【緊急】DocuSign偽装「支払い確認」が25通連投!Dell公式の上に偽ログイン窓が出現
| 緊急性レベル | ★★★★★ (5/5) ※短時間で25通という集中的な配信 |
| 偽装工作精度 | ★★★★★ (5/5) ※実在企業の公式サイトを背景に使う二重構造は当ブログでも稀有な巧妙さ |
まず実際に届いたメールをご覧ください。英語のビジネス文書で、DocuSignのロゴと紫色のデザインを使い、いかにも本物の取引通知に見えるよう作られています。
▼ 実際に届いたDocuSign偽装メールの全体像
■ メールヘッダー解析(送信者情報)
件名:Total Amount Paid To shop As At 6/21/2026 10:41:37 p.m.
送信者表示名:“Account Payable”(支払い担当部署を装う名称)
送信元アドレス:operationmanager@roseamer.in(DocuSignの正規ドメインとは無関係)
受信日時:2026年6月22日(月)14:41:39 +0900
※メールヘッダー詳細は個人情報保護のため非掲載
本日だけで25通という異常な配信量です。心当たりのない英語の「支払い確認」メールが届いたら、即座に削除してください。
DocuSignは電子契約サービスとして実在する大手企業ですが、本物のDocuSignが「お店への支払い合計金額」というような曖昧な件名で、見覚えのない相手に署名を求めるメールを送ることは通常ありません。「Kindly take a moment to read through the enclosed documents(添付の文書をお読みいただき)」という丁寧な英語表現で、警戒心を解こうとしている点も特徴的です。
■ 送信ルート及び偽装判定
※メールヘッダー詳細は個人情報保護のため非掲載。
SPFの結果:
Received-SPF: Neutral (access neither permitted nor denied)
SPFが「Neutral(中立)」という結果は、送信元ドメインの管理者がSPFレコードで「許可も拒否もしない」という曖昧な設定をしている場合に出ます。Pass(認証成功)でもFail(認証失敗)でもなく、いわば「グレーゾーン」の判定です。本物のDocuSignがこのような曖昧な設定を許すことはなく、この時点でなりすましの疑いが強まります。
【偽装判定】:
DocuSignの正規ドメインは docusign.com/docusign.net です。送信元の「roseamer.in」はインドの国別ドメイン(.in)を使った、DocuSignとは一切無関係なドメインです。
発信元ロケーション解析:
送信元IP:104.249.10.167
プロバイダー:Stellar Group SAS(AS番号214961/STELLARGROUPSAS)
フランス・プロヴァンス=アルプ=コート・ダジュール地域圏・ブーシュ=デュ=ローヌ県・カブリエス
IPアドレス調査:ip-sc.netで詳細を確認する(脅威レベル「高」、攻撃対象「Web」と判定)
■ フィッシングサイト詳細解析
誘導先URL(1段目):https://boahemaavillage.com/index.html?email=(受信者アドレス)
【サイトの状態】:ウイルスバスター クラウドが「このWebサイトは、安全ではない可能性があります」として、脅威の種類「フィッシング」を表示し、すでにブロックしています。
▼ ウイルスバスターによるフィッシングサイトのブロック画面
セキュリティソフトの保護がない状態で実際にアクセスすると、表示される画面が非常に巧妙です。なんとDell(デル)の公式サイトがそのまま背景に表示され、その上に偽の「Webmail」というログインフォームのポップアップが重ねて表示されるという二段構えの作りになっていました。背景が本物のDell公式サイトであるため、画面全体としては「いつも見るような企業サイト」に見え、警戒心が薄れやすくなっています。さらに、メールアドレス欄にはあらかじめ受信者のメールアドレスが自動入力されており、パスワードだけを入力させれば情報を盗み取れる、効率重視の作りです。
▼ Dell公式サイトを背景に表示された偽のWebmailログイン画面
■ 注意点と対処法
- 身に覚えのない英語の「支払い確認」メールは開かない:件名が事務的・曖昧であるほど警戒してください。
- 背景に有名企業のサイトが表示されていても安心しない:本物のサイトの上に偽のログイン窓を重ねて表示する手口があります。画面全体が「正規のサイトに見える」ことと「実際に安全である」ことは別問題です。
- メールアドレスが自動入力されていても入力を進めない:これは「あなた個人を狙っている」ことの裏付けであり、油断を誘う仕掛けです。
- DocuSignからの通知は公式アプリ・公式サイトで確認する:本当に署名が必要な文書がある場合、別の正規の連絡経路(取引先からの直接連絡など)でも確認が取れるはずです。
- セキュリティソフトの警告は必ず守る:「危険なサイト」という表示が出たら、その場でアクセスを中止してください。
本レポートの結論
DocuSignを偽装した「支払い確認」メールが、わずか数時間で25通も届くという異常な配信量でした。送信元ドメインはDocuSignとは無関係なインド系ドメインで、SPF認証も「中立」という曖昧な結果です。さらに誘導先では、実在するDell公式サイトの上に偽のログイン画面を重ねて表示する、視覚的に非常に巧妙な手口が使われていました。「画面に見覚えのある企業ロゴがあるから安全」とは限りません。身に覚えのないビジネス文書の通知は、開かずに削除することが最善の防御です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族や同僚のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・誘導先サイトの状態は調査時点のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖