【閲覧注意】「HummingBad Rootkit」を名乗るセクストーション詐欺メールを解析——ワードサラダで隠された脅迫文の正体

ご覧の通り、このメールに書かれている「ハッキングの証拠」は一切示されていません。すべてが作り話の脅しです。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

■ メールヘッダー解析（送信者情報）

件名：[spam] 942_-Don’t miss your unsettled payment = 83569

送信者名：“939_-Don’t miss your unsettled payment = 64712”

送信元アドレス：xy@vamlggwaz.net

ドメインIP解析：名前解決不可（調査時点で既に失効・削除済み）

受信日時：2026年6月19日 20:30頃

※ヘッダーには受信者の情報が含まれるため、本来なら掲載してご紹介するのが本筋ですが、個人情報保護のため伏せさせていただきます。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。文中の「~」「.」「°」などの記号は、攻撃者が意図的に挟み込んだものです（後述）。

素敵な発見がある、そんなワクワクする一日を。
ta-4213087

それが起~こったのです。ゼ.ロ°ク.リックの脆~弱性と、特別な.コ°ードを使用し、Webサ°イトを介して.貴方の.デバイ.スをハ°ッキ.ン.グ.しました。

私の.正確な.ス.キ~ルを必要とする.複雑なソフ.ト~ウェアを導入.済みです。

私のエ.ク~ス.プロ.イトは、一~意の.コ°ードを使用し.チェ~ーンで機能.し、この種の攻撃は既存の対~策では検出.されません。

私は本職は.システム・インテグリティ・リードですが、この種の技術に関しては.プ.ロのハッ.カ~以上の精度.を持っています。

これ~は、すべて.HummingBad Rootkit.の展開によって.行われました。

貴方の.ア.カ*ウント情報：（伏せ字）

これらのデ.ータからわかる通り、情報.収集には十分な時間が.ありました。
数~カ月間、私のソフ.ト~ウェアは、あなたの習慣、訪~問するサイト、検索、送受信テ.キストなどの.情報を静~かに収*集していました。

明~確に言うと、私のソフ.ト~ウェアは貴方の.カ.メラと.マ.イクも制*御.しました。
---プ.ライバ.シーを侵害~するのはちょうど良いタイ*ミングでした。
貴方を主~演とした.深夜の.密.室で身体を淫*らに弄り*倒す行為.をいくつ.か作成しました。

----------

すで~に十分に待ったので、これに決.着をつける時が来たと思い立ちました。
こちらが私からの.ご提案です。

これを、私が希望する.コン*サル*ティング料金と名付け、これまでに集めてきた.メ.ディア・コン*テンツを削除~したいと思います。

========== vz-88195938

私が支*払~いを受け取れば、貴方の.プライバシーは守られます。
そうでなければ、私は貴方の、あなたの家族、親戚、友人、そして全ての知り合いの連絡先.に最も有害な.コン*テ.ンツを漏~らし、公開ウェブサイトに投稿.します。
あなたも、私も、これによって貴方が被る.損害の大きさを認識しています。

私の適切な.コン~サル*ティング料金は、167094円相当の.ビット・コイーンです。
振込~先ウォ.レット^（ビット・コイン）：
=========================================
1MsvXU2DdxndD4MnXue41uon5De7u9XnAx
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

定~められた料金は変更できません。72.56.時間^以内に支.払~うものとされます。
支払*いを受け取るまで貴方の.動~きを全て、常に監.視^下にあります。
期限^以内に取引を完.了していただければ、すべての情報を削除し、今後一切の関与を断ちます。
明日もあなたの元に、たくさんのハッピーが届きますように。

---
adqc-9565960729
2026/6/19 20:30:29

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
Received: from vamlggwaz.jp (static-87-75-111-31.vodafonexdsl.co.uk [87.75.111.31])

【偽装判定】：
送信元IPアドレス「87.75.111.31」を逆引きすると、英国Vodafoneの一般家庭用xDSL回線であることが分かりました。法人のメールサーバーや専用のクラウド基盤ではなく、誰かの自宅のネット回線（おそらく踏み台にされたPCやルーター）から直接送信されている可能性が高いです。さらに、送信元ドメイン「vamlggwaz.net」にはSPFレコードすら設定されておらず（Received-SPF: None）、最低限のなりすまし対策すら取られていません。調査時点ではこのドメインは既に名前解決ができなくなっており、使い捨てとして短期間だけ運用されたことが分かります。

使用メーラー：
ヘッダーにはX-Mailer: Microsoft Outlook Express 6.00.2900.5512と記載されていました。これは2001年にリリースされたWindows XP付属の古いメールソフトです。今この組み合わせがヘッダーに残っているということは、攻撃者が古い自動送信ツールやボットネット経由のスクリプトを今でも使い回している可能性を示しています。

発信元ロケーション解析：
IPアドレス87.75.111.31の地理的情報は【ip-sc.netで確認する】からご覧いただけます。ロケーションデータは日々変化する可能性がありますので、あくまで調査時点の参考情報としてご覧ください。

■ なぜワードサラダが使われているのか

文中の「ゼ.ロ°ク.リック」のように、単語の間に「.」「~」「°」「*」「^」が不自然に挟まっているのにお気づきでしょうか。これは偶然の文字化けではなく、攻撃者が意図的に行っているものです。

• スパムフィルター回避のため：メールサービスのフィルターは「hack」「bitcoin」といった単語のパターンを検知しますが、記号で分断することで機械的な検知をすり抜けやすくなります。
• 「専門家っぽさ」の演出のため：普通に読みづらい文章の中に専門用語を散りばめることで、不安になった受信者に「よく分からないけど、相当詳しい人が書いている」と思わせる狙いがあります。

逆に言えば、文章が崩壊していること自体が、人間が書いた精巧な脅迫文ではなく、機械的に生成・送信されたテンプレートである証拠になっているわけです。

■ 注意点と対処法

1. 絶対に支払わない：本文に書かれているハッキングの証拠は何一つ提示されていません。一度払ってしまうと「払う人」と認識され、さらに追加の請求が来るケースも報告されています。
2. ビットコインアドレスを検索してみる：同じ文面・同じアドレスを使った被害報告がインターネット上に多数見つかることがあります。一人で抱え込まず、まずは検索して落ち着いて確認してみてください。
3. パスワードの見直しを：本文に実際のパスワードが記載されているタイプの亜種も存在します。心配な場合は、よく使うサービスのパスワードを変更し、二段階認証を設定しておくとより安心です。
4. 誰かに話す：プライベートな内容で脅されると、つい一人で解決しようとしてしまいますが、家族や友人に「こんなメールが来た」と話すだけで、冷静な判断を取り戻しやすくなります。
5. 公式機関への相談先：警察庁 サイバー事案に関する相談窓口

本レポートの結論

今回のメールは、実際のハッキングではなく、専門用語とワードサラダで不安を煽るだけの空脈な脅迫でした。送信元は英国の一般家庭用ネット回線、使用ドメインは調査時点で既に失効済みという、典型的な「使い捨てインフラ」による大量送信です。こうしたメールは、何百万通もばらまいて、ごく一部の人が恐怖から支払ってしまうことで成立する数の勝負のビジネスです。支払ってしまった一人のお金が、次の被害者を生むための攻撃インフラの維持費になってしまいます。身近な人がこうしたメールで一人で悩んでいないか、ぜひこの記事のURLを家族や友人と共有して、安心して相談できる空気を作ってあげてください。