【警告】「日本郵便」の件名で来たのに本文は総務省?添付HTML経由フィッシングの正体
| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★☆☆☆ (2/5) ※件名と本文の名乗りが一致しておらず、攻撃キットの作り込みとしては粗い |
■ メールヘッダー解析(送信者情報)
件名:日本郵便 – 不在配達通知/荷物受け取り確認(本人確認必須)
送信者表示名:“総務省 行政デジタル推進室”
送信元アドレス(表示上):gov-notice@soumu.go.jp(総務省の正規ドメインを装ったなりすまし)
添付ファイル:公式通知_164503.html(実行・開封厳禁)
受信日時:2026年6月22日(月)07:30:13 +0900
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、このメールは公式機関を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
それではまず、実際に届いたメールの本文を見てみましょう。件名に「日本郵便」とあるのに、本文には一度も「日本郵便」という言葉が出てこない点に注目してください。
▼ 実際に届いたメールのスクリーンショット
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
Users 様 総務省より重要なお知らせです。 添付の公式文書をご確認いただき、本人確認手続きをお願いいたします。 参照番号: JP-88525505-2830 何卒よろしくお願い申し上げます。 総務省
宛名が「Users 様」となっている点も典型的です(本来の受信者の氏名を把握していない証拠)。また「参照番号」のような管理番号らしき文字列を入れることで、いかにも事務的・公的な通知らしく見せる手口は、この手のなりすましメールの定番テクニック(権威性の演出)です。件名は荷物の不在通知をうたいながら、本文では一度も配達や荷物の話に触れず、いきなり「本人確認手続き」を求めてくる──この時点で内容に一貫性がなく、攻撃者側がテンプレートを使い回す際に件名と本文の組み合わせを間違えた可能性が濃厚です。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
※メールヘッダー詳細は個人情報保護のため非掲載
解析の結果、メールは送信元IP 212.19.23.205(ホスト名:host.212-19-23-205.broadband.redcom.ru)から発信されたことが確認されています。
SPF(送信ドメイン認証)の結果:
Received-SPF: Fail (SPF fail - not authorized)
総務省の正規ドメイン「soumu.go.jp」を名乗りながら、送信ドメイン認証(SPF:本当にそのドメインの管理者が許可したサーバーからの送信かを確認する仕組み)に失敗しています。これは総務省の正規メールサーバーを経由していない、なりすましメールであることの技術的な証拠です。
【偽装判定】:
総務省からの正規メールが、ロシアの家庭用ブロードバンド回線から送られてくることはあり得ません。さらに件名で名乗る「日本郵便」と本文で名乗る「総務省」が一致していない点からも、これは複数のなりすましテンプレートを取り違えて使った、典型的な大量配信型フィッシングメールと判断できます。
発信元ロケーション解析:
ロシア・ハバロフスク地方・ハバロフスク市
プロバイダー:Redcom-Bb(DSL・個人向け回線)
IPアドレス調査:ip-sc.netで詳細を確認する(脅威レベル「高」、攻撃対象「メール」と判定)
Googleマップ:【位置情報を確認する】
通常、フィッシングメールの送信元は企業のサーバーになりすますためにクラウドサービス(AWSやGCPなど)や中継サーバーを経由するケースが多いのですが、今回はそうした手間すらかけず、一般家庭向けのDSL回線から直接送信されている点が特徴的です。ip-sc.netの調査でも、クローラーやプロキシを使用していない「素のまま」の送信であることが確認されています。手口としての巧妙さよりも、量で勝負するタイプの攻撃と見られます。
■ フィッシングサイト詳細解析
誘導方式:本文への直接リンクの記載はなく、添付ファイル「公式通知_164503.html」を開かせる方式が採用されています。
誘導先URL/ドメイン/IP:[添付ファイルは安全のため未開封・未解析のため、誘導先の情報は不明]
【サイトの状態】:添付HTMLファイルはローカルで開いた瞬間にスクリプトが動作したり外部サーバーへ接続したりする恐れがあるため、Heartland-Labでは安全を優先し開封・解析を行っておりません。
※添付ファイル経由のフィッシングは、本文にリンクを書かないことでメールフィルターの自動検知をすり抜けようとする狙いがあると考えられます。
■ 注意点と対処法
- 添付ファイルは絶対に開かない:特にHTML形式の添付ファイルは、開いた瞬間に攻撃が始まる可能性があります。
- 件名と本文の名乗りが一致しているか確認する:今回のように「日本郵便」の件名なのに本文が「総務省」というような矛盾は、なりすましメールの強力な手がかりになります。
- 荷物の配達状況は公式サイト・公式アプリから確認する:メールやSMSのリンク・添付からは絶対にアクセスしないでください。
- 公式注意喚起の参照:日本郵便 不審メール及び架空Webサイトに関するご注意
本レポートの結論
「日本郵便」の件名で送られてきたのに本文では「総務省」を名乗るという、テンプレートの組み合わせミスが丸見えのフィッシングメールでした。総務省の正規ドメインを偽装しながらSPF認証には失敗し、送信元はロシアの家庭用ブロードバンド回線。リンクを本文に書かず添付HTMLを開かせる方式も、フィルター回避を狙ったものと考えられます。粗さはあっても添付ファイルを開いてしまえば被害につながる危険性は変わりません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖