【実録・矛盾だらけ】「リンクを送付しません」と書きながらリンクを貼る!ETC偽装フィッシングメールの自己矛盾4点を徹底解剖
🔴 緊急度:高
| 緊急性レベル | ★★★★☆ (4/5) |
| 矛盾の多さ | ★★★★★ (5/5) ※1通のメールに4か所の自己矛盾 |
■ メールヘッダー解析(送信者情報)
件名:ご利用を継続いただくためのお願い
送信者表示名:ETCマイレージサービス事務局
送信元アドレス:noreply@mail10.salesdab.com(ETC関連とは無関係のドメイン)
受信日時:2026年6月11日(木)11:15
送信元ドメインIP:152.67.94.138(Oracle Cloud Infrastructure)
SPF認証:Pass(通過)
DKIM署名:Valid(有効)(d=mail10.salesdab.com)
発信元ロケーション:Oracle Cloud Infrastructure(東京リージョン付近)
緯度・経度:35.6895, 139.6917
【Googleマップで表示】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
このメールは偽物です。リンクをクリックしてIDとパスワードを入力しないでください。この情報を家族のLINEグループで共有して被害を防いでください。
【本題】このメールに潜む自己矛盾4点
詐欺メールの多くは巧妙に作られていますが、このメールは珍しく自分でボロを出しているため、落ち着いて読めば詐欺と見抜くことができます。一つひとつ確認していきましょう。
矛盾①「リンクを送付しません」→ リンクを貼っている【最大の矛盾】
メール本文の「重要注意事項」欄には次のように書かれています:
「当社はメールで直接リンクを送付することはありません」
ところがその数行上には堂々と
https://meirsai.leonardpaul.com/jpfunccode
というリンクが貼られています。自分で「送りません」と言いながら送っている——詐欺師自身が書いたセキュリティアドバイスが、このメール自体を詐欺と証明しています。
矛盾②「ETCマイレージサービス事務局」を名乗るが本文は「ETC利用照会サービス」
送信者名は「ETCマイレージサービス事務局」ですが、メール本文の冒頭は「平素よりETC利用照会サービスをご利用いただき」と別のサービス名になっています。ETCマイレージサービスとETC利用照会サービスはまったく別のサービスです。攻撃者が両方のサービスのテンプレートをごちゃ混ぜにして使い回したことによる混同ミスと思われます。
矛盾③「登録継続の確認メールは送信されません」→ このメール自体が継続確認メール
「重要注意事項」欄に「登録継続の確認メールは送信されません」と書かれています。しかし届いたこのメール自体が「ご利用を継続いただくためのお願い」というタイトルの登録継続を促すメールです。存在してはいけないはずのメールが届いている時点で、このメールが偽物であることが確定します。
矛盾④ 電話番号が公式と異なる
メールに記載された電話番号は 0570-341971 ですが、ETC利用照会サービスの公式問い合わせ番号は 0570-021-799 です。番号が異なります。偽の番号に電話した場合、攻撃者またはその協力者が応答して個人情報を聞き出そうとする「ビッシング(音声フィッシング)」被害に発展する危険があります。
▼ 届いた詐欺メール。「リンクを送りません」と書いた直下にリンクが貼られているという、前代未聞の自己矛盾が確認できる
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※受信者側サーバー(非公表)の情報が含まれるため、Receivedヘッダーの全文掲載は控えています。
送信元ドメイン:mail10.salesdab.com(ETC関連とは無関係の使い捨てドメイン)
送信元IP:152.67.94.138(Oracle Cloud Infrastructure)
SPF認証:Pass DKIM署名:Valid — 両認証とも通過しており、スパムフィルターをすり抜けやすい状態
ロケーション:Oracle Cloud Infrastructure(東京付近)(35.6895, 139.6917)
【Googleマップで表示】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://meirsai.leonardpaul[.]com/jpfunccode
サイトサーバーIP:1.32.216.8(Singtel・シンガポール)
ロケーション:シンガポール(1.3521, 103.8198)
【Googleマップで表示】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
セキュリティ判定:
- ウイルスバスター クラウド:フィッシング検出・ブロック済み(「このWebサイトは、安全ではない可能性があります」と警告)
- Chromeセーフブラウジング:危険なサイト警告・アクセスブロック済み
偽装対象:ETC利用照会サービスのログイン画面(完成度は高い)
▼ ウイルスバスター クラウドが「このWebサイトは、安全ではない可能性があります」とフィッシングを検出してブロック
▼ Chromeセーフブラウジングも「危険なサイト」として警告。主要なセキュリティツール2種で検出済み
▼ 警告を無視してアクセスすると現れる偽ログイン画面。ETC利用照会サービスの本物に近いデザインだが、URLはシンガポールのサーバー上の無関係なドメイン
注意点と対処法
■ このメールが届いたら
- リンクは絶対にクリックしない:「リンクを送りません」と書いてあるメールに貼られているリンクは詐欺の証拠です。ETC関連のログインは必ずブックマークや公式アプリから行ってください。
- 電話番号で確認する場合は公式番号を使う:ETC利用照会サービスの公式番号は 0570-021-799(9:00〜18:00)です。メールに記載された番号には絶対に電話しないでください。
- ウイルスバスターやChromeの警告が出たら従う:「ブロックしたWebサイトにアクセス」「この安全でないサイトにアクセスしてください」という選択肢は絶対に選ばないでください。
- もしIDとパスワードを入力してしまった場合:ETC利用照会サービス(0570-021-799)またはETCカードを発行したクレジットカード会社に直ちに連絡してください。
- ETC利用照会サービス公式注意喚起:フィッシングサイト・不審メールにご注意ください(公式)
本レポートの結論
「リンクを送りません」と書きながらリンクを貼る、サービス名を間違える、確認メールは送らないと言いながら確認メールを送る、電話番号が公式と異なる——1通のメールに自己矛盾が4か所もある珍しいフィッシングメールです。落ち着いて読めば詐欺と見抜けますが、焦って読み飛ばすとリンクをクリックしてしまいかねません。送信インフラにはOracle Cloudを使いSPF・DKIMを通過させており、ウイルスバスターとChromeの両方でフィッシング検出済みのサイトへ誘導します。ETC関連のメールが届いたら、リンクをクリックせず必ず公式サイトに直接アクセスして確認してください。この記事を家族のLINEグループで共有してください。
調査日:2026年6月11日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net / ETC利用照会サービス公式注意喚起
