【警告】「アカウント閉鎖リクエストの有効化が必要」は詐欺!48時間以内を煽るロシア発なりすましメールの正体

HL-META: date=2026-07-01 | brand=自社ドメインなりすまし(アカウント閉鎖リクエスト) | sender_geo=ロシア・ハバロフスク地方 | site_geo=アメリカ・バージニア州アッシュバーン | spf=fail | dkim=不明 | cloaking=no

【警告】「アカウント閉鎖リクエストの有効化が必要」は詐欺!48時間以内を煽るロシア発なりすましメールの正体

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「【重要】アカウント閉鎖リクエスト(○○@メールアドレス)の有効化が必要 – 48時間以内にご対応ください。」という件名のメールが、送信者名・宛先アカウント名を無作為に変えながら大量に届いています。ハートランド・ラボが実際の1通を調査したところ、送信元はロシアの一般家庭向け回線、誘導先はネパールの汎用ドメインを使った偽ログインサイトであることが判明しました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★★☆ (4/5)

■ メールヘッダー解析(送信者情報)

件名:【重要】アカウント閉鎖リクエスト(shop@○○.jp)の有効化が必要 – 48時間以内にご対応ください。

送信者表示名:IT-Admin○○.jp(数字列)

送信元アドレス:hf10490@kchnet.or.jp(実在する医療機関のドメインを詐称)

※メールヘッダー詳細は個人情報保護のため非掲載

受信日時:2026年7月1日 10:50頃

ご覧の通り、このメールは管理者を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族や職場のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです(宛先ドメイン名は伏字にしています)。


ユーザー様 shop

管理者からの公式通知です。

お客様のメールアカウントは閉鎖予定です。

アカウントを継続するには、こちらをクリックしてください:
hxxps://authwebmaillogon-○○.jp/9309792-shop@○○.jp/(伏字・無効化済み) 管理者 ○○.jp メールは shop@○○.jp に送信されました jcwtilcofssewhacjdgack

※実際に届いたメールの画面です。

本文中のリンク先URL「authwebmaillogon-○○.jp」は、受信者が実際に使っているドメイン名を組み込んで自動生成された、その場限りの偽ドメインです。実在する自社ドメインに似せたURLだからこそ「本物かも」と錯覚しやすく、絶対にクリックしないでください。

■ 送信ルート及び偽装判定

送信元IPアドレス:212.19.23.205(Received-SPFヘッダーのclient-ip値より特定。この値がメール認証における「本当の送信元」を示します)

HELO名(送信サーバーが自己申告するドメイン名):kchnet.or.jp

【偽装判定】:
kchnet.or.jpは実在する国内医療機関の公式ドメインであり、詐欺グループとは一切関係ありません。IPアドレスを逆引き(IPアドレスから接続元のホスト名を調べること)すると、実際の送信元は「host-212-19-23-205.broadband.redcom.ru」——ロシアの一般家庭向けブロードバンド回線(DSL)であることが判明しました。実在する日本の組織のドメイン名を勝手に名乗っているだけで、その組織とは無関係です。

SPF認証(送信元詐称の有無を判定する仕組み):Fail(失敗)——送信元の詐称が技術的に証明されています。

発信元ロケーション:ロシア・ハバロフスク地方
Googleマップ:【位置情報を確認する】
詳細:ip-sc.netで212.19.23.205を確認する

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://medixsurgicalconcern.com.np/jp/#shop@○○.jp(一部伏字)

リンクドメイン:medixsurgicalconcern.com.np(ネパールの汎用ドメイン。医療系の英単語を含みますが実在の医療機関とは無関係です)

URLの末尾「#shop@○○.jp」は、フラグメント(#以降の部分)に被害者のメールアドレスを埋め込む手口です。リンクを開いただけで偽ログイン画面のID欄にメールアドレスが自動入力され、パスワードを入力するだけの状態にされてしまいます。

サイトサーバーIP:192.185.115.14
ロケーション:アメリカ・バージニア州アッシュバーン(Oracle Corporation, ホスティング用途)
Googleマップ:【Googleマップで表示】
詳細:ip-sc.netで192.185.115.14を確認する

【サイトの状態】:ウイルスバスター クラウドが「フィッシング」として即座にブロック。ブロックをすり抜けた場合、メールアドレスが自動入力された本物そっくりの偽ログイン画面が表示されます。

※フィッシングサイトとして即座にブロックされた画面です。

※ブロックを回避した場合に表示される偽のログイン画面です。メールアドレスが自動入力されている点にご注目ください。

なお、宛先として使われていたアカウント名(shop、office、accountsなど)はすべて攻撃者が無作為に生成したものです。実在の担当者名ではなく、機械的に大量生成された「当て推量」に過ぎません(末尾に付いた「jcwtilcofssewhacjdgack」のような無意味な文字列も、スパムフィルタの目を欺くための定番の水増し手口です)。

■ 注意点と対処法

  1. 本文中のリンクは絶対にクリックしない:リンク先は自社ドメインに似せた偽ドメインを経由し、情報を盗むための精巧な偽サイトに誘導します。
  2. 「48時間以内」等の期限表記に焦らない:短い期限で判断力を鈍らせるのは詐欺メールの典型的な手口です。
  3. 公式の管理画面へは必ずブックマークやアプリから:メール内のリンクからではなく、普段お使いの正規の管理画面URLからアクセスしてください。
  4. 万一パスワードを入力してしまった場合:直ちにそのパスワードと、使い回している他サービスのパスワードもあわせて変更してください。
  5. 公式の注意喚起の参照:フィッシング対策協議会 Council of Anti-Phishing Japan

本レポートの結論

「アカウント閉鎖リクエストの有効化が必要」を騙るこのメールは、実在の医療機関のドメイン名を偽装しつつ、実際の送信元はロシアの一般家庭向け回線という典型的ななりすまし詐欺です。誘導先はネパールドメインの偽サイトで、メールアドレスを自動入力させる手口も確認されました。宛先アカウント名も無作為に生成されたもので、特定の個人を狙ったものではありません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族や職場のLINEグループで『これ気をつけて!』と共有してあげてください。

※ロケーション等の情報は調査時点(2026年7月1日)のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る