【実録】「お子さまの新しい親友」は詐欺だった!AIロボット犬「Wuffy」スパムの正体——ロシア発・SonaBudsと同一インフラによる偽ブランドECの手口を全公開
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆ (3/5) 購入被害・個人情報漏洩のリスクあり |
| 偽装工作精度 | ★★★★☆ (4/5) 本格的なECサイト・著名メディア掲載偽装・ジオターゲティング実装 |
■ メールヘッダー解析(送信者情報)
件名:お子さまの新しい親友
送信者名:AI Puppy
送信元アドレス:yhwymqd@japanesesale.buzz
受信日時:2026年6月17日 0:29
宛先:受信者も思い当たらない知らないメールアドレス
SPF:Pass(送信元IP:62.173.138.237) / DKIM:Pass(d=japanesesale.buzz)
ヘッダー内の実URL(X-FEAS-SURL):https://d.rokolama.store/puppy-us/(中間リダイレクター)
▲ 届いた詐欺スパムメール。精巧なデザインのWuffyバナーとともに「70%オフ」を謳う。
このメールは詐欺スパムです。リンクのクリック・商品の購入・個人情報の入力は絶対にしないでください。この情報を家族のLINEグループに転送して注意喚起してください。
ワードサラダにロシア語が混入——攻撃者が素性を晒してしまった
このメールにはスパムフィルターを欺くためのワードサラダ(意味のない語句をメール内に隠して、フィルターの判定を誤魔化す手口)が仕込まれていました。通常はメール本文と無関係な英単語や日本語が使われますが、今回のメールには紛れ込んでいたのはロシア語でした。
プレーンテキスト部分に含まれていた文字列:
3 секрета ярких любовных отношений
(日本語訳:「輝く恋愛関係の3つの秘密」)
子ども向けロボット犬の広告に「恋愛の秘密」というロシア語が混入。後述する送信インフラ(ロシア・モスクワ)と合わせて考えると、攻撃者が普段使っているロシア語のテンプレートをそのまま流用した可能性が高く、うっかり自分たちの素性を晒してしまった形です。
▲ メールのプレーンテキスト表示。ロシア語と日本語HTMLエンティティが混在している。
送信ルート及び偽装判定
■ 送信ルート解析
※Receivedヘッダーの全文には受信者側のサーバー情報が含まれるため掲載を控えています。
送信元IP:62.173.138.237
逆引きホスト名:mail.sobetona.fit
プロバイダー:Planetahost(JSC Planetahost)/ AS34300 SPACENET-AS
ロケーション:ロシア・モスクワ(55.7569, 37.6151)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
中継サーバー:mail.sobetona.fit(78.31.250.66、逆引き:soft.ftayiups.me)
【偽装判定】:送信ドメイン japanesesale.buzz はAI Puppyや「Wuffy」とまったく無関係の使い捨てドメインです。「buzz」ドメインは審査が緩く安価なため、スパム送信者に多用されます。
フィッシングサイト詳細解析——3段階リダイレクト構造
■ メールリンク → 中間リダイレクター → ジオターゲティング → 最終詐欺サイト
【第1段:メール内リンク(中間リダイレクター)】
メール内のリンク:hxxps://d.rokolama[.]store/puppy-us/
ドメイン:rokolama.store → IP:185.209.28.87
プロバイダー:VDSINA(Hosting Technologies LLC)/ ロシア・モスクワ(55.7558, 37.6173)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【第2段:ジオターゲティング画面】
アクセスすると「Unlocking the best deal for your area…(あなたの地域のベストディールを解放中…)」というローディング画面が表示されます。これはジオターゲティング(地域情報に基づいて異なるコンテンツを表示する手法)で、アクセス者の国・地域に応じて価格や言語を切り替えるための仕組みです。
【第3段:最終詐欺サイト】
最終URL:hxxps://get-wuffy[.]com/pp/en/?uid=1115&oid=84&affid2=6&sub3=72263&...
ドメイン:get-wuffy.com → IP:172.67.218.101(Cloudflare CDN経由)
【サイトの内容】:「America’s #1 Rated Robot Puppy」を謳うWuffyの販売ページ。TechRadar・WIRED・FOX・GIZMODO・The Vergeといった著名メディアのロゴを並べて信頼性を演出していますが、これらは無断使用の偽装です。「4.7 / 1000+ Verified Reviews」「8K Happy Customers」などの評価も確認できません。URLパラメーターに `affid2=6`(アフィリエイトID)・`transaction_id` が含まれており、アフィリエイト(成果報酬型)スパム広告の構造を持っています。
▲「あなたの地域のベストディールを解放中」と表示するジオターゲティング画面。
▲ 最終的に表示されるWuffy販売ページ。著名メディアのロゴを並べて信頼性を演出しているが、いずれも無断掲載。
SonaBudsと同一インフラ——同一犯グループによる連続キャンペーン
当ラボが2026年6月に解析した複数の偽ブランドスパムと今回のWuffyスパムのインフラを比較すると、以下の通り完全に一致します。
| ブランド | 送信ドメイン | 中間リダイレクター | インフラ |
| SonaBuds(AIイヤホン) | japanesesale.buzz | rokolama.store | Planetahost / VDSINA(ロシア) |
| Wuffy(ロボット犬) | japanesesale.buzz | rokolama.store | Planetahost / VDSINA(ロシア) |
送信ドメイン・中間リダイレクター・インフラがすべて一致。さらに遡ると「SynGas(燃料節約グッズ)」「TopCarPlay(CarPlayアダプター)」も同一インフラから送信されています。このグループは商品ブランドだけを次々と変えながら、同じ仕組みを使い続けて日本のメールアドレスに大量送信しています。
■ 注意点と対処法
- リンクをクリックしない:メール内のリンクやボタンは踏まないでください。複数段階のリダイレクトを経て詐欺サイトに誘導されます。
- 「70%オフ」「限定価格」に要注意:大幅割引は購買意欲を高める常套手段です。見知らぬブランドの商品を衝動買いしないようにしましょう。
- 著名メディアのロゴは信頼の証ではない:TechRadar・WIRED・Gizmodoなどのロゴは誰でも無断で画像として貼り付けられます。ロゴがあっても本物の掲載記事があるとは限りません。
- 子ども向け商品だからこそ注意:「お子さまへのプレゼント」という文脈は判断力を緩めさせる効果があります。購入前に必ず公式販売サイトや大手ECサイトで同じ商品を検索して比較してください。
- 送信元のドメインを確認する:本物のおもちゃメーカーが「japanesesale.buzz」のようなドメインからメールを送ることはありません。
本レポートの結論
「AI搭載ロボット犬Wuffy」のスパムメールは、ロシア・モスクワを拠点とする同一犯グループによる連続偽ブランドECキャンペーンの最新版です。SynGas・TopCarPlay・SonaBudsに続く第4弾で、ブランドと商品画像だけを変えながら同じ仕組みを使い回しています。ワードサラダに混入したロシア語が攻撃者の素性を示唆するという、ある意味正直なスパムでした。子ども向けという切り口で注意力を下げさせるのが狙いです。このメールを受け取ったらリンクを踏まずそのまま削除し、この記事を家族のLINEグループで共有してあげてください。
調査日:2026年6月17日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
