【調査報告】KAGOYAを騙る「カスタマー サービスからの重要なお知らせ」は詐欺!Azure×ロシア中継×自己ドメイン詐称の新手口

HL-META: date=2026-07-01 | brand=KAGOYA(Active!mailなりすまし) | sender_geo=ロシア(中継サーバー経由、発信元はAzure上の仮想マシンとみられる) | site_geo=ロシア | spf=softfail | dkim=不明 | cloaking=no

【調査報告】KAGOYAを騙る「カスタマー サービスからの重要なお知らせ」は詐欺!Azure×ロシア中継×自己ドメイン詐称の新手口

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

レンタルサーバー・ホスティング大手「KAGOYA」を騙り、Webメールサービス「Active!mail」の偽ログイン画面へ誘導するフィッシングメールが確認されました。今回の特徴は、送信経路にクラウド(Azure)と海外の中継メールサーバーを組み合わせ、さらに差出人アドレスに受信者自身のドメインを詐称するという、複数の偽装テクニックを重ねている点です。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★★☆ (4/5)

■ メールヘッダー解析(送信者情報)

件名:カスタマー サービスからの重要なお知らせ(要対応)

送信者表示名:KAGOYA JAPAN®

送信元アドレス:webmail131811073181@○○.jp(受信者自身のドメインを詐称)

※メールヘッダー詳細は個人情報保護のため非掲載

受信日時:2026年7月1日 9:41頃

ご覧の通り、このメールはKAGOYAを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族や職場のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


いつもKAGOYAをご利用いただきありがとうございます。
ご担当者様
あなたの KAGOYA ACTIVE MAIL に影響を与える問題が検出されました
この問題を解決するには、有効な電子メールとパスワードを使用して安全なサーバーにログインしてください
24時間以内にこれを確認し、修正を承認します。他に何もする必要はありません。

▼▼▼ ▼▼▼ ここをクリックして修正 ▼▼▼ ▼▼▼
[ここをクリック]
リンク先:hxxps://original-group[.]ru/bitrix/web/k/login.php(伏字・無効化済み) 上をクリックしてサーバーの問題を解決し、ブロックされないようにします。正しい資格情報でログインして、身元を認証し、サーバーの問題を解決することが重要です。 ──────────────── KAGOYA by GMO Customer Support ──────────────── ■KAGOYA INTERNET GROUP■ ■Securities code 9449 on the first section of the Tokyo Stock Exchange ■To become a comprehensive Internet group representing Japan■ ────────────────

※実際に届いたKAGOYA偽装メールの画面です。

メール末尾の署名には「証券コード9449」と記載されていますが、KAGOYAは非上場企業であり証券コードを持ちません。実は9449は同業の別会社「GMOインターネットグループ」の証券コードです。攻撃者は他社の情報を丸写ししてしまったようで、なりすまし先を自ら間違えているという珍しいミスが見つかりました(笑)。

■ 送信ルート及び偽装判定

SPF認証:Softfail(ドメイン所有者がこのホストからの送信を推奨していないという判定)

中継サーバー:mail.ses36.ru(ロシアのメールサーバー)

【偽装判定】:
送信者アドレスには受信者自身が使っているドメインがそのまま使われていました。これは「自己ドメイン詐称」と呼ばれる手口で、差出人と宛先を同じドメインに見せかけることで、一部の迷惑メールフィルターの判定を混乱させる狙いがあります。さらにReceivedヘッダーを最も外側までたどると、ロシアの中継サーバーに接続してきた大元の発信元は「20.172.36.133」というIPアドレスで、これはMicrosoft Azure(マイクロソフトのクラウドサービス)が保有するIPアドレス帯に該当します。クラウドの仮想マシンから海外の中継サーバーを経由するという、複数の踏み台を重ねた送信経路です。

発信元ロケーション:ロシア(中継サーバー所在地)
詳細:ip-sc.netで31.214.202.202を確認する

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://original-group[.]ru/bitrix/web/k/login.php(一部伏字)

リンクドメイン:original-group.ru(ロシアの.ruドメイン。KAGOYA公式ドメイン「kagoya.jp」とは一切無関係です)

URLパラメータには受信者のメールアドレスがBase64(データを英数字に変換する符号化方式)でエンコードされて埋め込まれており、サイトを開いただけで本物そっくりのActive!mailログイン画面のID欄に、あなたのメールアドレスが自動入力される仕組みになっています。

【サイトの状態】:本物のActive!mailログイン画面を精巧に模しており、見た目だけでは真偽の判別が困難です。パスワードを入力すると、攻撃者にログイン情報が送信されます。

※本物そっくりに作られた偽のログイン画面です。

■ 注意点と対処法

  1. 「ここをクリック」ボタンは絶対にクリックしない:リンク先は情報を盗むための精巧な偽サイトです。
  2. 差出人アドレスのドメインだけで信用しない:自分自身のドメインを詐称する手口があるため、送信元表示だけでは真偽が判断できません。
  3. ログインは必ずブックマークや公式アプリから:メール内のリンクからではなく、日頃お使いの正規のログインページからアクセスしてください。
  4. 公式の注意喚起の参照:KAGOYA公式:フィッシングメールにご注意ください

本レポートの結論

「カスタマー サービスからの重要なお知らせ」を騙るこのメールは、Azureの仮想マシンからロシアの中継サーバーを経由し、さらに受信者自身のドメインを詐称するという、複数の偽装を重ねたKAGOYAなりすましフィッシングです。誘導先はActive!mailの偽ログイン画面で、メールアドレスの自動入力機能まで備えた精巧な作りでした。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族や職場のLINEグループで『これ気をつけて!』と共有してあげてください。

※ロケーション等の情報は調査時点(2026年7月1日)のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る