【実録】さくらインターネット「決済エラーに伴う支払手続きのお願い」は詐欺!本物のサポートURLに紛れ込ませた偽リンクの罠を暴く
🟡 緊急度:中
▲ 届いた詐欺メール。本物のさくらヘルプURLが随所に並ぶが、会員メニューへのリンクだけが偽サイトに誘導する
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
詐欺メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。フィッシングリンクは無効化しています。
件名:【要対応】[さくらインターネット] 決済エラーに伴う支払手続きのお願い 平素はさくらインターネットをご利用いただき、誠にありがとうございます。 当月のご請求につき、ご指定のクレジットカードでの決済が正常に完了いたしませんでした。 大変お手数ですが、下記内容をご確認のうえ、お支払手続きをいただきますようお願い申し上げます。 ■ ご請求内容 【お支払期限】 2026年06月15日 【ご請求番号】 34588284 【ご請求金額】 6,220円(消費税等含む) ご請求明細は会員メニューよりご確認いただけます。 ▼ 会員メニュー(ログイン) https://www.lastquarterr.com/secure-vps-ountacc/ ←(※フィッシングリンク・クリック禁止) ■ お支払方法 「クレジットカード決済(即時決済)」または「銀行振込」にてお支払いください。 【1】クレジットカード決済(即時決済)の場合 会員メニューより手動でクレジットカード決済を行っていただけます。 【2】銀行振込の場合 振込先口座情報は、会員メニューの「請求書のご確認」よりご確認ください。 ※振込手数料はお客様負担となります。 ※ご契約者様名義でお振込みください。異なる名義の場合は会員IDを追記してください。 銀行振込時の注意事項は下記URLをご確認ください。 https://help.sakura.ad.jp/purpose_beginner/2517/ ←(本物のさくらURL) ■ お支払後のご確認について 入金確認後、ご登録メールアドレス宛に入金確認の通知メールを送信いたします。 ・入金確認に要する時間について: https://help.sakura.ad.jp/purpose_beginner/2531/ ←(本物のさくらURL) ・会員メニューでの支払状況の確認: https://help.sakura.ad.jp/purpose_beginner/2530/ ←(本物のさくらURL) ■ 決済エラーおよび次回請求について カード情報の変更・更新が必要な場合は、下記URLよりお手続きをお願いいたします。 https://help.sakura.ad.jp/purpose_beginner/2519/ ←(本物のさくらURL) ■ お問い合わせ さくらインターネット株式会社カスタマーセンター ■サポートサイト:https://help.sakura.ad.jp/ ←(本物のさくらURL) ■お問い合わせ:https://help.sakura.ad.jp/contact/ ←(本物のさくらURL)
最大の罠:本物URLに1箇所だけ混入した偽リンク
■ 「本物URL包囲作戦」——6箇所中5箇所は本物、1箇所だけ偽物
今回のメールに含まれるURLを全て検証した結果、以下のことが判明しました。
| URL | 用途 | 判定 |
lastquarterr.com/secure-vps-ountacc/ | 会員メニュー(ログイン) | ❌ 偽サイト |
help.sakura.ad.jp/purpose_beginner/2517/ | 銀行振込の注意事項 | ✅ 本物 |
help.sakura.ad.jp/purpose_beginner/2531/ | 入金確認の時間 | ✅ 本物 |
help.sakura.ad.jp/purpose_beginner/2530/ | 支払状況の確認 | ✅ 本物 |
help.sakura.ad.jp/purpose_beginner/2519/ | カード情報変更手続き | ✅ 本物 |
help.sakura.ad.jp/、help.sakura.ad.jp/contact/ | サポートサイト・お問い合わせ | ✅ 本物 |
「本物のURLが並んでいるから安心」と思ったところで、最も重要な「会員メニュー(ログイン)」のリンクだけが偽サイトへの入口になっています。URLをひとつひとつ確認する習慣がない限り、容易に騙されてしまう巧妙な設計です。
⚠️ 見分けるポイント
- さくらインターネットの正規ログインURLは
https://secure.sakura.ad.jp/auth/loginのみ。lastquarterr.comは全く無関係のドメイン - さくらインターネットからの正規メールには会員IDと契約者名が本文中に記載されます。これらの記載がないメールは偽物
- 送信元が
support@ad-composites.com——さくらインターネットの正規ドメイン(sakura.ad.jp)とは全く別
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from support-0nfdss.ad-composites.com (M106185144216.v4.enabler.ne.jp [106.185.144.216])
【偽装判定】:
さくらインターネットの正規メールは @sakura.ad.jp 等から送信されます。本メールの送信ドメイン ad-composites.com はさくらインターネットとは全く無関係の第三者ドメインです。SPF認証がFailしており(送信元として正規に登録されていないドメインから送信されている)、メールサーバーの設定によっては迷惑メールフォルダに振り分けられますが、フィルターの設定次第では受信トレイに届いてしまいます。
実際の送信元IPアドレス(client-ip):106.185.144.216
インフラ:KDDI Corporation(AS2516 / KDDI KDDI CORPORATION)——日本国内、東京都千代田区の通信回線が使用されています
発信元ロケーション:東京都千代田区神田須田町(緯度:35.6968、経度:139.767)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
中継ドメイン:support-0nfdss.ad-composites.com(DNSに存在しない失効サブドメイン)——送信経路を隠蔽するための使い捨てサブドメインと判断されます。
Cloudflare Turnstileを悪用したクローキング
■ 本物のCloudflare認証を悪用したbot排除の関門
フィッシングサイト(lastquarterr.com/secure-vps-ountacc/turnstile-check)へのアクセス時、本物のCloudflare Turnstile(クラウドフレア社が提供する正規のセキュリティ認証サービス)が起動し、bot(自動プログラム)か人間かを判別します。これにより、セキュリティ会社の自動調査をかわし、実際の人間だけを偽ログイン画面に誘導する仕組みです。本物のセキュリティサービスを悪用しているため、利用者が「安全なサイト」と誤認しやすい特に悪質な手口です。
▲ ウイルスバスター クラウドがフィッシングサイトを検出・ブロック。URLに「turnstile-check」が含まれているのが確認できる
この関門を突破すると、本物そっくりのさくらインターネット会員認証画面が表示されます。「会員ID」と「会員メニューのパスワード」の入力を求めてきます。入力した瞬間、情報は攻撃者のサーバーへ送信されます。
▲ 偽さくらインターネット会員認証画面。「2要素認証設定についての重要なお知らせ」まで再現した精巧な偽画面
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://www.lastquarterr[.]com/secure-vps-ountacc/login(一部伏字)
リンクドメイン:lastquarterr.com(「lastquarter=最終四半期」に「r」を1文字余分に追加したタイポスクワッティング(正規ドメインに似せた偽ドメイン)の可能性)
ドメイン登録日:whois.domaintools.com で確認
【サイトの状態】:調査時点でDNS失効済み(ドメインが無効化されておりアクセス不可)。ただし同様の偽ドメインが引き続き使用される可能性があります。
【セキュリティソフトによるブロック状況】:
- 🛡️ ウイルスバスター クラウド:フィッシングとして検出・ブロック済み
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
注意点と対処法
■ 注意点と対処法
- 会員メニューのURLを必ず確認する:さくらインターネットの正規ログインURLは
https://secure.sakura.ad.jp/auth/loginのみです。それ以外のURLは偽物と判断してください。 - 本物URLが混じっていても油断しない:本物のヘルプページURLが含まれていても、全てのリンクが本物とは限りません。特に「ログイン」「会員メニュー」へのリンクは必ずURLを確認してください。
- 会員IDと契約者名の記載を確認:さくらインターネットからの正規メールには本文中に会員IDと契約者名が記載されています。これらがないメールは偽物と判断してください。
- 請求状況は公式から直接確認:メール内のリンクはクリックせず、ブラウザのブックマークまたは直接URLを入力してさくらインターネットの会員メニューにアクセスしてください。
- 入力してしまった場合:すぐにさくらインターネットの会員メニュー(
https://secure.sakura.ad.jp/auth/login)からパスワードを変更してください。2要素認証の設定もあわせてご確認ください。 - 公式注意喚起の参照:さくらインターネット「なりすまし・フィッシング詐欺などの迷惑メール」「偽サイト」にご注意ください(公式)
本レポートの結論
「決済エラーが発生したので支払い手続きを」というさくらインターネット騙りフィッシングメールが確認されました。最大の特徴は、本物のさくらヘルプページURLを本文中に5箇所も埋め込み、フィッシングリンクはたった1箇所だけ紛れ込ませる「本物URL包囲作戦」です。URL確認の習慣がある人でも、本物のURLが並ぶ中の1箇所だけを見落とすリスクがあります。さくらインターネット会員の方は、ログインする際は必ずブックマークまたは直接URLを入力してアクセスし、メール内のリンクは絶対にクリックしないようにしてください。この記事を、さくらインターネットを使っている方の周りの人にもぜひ共有してください。
調査日:2026年6月15日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
