【警告】NHK「受信料契約者限定視聴者還元のご案内」は偽物！5000円ギフト券で釣るフィッシング詐欺を解析

2026年6月24日

NHKを装い「受信料契約者限定の5,000円分視聴者還元プログラム」などと謳って、携帯電話番号やSMS認証コードを盗み取ろうとする極めて悪質なフィッシング詐欺メールが確認されました。PCとスマートフォンで異なる攻撃用インフラ（サーバー）を使い分けるなど、追跡を逃れるための高度な偽装工作が施されています。Heartland-Labセキュリティ研究班による解析レポートを緊急公開します。

【警告】NHK「受信料契約者限定視聴者還元のご案内」の正体：マルチインフラ工作を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

本メールは、NHKの正規サービスを巧妙に模倣し、「5,000円分の電子ギフトカード」をプレゼントするという虚偽の口実で受信者を釣る典型的なフィッシングメールです。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレス（現在使われている生きたアドレス）として攻撃者のリストに登録されるリスクがあります。さらに、アクセスした環境（PCかスマホか）によって誘導先サーバーを物理的に切り替えるという、極めて狡猾な隠蔽工作が確認されました。

緊急性レベル	★★★★★ (5/5)
偽装工作精度	★★★★★ (5/5)

■ メールヘッダー解析（送信者情報）

件名：[spam] 【NHK】受信料契約者限定視聴者還元のご案内

送信者名：“NHK ONLINE”

送信元アドレス：MRDZOW@wqvqpppu.messages.webpage-leisuapp.com

ドメインIP解析：35.212.175.56 (messages.webpage-leisuapp.com)

受信日時：2026年06月24日 11:36 (JST)

一見すると件名や送信者名に「NHK」の文字が並んでいますが、送信元メールアドレスのドメイン（@以降）は「wqvqpppu.messages.webpage-leisuapp.com」という、NHKとは何の関係もない無意味な文字列の羅列です。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※実際に被害者の元に届いた詐欺メールの受信画面です。正規ロゴなどはなく、テキスト主体の構成です。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

受信料契約者限定 視聴者還元のご案内

〇〇 様

平素よりNHKの放送をご視聴いただき、また受信料契約を通じて日本の放送文化を支えていただいておりますこと、心より御礼申し上げます。

このたびNHKでは、受信料契約者の皆様を対象とした視聴者還元プログラムを実施する運びとなりました。本プログラムは、契約者の皆様への日頃の感謝の意を表するものでございます。

視聴者還元の内容

還元内容：5,000円分ギフト券
対象者：NHK受信料契約者の皆様
お手続き：下記ボタンよりご確認ください

お手続きは画面の案内従っていただくだけで完了いたします。所要時間は1分程度でございます。

還元内容を確認する

クリックして詳細をご確認ください

※ 本件はNHK受信料契約者様限定のご案内となります。
※ 詳細についてはリンク先にてご確認いただけます。

※ 本メールは自動送信されています。
※ 本メールは 〇〇 様宛にお送りしております。
※ お心当たりのない場合は、お手数ですが破棄してくださいますようお願い申し上げます。

メール本文中の「還元内容を確認する」という青文字のリンク部分に、フィッシングサイトへ誘導する罠が仕込まれています。「お手続きは画面の案内に従っていただくだけ」「所要時間は1分程度」などと言葉巧みに警戒心を解こうとしています。

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
Received: from messages.webpage-leisuapp.com (messages.webpage-leisuapp.com [35.212.175.56])

【偽装判定】：
正規のNHKからのメールは公式ドメインから送信されます。本メールの送信ドメインは全くの無関係である上、SPF（送信元認証）は「PASS」となっており、攻撃者が自前で構築した、あるいは奪取した正規の認証サーバーから堂々と配信されていることが証明されています。

発信元ロケーション解析：
IPアドレス：35.212.175.56
ホスト・プロバイダ：Google LLC (Google Cloud)
位置情報：アメリカ・オレゴン州ワスコ郡（The Dalles）
Googleマップ：【位置情報を確認する】

※メールヘッダー詳細は個人情報保護のため非掲載

攻撃者はGoogleのクラウドインフラ（オレゴン州のデータセンター）を悪用し、大量のスパム・フィッシングメールを配信する拠点として利用している形跡が見られます。

■ フィッシングサイト詳細解析（マルチインフラ工作）

🚨 本件の極めて狡猾なポイント：アクセス環境によるサーバーの使い分け

① PC環境からのアクセス時：

・誘導先URL（伏せ字）：hxxps://www.laibahz.com/?XitiydT3wmSNKmPUvTbZ7AZH

・リンクドメイン：laibahz.com（レジストラ：July Name Limited）

・サイトサーバーIP：219.153.32.30（ip-sc.netリンク：219.153.32.30）

・ロケーション：中国・重慶市 (Chongqing) / China Telecom（中国电信）

② スマートフォン環境からのアクセス時：

・誘導先URL（伏せ字）：hxxps://www.fdpmij.com/home

・リンクドメイン：fdpmij.com（レジストラ：Gname 216 Inc）

・サイトサーバーIP：107.163.215.111（ip-sc.netリンク：107.163.215.111）

・ロケーション：アメリカ・カリフォルニア州ロサンゼルス (Los Angeles) / Enzu Inc

【サイトの状態】：

スマホ環境からアクセスすると、NHKの偽ロゴを冠した「ギフトカードお受け取り」を騙る精精巧な偽サイトが表示され、携帯電話番号の入力を強制されます。 番号を入力するとSMSで「認証コード」が送りつけられ、それを画面に入力させることで、被害者の回線（キャリア決済やアカウント権限）の乗っ取りを狙う仕組みです。なお、一部の環境やセキュリティフィルター経由では「アクセス拒否（WAFによるブロック画面）」が表示されるよう対策が打たれており、セキュリティ調査員による自動検知や追跡を妨害するクローキング（工作）が行われています。

※スマホから開いた際の偽サイト画面です。携帯電話番号を入力させ、SMS認証コードを詐取する極めて危険なフォームです。

※一部の環境や追跡スキャンに対して表示されるアクセス拒否画面です。ファイアウォールを装って隠蔽を図っています。

PCからのアクセスは中国・重慶市のインフラへ、スマホからのアクセスはアメリカ・ロサンゼルスのインフラへとパケットを分散させています。このように複数の国に跨るマルチインフラを構築している点からも、単独犯ではなく、組織化されたプロの詐欺集団による犯行である可能性が極めて濃厚です。直前の2026年6月23日前後にドメイン情報が活発にアップデート（笑）されており、まさに現在進行形で稼働している「獲れたて」の詐欺サイトです。

■ 注意点と対処法

URLをクリックしない：メールに記載されたボタンやリンクは、情報を詐取するための罠です。絶対に触れてはいけません。
SMS認証コードを入力しない：万が一スマホで番号を入力してしまい、その後SMSで認証番号が届いても、それらを画面に絶対に入力しないでください。アカウントが完全に乗っ取られます。
公式サイトの確認：NHKが受信料の還元を称して個人の携帯番号や認証コードを突如求めることはありません。不審に思った場合は、公式の窓口やアプリ、ブックマークから直接確認を行ってください。
公式注意喚起の参照：NHK 不審なメール・お電話にご注意ください

本レポートの結論

今回の詐欺は「公共放送からの払い戻し・還元」という、誰しもが気になる名目を悪用した非常に卑劣な手口です。さらに、PCとスマホで異なる海外サーバーを使い分け、セキュリティ検知をすり抜ける工作を施すなど犯罪の巧妙化が際立っています。身近な人が騙されて携帯アカウントを乗っ取られてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net
※本記事に記載されているロケーションおよびサーバーの状態は調査時点のものであり、攻撃者によってリアルタイムに変更・使い捨てが行われる可能性がある点をご留意ください。