【実録】「永久無料視聴権限」を1時間で6通観測——SPF・DKIM認証を完璧にPassする迷惑メールの裏側を解説
🟡 緊急度:中 「永久無料視聴権限」というメールが届いた方はリンクを開かずこの記事をご確認ください
| 緊急性レベル | ★★★☆☆ (3/5) 大量配信+年齢確認サイトへの誘導 |
| 偽装工作精度 | ★★★★☆ (4/5) SPF・DKIM両方が「正規メール」と認証 |
■ メールヘッダー解析(6通の観測データ)
同じ件名のメールが、こんなに短い間隔で届いていました。まるでベルトコンベアのように、決まったタイミングで流れてくる様子が想像できますね。
| # | 受信時刻 | 送信元ドメイン | 送信元IP | SPF判定 |
| 1 | 08:41 | sq40.fjmaitian.com | 35.189.140.81 | Pass |
| 2 | 08:45 | sq33.fjmaitian.com | 34.104.232.89 | Pass |
| 3 | 08:59 | sq38.fjmaitian.com | 34.146.215.151 | Pass |
| 4 | 09:13 | sq02.niamhfahey.com | 34.104.203.1 | Pass |
| 5 | 09:18 | sq36.niamhfahey.com | 34.85.107.109 | Pass |
| 6 | 09:43 | sq34.fjmaitian.com | 34.84.22.99 | Pass |
※ヘッダーには受信者の情報が含まれるため、本来なら掲載してご紹介するのが本筋ですが、個人情報保護のため伏せさせていただきます。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
「会員登録を完了した」という事実は一切ありません。これは大量配信プログラムによる迷惑メールです。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いたメールを技術検証のために忠実に再現したものです。
様 この度は、当サービスへの会員登録を完了いただき、誠にありがとうございます。 お客様のアカウント開設が正常に完了いたしました。 当サービスをより快適に、すべての機能をご利用いただくために、 まずは下記のリンクより 公式アプリケーションのダウンロードをお願いいたします。 ※最高の日本のJAVサイト。永久無料、高速、ラグなし、5万本以上の無検閲リーク、毎日更新、動画再生中に広告なし。 ■ 公式アプリのダウンロード アプリをダウンロードすれば、ずっと無料で動画が見放題! ▼ アプリダウンロードはこちら (リンク省略) このメールは配信専用です。返信はお受けできません。
「様」の前に名前がなく、宛先がぼかされている点もよくある特徴です。心当たりのない「登録完了」「会員登録ありがとうございます」というメールは、登録した記憶がなければ間違いなく迷惑メールです。「ちゃんと宛名が入っているから本物かも」と思ってしまいがちですが、宛名がないこと自体が一斉配信の証拠と言えます。
■ 送信ルート及び偽装判定——なぜ「認証Pass」になるのか
まず、SPFとDKIMって何でしょう?
普段あまり聞かない言葉ですよね。簡単に言うと、これらは「このメールは、名乗っている送信者本人から本当に送られてきましたか?」をチェックする、メールの「本人確認」のような仕組みです。郵便物に例えるなら、消印が「差出人が書いている住所の郵便局」と一致しているか確認するようなものです。SPF・DKIMが「Pass(合格)」と判定されると、メールソフトは「この送信元は本人で間違いない」と信じてしまい、迷惑メールフォルダに振り分けにくくなります。
では、なぜ詐欺メールなのに「Pass」になるのでしょうか?
ここが今回のポイントです。攻撃者はfjmaitian.comやniamhfahey.comといった、聞いたこともない適当な名前のドメインを自分で取得し、そこに正しくSPF・DKIMの設定をしてしまっています。つまり「本人確認の仕組み自体は正しく機能しているけれど、その『本人』が最初から詐欺業者だった」という状態です。本人確認がしっかりしていても、確認している相手が悪人だったら意味がない、ということですね。
送信元IPの共通点:
6通すべての送信元IPアドレスを調べたところ、すべて「34.」または「35.」から始まるアドレス帯であることが分かりました。これはGoogle Cloud Platform(Google社が提供するクラウドサービス)が企業向けに貸し出しているサーバー群の特徴です。攻撃者は自分のパソコンから直接送るのではなく、Googleの正規のクラウド環境を借りて、その中に複数の送信用ドメインを用意し、ローテーションさせながら送信していると考えられます。「Googleのサーバーを経由しているから安全」というわけではない、という点を覚えておいてください。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
■ リンク先の解析——「アプリ」をダウンロードすると何が起きるのか
「ダウンロードしてしまったらどうなるんだろう」と心配な方もいると思いますので、実際の流れを安全な環境で確認しました。
誘導先URL(伏せ字):hxxps://jav33uncesord[.]com/download/app/
本記事執筆時点では、このドメインは既にDNS解決ができず閉鎖済みでした(攻撃者がドメインを使い捨てている証拠です)。
確認できたリダイレクトの流れ:
- メール内のリンクをクリック
- 「あなたが人間であることを確認します」という、よく見かけるセキュリティ確認画面が表示される
rcdmp.topという中間ドメインを経由(IP:104.21.71.34、Cloudflare経由のため実サーバーIP非公開)- 最終的に海外の実在するアダルトサイトの年齢確認画面に着地
※年齢確認画面のスクリーンショットは、成人向けコンテンツが含まれるため本記事には掲載していません。
つまりこれは何だったのか:
「公式アプリ」と書かれていましたが、実際にはアプリは配布されておらず、最終的に別のアダルトサイトへ転送されるだけでした。これは「クリックされた回数に応じて広告主から報酬を得る」アフィリエイト型の誘導と考えられ、メールの送信自体が一種の「広告ばらまき」ビジネスになっている可能性があります。「アプリをダウンロードさせられてウイルスに感染するのでは」と心配されていた方もご安心ください、少なくとも今回確認した範囲では実行ファイルの配布は確認できませんでした。ただし、誘導先が頻繁に変わる以上、次に同じメールが来たときに同じ結果になるとは限りません。
※解析データに基づき、攻撃者はドメイン・誘導先ともに使い捨てて運用していることが確認されています。
■ 注意点と対処法
「認証マークがついているから安全」と思い込んでしまいそうになりますが、そうではない、ということが今回よく分かったと思います。一緒に対策を確認していきましょう。
- 「SPF/DKIM認証Pass」を安全の証明だと思わない:今回のように、攻撃者自身が取得したドメインで正しく認証設定をしているケースが増えています。認証が通っていても、送信元のドメイン名自体に見覚えがあるかを必ず確認してください。
- 心当たりのない「登録完了」メールは無視する:そのサービスに登録した記憶がなければ、内容を確認する必要すらありません。リンクを開かずそのまま削除してください。
- 「アプリのダウンロード」を促すメールのリンクは踏まない:公式のアプリは必ずApp StoreやGoogle Playなど、信頼できる場所からダウンロードしてください。メール経由でのアプリダウンロードを求めるケースに正規のものはほとんどありません。
- 家族で機器を共有している場合は特に注意:誘導先がアダルトサイトであるため、お子さまや他のご家族が同じ端末を使う場合、意図せずアクセスしてしまうリスクがあります。フィルタリングソフトの導入もご検討ください。
本レポートの結論
1時間に6通も届いた「永久無料視聴権限」メールは、Google Cloud Platformの正規環境を使い、SPF・DKIM認証を完璧に通過させるという、技術的にしっかりした作りの迷惑メールでした。最終的な誘導先はアプリ配布ではなく、海外のアダルトサイトへのアフィリエイト誘導と考えられます。「認証マークがあるから安心」という思い込みが一番危険だということが、今回のケースでよく分かりました。心当たりのない登録完了メールは、見た目がどれだけ整っていても無視するのが一番です。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてくださいね。
調査日:2026年6月19日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
