【実録】コミュファ光の配送不能通知を装ってLOLIPOP詐欺を届ける——二重構造フィッシングの巧妙な手口を解析

2026年6月16日

🔴 緊急度：高

【実録】コミュファ光の配送不能通知を装ってLOLIPOP詐欺を届ける——二重構造フィッシングの巧妙な手口を解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「お客さまが送信したメールはいくつかの宛先にメールを配送することができませんでした」——コミュファ光のメール配送失敗通知（MAILER-DAEMON）を装った偽バウンスメールに、LOLIPOPのメールボックス容量制限を騙るフィッシングメールをemlファイル（メールファイル形式）として添付するという二重構造の詐欺メールが2026年6月16日に確認されました。外側のバウンス通知でスパムフィルターをすり抜けさせ、内側に本命の詐欺メールを隠す巧妙な手口です。さらに受信サーバーがフィッシングと判定したにもかかわらず、その判定結果がメールヘッダー内に記録された形で届いてしまうという、フィルター技術の限界を突いた事例でもあります。

※重要：添付のemlファイルは絶対に開かないでください。また内側メールのリンクをクリックすると偽ログイン画面に誘導され、メールアドレスとパスワードが盗まれます。

緊急性レベル	★★★★☆ (4/5)
偽装工作精度	★★★★★ (5/5)

■ メールヘッダー解析（外側：バウンスメール偽装）

件名：配送不能通知 Undelivered Mail Returned to Sender

送信者名：“Mail Delivery System”（MAILER-DAEMONを偽装）

送信元アドレス：MAILER-DAEMON@commufa.jp

送信元MTA：mta-or-w02.commufa.jp（106.153.248.202）（コミュファ光の実在メール送信サーバー）

DKIM署名：d=commufa.jp（コミュファ光のドメインで署名）

受信日時：2026年6月16日 15:34:51

フィルター判定：X-FEAS-WebFilter: https://so-jp.xyz/... (phishing)（受信サーバーがフィッシングと判定・タグ付け済み）

■ メールヘッダー解析（内側eml添付：本命の詐欺メール）

添付ファイル件名：【重要】メールボックス容量のご案内（容量制限間際）-GMOインターネットグループのセキュリティ事業について

騙るサービス：LOLIPOP！レンタルサーバー by GMOペパボ

誘導先URL：hxxps://so-jp[.]xyz/Lolipop-jp-lolipop-ne-jp-webmail/lolipop/index.html

詐欺サイトIP：172.67.210.94（Cloudflare CDN・実態隠蔽）

ご覧の通り、このメールはコミュファ光とLOLIPOPの両方を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

1. ■ 詐欺メールの二重構造を解説
2. ■ 詐欺メール本文の再現（内側のLOLIPOP詐欺メール）
3. ■ 送信ルート及び偽装判定
4. ■ フィッシングサイト詳細解析

■ 詐欺メールの二重構造を解説

今回の詐欺メールは、一般的なフィッシングメールと異なる「二重構造」という特殊な手口を使っています。まず全体の構造を把握してから個別に解説します。

■ 二重構造の仕組み

【外側の封筒】コミュファ光のバウンスメール偽装
MAILER-DAEMON（メーラー・デーモン）とは、メールの配送に失敗したときに自動で送られてくる「配送不能通知」のことです。今回の詐欺メールは、このコミュファ光からのシステム通知に見せかけています。「宛先アドレスが正しくありません。Domain not found: inter7.jp」という実際にありそうなエラー文章で、受信者を信用させます。

【内側の本命】LOLIPOPを騙るフィッシングメール
外側のバウンス通知には、emlファイル（メールのデータをそのままファイルにしたもの）が添付されています。この添付ファイルを開くと、LOLIPOPのメールボックスが容量限界（4800MB/5000MB）に達しているという偽の警告メールが表示され、偽のWEBメーラーログイン画面に誘導されます。

【狙い】スパムフィルターの回避
フィッシングURLを直接メール本文に書くと、多くのスパムフィルターで検知・ブロックされます。しかし添付ファイルの中に隠すことで、フィルターの目をかいくぐろうとしているのです。

▼ 届いた詐欺メールのスクリーンショット（外側のバウンス通知と内側のeml添付が確認できる）

▲ 上部が外側のバウンス偽装メール、下部がeml添付として展開されたLOLIPOP詐欺メール本文

■ 詐欺メール本文の再現（内側のLOLIPOP詐欺メール）

※以下の内容はeml添付ファイル内に含まれていた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

LOLIPOP　メールをご利用いただきありがとうございます。

お客様のメールボックスの容量が上限に近づいていることが確認されました。

■利用状況

使用量：4800MB/5000MB

メールボックスの容量が上限に達すると、新規メールの受信ができなくなります。


■メールボックスの整理はこちらをクリックしてください。

https://so-jp.xyz/Lolipop-jp-lolipop-ne-jp-webmail/lolipop/index.html
（※リンク無効化済み）


※セキュリティ上の理由により、メールボックスの整理の際には、LOLIPOPメールアカウントのパスワードをお伺いいたします。

お客様にはご不便をおかけいたしますが、ご理解のほどよろしくお願いいたします。

--
※このメールはシステムにより自動的に生成されています。ご返信は不要です。

━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
GMOインターネットグループのセキュリティ事業について
© 2003-2026 GMO Pepabo, inc. All rights reserved.

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from mta-or-w02.commufa.jp (mta-or-w02.commufa.jp [106.153.248.202])

【偽装判定】コミュファ光のサーバーから実際に送信：
逆引き検索（IPアドレスからドメイン名を調べる手法）の結果、送信元 106.153.248.202 はコミュファ光の実在するメール送信サーバー mta-or-w02.commufa.jp であることが確認されています。コミュファ光のドメインでDKIM署名（メールの改ざんがないことを確認する仕組み）も付与されており、コミュファ光のインフラから実際に送信されているとみられます。これはコミュファ光のシステムが何らかの形で悪用された可能性を示しています。

【注目】フィルターに引っかかった痕跡がヘッダーに残存：
メールヘッダーの末尾に以下の記録が残っていました。
X-FEAS-WebFilter: https://so-jp.xyz/Lolipop-jp-lolipop-ne-jp-webmail/lolipop/index.html (phishing)
これは受信サーバーのWebフィルター（危険なURLを検知する機能）が、添付メール内のURLを「フィッシング（phishing）」と判定したことを示しています。フィルターが検知したにもかかわらず、バウンスメールという形式でメールボックスに届いてしまいました。判定の証拠が記録されているという、珍しいケースです。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：
hxxps://so-jp[.]xyz/Lolipop-jp-lolipop-ne-jp-webmail/lolipop/index.html

ドメイン：so-jp.xyz（LOLIPOPとは一切無関係の使い捨てドメイン）

サイトサーバーIP：172.67.210.94

Cloudflare CDNによる実態隠蔽：
172.67.210.94 はCloudflare（クラウドフレア）のCDN（コンテンツ配信ネットワーク：世界中にサーバーを分散配置してWebサイトを高速・安定配信する仕組み）のIPアドレスです。攻撃者はCloudflareを経由させることで、詐欺サイトが実際に置かれているサーバーの本当のIPアドレスや所在地を隠しています。

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

偽装内容：
LOLIPOPのWEBメーラー（ブラウザからメールを送受信できるサービス）のログイン画面を精巧にコピーした偽サイトです。「メールアドレス」と「パスワード」の入力欄が用意されており、入力するとアカウント情報が攻撃者に盗まれます。ロリポップのメールアカウントを乗っ取られると、スパムメールの大量送信や他のサービスへの不正ログインに悪用されます。

▼ 偽LOLIPOPログイン画面のスクリーンショット

▲ 本物そっくりのLOLIPOP WEBメーラーログイン画面。メールアドレスとパスワードを入力させて盗む偽サイト

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

■ 注意点と対処法

「配送不能通知」の添付ファイルは開かない：MAILER-DAEMONからのバウンスメールに添付ファイルが付いていることは通常ありません。emlファイルが添付されていた場合は詐欺の可能性が高いため、絶対に開かないでください。
「容量が上限」という警告に焦らない：「このままでは新規メールが受信できなくなります」という文言で緊急性を演出するのが手口です。LOLIPOPの容量確認は必ず公式の管理画面（ユーザー専用ページ）から行ってください。
「パスワードを求めるメールは偽物」：本文中に「セキュリティ上の理由によりパスワードをお伺いします」と書かれています。LOLIPOPをはじめ正規のサービスがメール経由でパスワードの入力を求めることは絶対にありません。
URLドメインを必ず確認：LOLIPOPの正規ドメインは lolipop.jp または lolipop.ne.jp です。so-jp.xyz など全く異なるドメインへのアクセスは危険です。
入力してしまった場合は即座にパスワード変更：メールアドレスとパスワードを入力してしまった場合は、LOLIPOPのユーザー専用ページから直ちにパスワードを変更してください。
公式注意喚起の参照：ロリポップ！：当サービスを騙ったフィッシングサイトにご注意ください

■ 関連記事

当ブログでは過去にもLOLIPOPを騙る詐欺メールを取り上げています。あわせてご覧ください。

LOLIPOP 関連記事一覧

本レポートの結論

今回の詐欺メールは、コミュファ光のバウンスメール（配送不能通知）という形式を外側に纏わせ、内側にLOLIPOPのメールボックス容量制限詐欺を隠すという二重構造を採用した高度な手口です。受信サーバーのフィルターがフィッシングと判定していながらも届いてしまうという、フィルター技術の盲点を突いた事例でもあります。「MAILER-DAEMONからのメールに添付ファイルが付いていたら要注意」という新たな知識を、ぜひ身近な人と共有してください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

📲 LINEで家族に共有する

調査日：2026年6月16日／ Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元：ip-sc.net