【解析】Appleを騙る「ご利用料金のご請求詳細について」は詐欺!モンスターストライク購入名目でSendGridを悪用した巧妙な手口

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★★ (5/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] ご利用料金のご請求詳細について
送信者表示名:サポートセンター
送信元アドレス:HarryCissie@ozoqw.com(Apple公式ドメインとは無関係)
※メールヘッダー詳細は個人情報保護のため非掲載
受信日時:2026年6月30日 18:34頃
ご覧の通り、このメールはAppleを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族や職場のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです(メールアドレスは伏字にしています)。
いつもAppleをご利用いただきありがとうございます。
お客様のアカウントにて、以下のご利用明細が発行されました。ご利用内容、金額、お支払い方法に相違がないかご確認ください。
請求ID:MKR20556530
メールアドレス:○○@○○.jp
利用日時:2026-06-30 17:34:18
ご利用内容
モンスターストライク 宝珠
アプリ内課金
Appleに登録されたアカウントでのご利用です。 ¥10,000
小計 ¥10,000
ご請求合計 ¥10,000
このご利用にお心当たりがない場合は、第三者による利用や登録情報の変更が行われている可能性があります。アカウント保護のため、購入履歴、登録情報、お支払い方法、ログイン状況をご確認ください。
[請求内容を確認する]
リンク先:hxxps://zlbbuv[.]com/cliiby(伏字・無効化済み) 本メールはAppleより自動送信されています。 安全のため、各種確認・変更手続きは公式ページより行ってください。
※実際に届いたApple偽装メールの画面です。
「モンスターストライク」等、実在する人気アプリ名や具体的な金額(¥10,000)を使うことで信ぴょう性を高めていますが、Apple公式のご利用明細ではありません。心当たりのない請求ほど、慌てて内容を確認しようとリンクを開いてしまいがちなので注意が必要です。
■ 送信ルート及び偽装判定
送信元IPアドレス:159.183.98.77(Received-SPFヘッダーのclient-ip値より特定)
HELO名:o3.ptr5439.ozdshb.com
SPF認証:Pass(成功)
【偽装判定】:
SPF認証(送信元詐称の有無を判定する仕組み)がPass(成功)でも、Apple公式とは限りません。Receivedヘッダーの経路には「geopod-ismtpd」という文字列が含まれており、これは海外の大手メール配信サービス(SendGridなど)に特有の痕跡です。つまりこのメールは、Apple公式の配信基盤ではなく、正規のメール配信サービスを使って第三者(攻撃者)が独自に取得したドメインから送信されたものであり、SPFが通っているのはその攻撃者側ドメインの認証が正しく設定されているだけに過ぎません。
発信元ロケーション:アメリカ(送信基盤のIPアドレスに基づく)
詳細:ip-sc.netで159.183.98.77を確認する
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://zlbbuv[.]com/cliiby
リンクドメイン:zlbbuv.com(Apple公式ドメインとは無関係の無意味な文字列ドメイン)
サイトサーバーIP:172.67.131.246(Cloudflare経由。実際のホスティング元は隠されており特定できません)
詳細:ip-sc.netで172.67.131.246を確認する
【サイトの状態】:Google Chrome(Googleセーフブラウジング)が「危険なサイト:フィッシングが検出されました」として警告を表示。別のアクセスではCloudflareのセキュリティサービス自体にブロックされ、ページが表示されない状態も確認されました。GoogleとCloudflareの双方から危険と判定されているサイトへ、リンクは絶対にクリックしないでください。
※Chromeが「危険なサイト」として警告した画面です。
※Cloudflareのセキュリティサービスによってブロックされた画面です。
せっかく準備したフィッシングサイトも、GoogleとCloudflareの二重の壁に阻まれてしまったようです(笑)。もっとも、いつ新しいドメインで復活してもおかしくないため、油断は禁物です。
■ 注意点と対処法
- 「請求内容を確認する」ボタンは絶対にクリックしない:リンク先は情報を盗むための偽サイトです。
- SPF認証のPass表示だけで信用しない:正規の配信サービスを悪用した攻撃では、送信元ドメイン自体の認証は通ってしまいます。
- 公式サイトを確認:身に覚えのない請求は、メール内のリンクではなく、公式アプリまたはApple公式サイトの購入履歴から直接確認してください。
- 公式注意喚起の参照:Apple公式:フィッシングメッセージ、偽のサポート電話、その他の詐欺を含むソーシャルエンジニアリングスキームを認識し、対処する
本レポートの結論
「ご利用料金のご請求詳細について」を騙るこのメールは、実在の人気アプリ名と具体的な金額で信ぴょう性を演出しつつ、正規のメール配信サービスを悪用して送られたApple偽装フィッシングです。SPF認証がPassでも安心材料にはならず、誘導先はGoogle・Cloudflareの双方が危険と判定するサイトでした。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族や職場のLINEグループで『これ気をつけて!』と共有してあげてください。
※ロケーション等の情報は調査時点(2026年7月1日)のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net














