻撃であることと合わせて、スペイン語圏の攻撃者が関与している可能性を示唆しています。
サイトサーバーIP:172.67.186.70(Cloudflare CDN配下)— 実際のサーバー所在はCloudflareに隠蔽されており特定困難
TLD:.icu — 詐欺師の間で人気の使い捨てTLD
ロケーション:Cloudflare(米国・サンフランシスコ付近)(37.7749, -122.4194)
【Googleマップで表示】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
注意点と対処法
■ このメールが届いたら
- 「レビュー文書」ボタンは絶対にクリックしない:心当たりのないDocuSignの通知は詐欺メールです。DocuSignを実際に利用している場合も、直接 docusign.com にアクセスして確認してください。
- 「人間確認」画面が出ても止まる:クリックしたリンク先でCloudflare風の人間確認画面が出た場合、それ自体が罠の一部である可能性があります。URLを確認して公式ドメインでなければ即閉じてください。
- 送信元アドレスだけで判断しない:今回のように
docusign@docusign.comという正規アドレスに見えても、SPF Failが出ていれば偽物です。メールのヘッダー情報も確認する習慣をつけてください。 - もし認証情報を入力してしまった場合:直ちにメールアカウントのパスワードを変更し、IT管理者または上司に報告してください。メールアカウントの乗っ取りは取引先への振込先変更詐欺などの二次被害につながります。
- DocuSign公式の注意喚起:DocuSign:不審なメールの見分け方と報告方法
本レポートの結論
DocuSignを装い「NDAに署名してほしい」と件名に個人名まで入れてくるフィッシングメールです。送信元ドメインは正規の docusign.com を騙っていますが、実際の発信はアルゼンチン・SPF Failで即座に偽物と判定されます。クリックすると「人間確認」→偽ログインという3段階の罠が待っており、セキュリティスキャナーによる自動検出を避ける巧妙な構造です。フィッシングサイトのパスには「cerveza(ビール)」というスペイン語が使われており、アルゼンチン発という発信元情報と合わせてスペイン語圏の攻撃者が関与していることが読み取れます。メールアドレスだけで信頼せず、必ずSPF認証やURLを確認する習慣が身を守ります。この情報を職場の同僚にも共有してください。
調査日:2026年6月11日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
