【5種確認】第一生命を騙るフィッシングメール全解析——セブン-イレブン・ファミマ・ユニクロと同一キットによる大規模連続攻撃、Turnstile認証まで実装した高度インフラの正体

ご覧の通り、このメールは第一生命を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

【件名】【第一生命】ご登録情報不備による重要書類未達のお知らせ

平素は第一生命の保険サービスをご愛顧いただき、厚く御礼申し上げます。

第一生命保険 契約者情報管理部より、緊急のご確認依頼です。当社システムに登録されたお客様のご住所またはご連絡先に不備が検出され、これにより過去にお送りした重要書類（契約内容のお知らせ、更新のご案内等）が未達となっている可能性が判明いたしました。

ご登録情報の不備について
検出事由：ご住所・電話番号の不整合
未達の可能性がある書類：契約内容通知・更新案内 他
最終確認日：2026年5月（前回定期チェック時）
※ご登録情報の詳細な状況は、ログイン後のマイページでご確認いただけます。

ご登録情報に不備があるままですと、今後も重要なお知らせがお手元に届かず、保障の継続や保険金請求に影響を及ぼす可能性がございます。お手数をおかけいたしますが、いますぐご登録情報のご確認と最新化をお願いいたします。

重要書類の未達は契約に影響を及ぼす可能性がございます
ご確認と更新は1分程度で完了します

登録情報の不備を確認する

※ご登録情報の修正はマイページからオンラインで即時反映されます。
※お手続きにはご本人確認のため携帯電話番号の入力が必要です。

※本メールは送信専用アドレスより配信されております。ご返信いただきましてもお答えできません。
発行・送信：第一生命保険株式会社 契約者情報管理部
東京都江東区豊洲3-2-3

■ 送信ルート及び偽装判定

※Receivedヘッダーの全文は受信者側サーバー（非公表）の情報が含まれるため掲載を控えています。

発信元IP：35.212.245.214
Received: from forms.sm12361.com (unknown [35.212.245.214])
→ Google Cloud Platform（35.208.0.0/12）の範囲内。

同一キットの証拠：
送信ドメイン sm12361.com に含まれる「12361」という数字は、同日届いたユニクロ偽メールの送信ドメイン dk12361.com と一致します。接頭辞（sm・dk）だけ違う使い捨てドメインを量産する同一攻撃者グループの手口です。

【偽装判定】：
正規の第一生命からのメールは @daiichilife.com または @dl.dai-ichi-life.co.jp 等から送信されます。sm12361.com は第一生命と一切関係のない第三者ドメインです。

本社住所の流用：
メール末尾の「東京都江東区豊洲3-2-3」は第一生命保険本社の実在住所です。セブン-イレブン・ファミリーマート・ユニクロと同様、実在住所を流用して正規メールに見せかける手口が一貫して使われています。

発信元ロケーション：米国（Google Cloud Platform）

※GCPのIPアドレスはGoogleのデータセンター施設に帰属するため、実際の攻撃者の物理的な所在地は特定できません。

■ フィッシングサイト詳細解析

▶ PC用誘導先

URL（伏せ字）：hxxps://www.cba1188[.]com/?hw0XJu6oABPo
IP：172.67.208.106（Cloudflare / 172.64.0.0/13）
状態：Cloudflareのファイアウォールにより「アクセス拒否」

▶ スマホ用誘導先（3段階の選別プロセス）

URL（伏せ字）：hxxps://api.nomurac[.]com/
IP：172.67.144.73（Cloudflare）
状態：以下の3段階で訪問者を選別します。

Turnstile認証とは：Cloudflareが提供するボット対策技術で、人間か自動プログラムかを判定します。セキュリティ研究者の解析ツールをはじくために悪用されており、本日確認した中で最も高度な防御層です。訪問者カウンターが「82」を示しており、ユニクロ（70）より増加しています。

※全フィッシングサイトはCloudflare経由のため実際のサーバーIPは非公開。

■ なぜ「システムメンテナンス中」画面が表示されるのか

スマートフォンでアクセスすると本物のフィッシングページではなく「システムメンテナンス中」という画面が表示されます。「壊れているのでは？」と思った方もいるかもしれませんが、これは攻撃者が意図的に設計した仕掛けです。主な理由は4つあります。

1. セキュリティ研究者から身を隠すため：フィッシングサイトが常時稼働していると、Googleやセキュリティ企業のクローラー（自動巡回プログラム）にすぐ検出されブラックリストに登録されます。メンテナンス画面にしておけば「ただのメンテ中のサイト」として見え、ブロックされるまでの時間を稼げます。
2. 時間帯を絞って稼働させるため：メールを受け取った被害者がリンクを踏む時間帯（昼休み・夜間など）に合わせてフィッシングサイトを「開店・閉店」させています。稼働時間を短くすることで検出・ブロックのリスクを大幅に下げられます。
3. PCとスマホでアクセスを振り分けるため：セキュリティ研究者や自動解析ツールはPCからアクセスすることが多いため、PCには「アクセス拒否」を見せて解析を妨害します。実際の被害者が使うスマートフォンにだけ本物のフィッシングページを見せるという選別を行っています。
4. 被害者を引き留めるため：「まもなくページを移動します」という表示は被害者に「少し待てば使える」と思わせて離脱を防ぐ心理的な仕掛けです。カウントダウンが終わると自動的にフィッシングページへリダイレクトされます。

訪問者カウンターが「82」を示しており、稼働・停止を繰り返しながら既に複数の人がアクセスしています。「メンテナンス中で今は使えなかった」からといって安心しないでください。時間をおいて再アクセスすると本物のフィッシングページが表示される可能性があります。

■ 注意点と対処法

1. 送信元ドメインを確認する：正規の第一生命からのメールは @daiichilife.com または @dl.dai-ichi-life.co.jp 等から届きます。sm12361.com などのドメインは第一生命とは無関係です。
2. SPF/DKIMが「Pass」でも安心しない：今回のメールはSPF・DKIM認証を両方通過しています。認証通過は送信ドメインの設定が正しいことを示すだけで、そのドメインが第一生命のものかどうかとは別問題です。
3. 携帯電話番号は絶対に入力しない：電話番号を入力するとSMSで認証コードが届き、コードまで詐取されてアカウントを乗っ取られる二段階攻撃に発展する可能性があります。
4. 「Turnstile認証を通過した」は安全の証明ではない：「人間確認」を求めてくる画面はむしろ本格的なフィッシングサイトの証拠です。確認ボタンを押してはいけません。
5. 第一生命公式の注意喚起を確認：詐欺等、さまざまな金融犯罪にご注意ください（第一生命公式）
6. 不審に思ったら第一生命へ直接確認：ご担当の生涯設計デザイナーまたは第一生命カスタマーセンターへご連絡ください。

■ 関連記事（同一犯による連続攻撃シリーズ）

同一キット：セブン-イレブン偽メール3種解析記事

同一キット：ファミリーマート偽メール解析記事

同一キット：ユニクロ偽メール解析記事

本レポートの結論

今回の第一生命偽メールは、同日届いたセブン-イレブン・ファミリーマート・ユニクロの偽メールと完全に同一のフィッシングキットで製造されています。送信ドメインの「12361」という共通番号、スマホ誘導先の `nomurac.com` の流用、本社住所の流用——全てが同一攻撃者グループの仕業であることを示しています。さらに今回はTurnstile認証という高度なボット対策まで実装されており、グループの技術力の向上が見て取れます。訪問者カウンター「82」は増加中であり、現在進行形の攻撃です。第一生命からの正規メールは「@daiichilife.com」等の公式ドメインのみ。見慣れないドメインからのメールは件名に関わらず即削除を。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。