【警告】自社ドメインを騙る「メールボックス容量90%超過」通知は詐欺:なぎなた連盟ドメイン盗用とCloudflare R2悪用の手口

HL-META: date=2026-07-03 | brand=自社ドメインなりすまし(ホスティング・サーバー系) | sender_geo=日本 | site_geo=不明(Cloudflare R2のため特定不可) | spf=pass | dkim=pass | cloaking=不明

【警告】自社ドメインを騙る「メールボックス容量90%超過」通知は詐欺:無関係団体のドメイン盗用とCloudflare R2悪用の手口

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

今回ご紹介するのは、当ラボが業務で使用している自社ドメイン宛に届いた「メールボックス容量が90%を超えています」というなりすましメールです。差出人には自社ドメインの文字列が含まれていますが、実際の送信ドメインは無関係の団体のものでした。誘導先にはCloudflareのオブジェクトストレージが使われるなど、これまでとは一味違う手口が確認されました。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★★☆ (4/5)

「自社ドメインを名乗るメール」は、社内の人間なら誰でも一瞬信じてしまいかねない危険な手口です。個人情報保護の観点から、宛先や差出人の詳細は伏せつつ解析結果をご紹介します。

※実際に届いたメールの画面です。宛先・件名の一部はモザイク処理しています。

■ メールヘッダー解析(送信者情報)

件名:[spam] (自社ドメイン)の現在のメールボックス容量が90%を超えています。

送信者名:(自社ドメイン)サポートチーム

送信元アドレス:自社ドメイン名を含むローカルパート+無関係の実在団体の正規ドメイン(個人情報保護のため詳細は非掲載)

ドメインIP解析:日本国内のサーバーから送信(詳細IPは調査中)

受信日時:2026年07月02日 20時01分頃

※メールヘッダー詳細・宛先は個人情報保護のため非掲載

ご覧の通り、このメールは自社ドメインを装った真っ赤な偽物です。社内・関係者への注意喚起として、この解析結果を共有してください。

💡ここで!

差出人アドレスに「自社ドメインらしき文字列」が入っているのに、なぜ偽物と分かるの?

メールアドレスは「ローカルパート@ドメイン」という構造になっています。攻撃者は@より前の部分(ローカルパート)に「自社ドメイン名らしき文字列」を自由に書き込むことができますが、実際に信頼できる情報は@より後ろの「本当のドメイン」の方です。今回のメールも、一見自社の名前が含まれているように見えて、実際の送信ドメインは全く無関係の団体のものでした。メールアドレスを見るときは、必ず@より後ろまで確認する習慣が大切です。

■ 送信ルート及び偽装判定

Receivedヘッダー解析(サーバー通過証明):
当ラボの受信サーバーに直接着信したのは、日本国内のIPアドレスからでした。SPF・DKIMともに「Pass」と表示されていますが、これは攻撃者が実際の送信ドメイン(無関係の実在団体のもの)に対して正しく認証設定を行っただけのことであり、自社からの正規のメールであることの証明には一切なりません。

【偽装判定】:
実際の送信ドメインを調べたところ、当ラボの業務とは一切関係のない、実在する公益法人の正規ドメインでした。無関係の第三者ドメインが盗用されており、公式のシステム通知とは一切関係がありません。この団体名は本記事では伏せます。

■ 送信基盤について:
ヘッダーには、盗用されたドメイン以外に、国内の法人向けメール配信サービスとみられる基盤のDKIM署名も付与されていました。正規のメール配信サービスが、無関係のドメインを騙るメールの中継に使われてしまっている可能性があります。

「自社を騙るメールが自社に届く」という、なんともブーメランのような状況ですが、攻撃者からすれば「宛先ドメイン=差出人ドメインの一部」にしておけば見た目の違和感が薄れる、という計算があるのでしょう。手口としては単純ながら、地味に効果的です。

■ フィッシングサイト詳細解析

誘導先URL:Cloudflareのオブジェクトストレージサービス「R2」上に設置された偽ログインページ(個人情報保護のため、URL内の識別子部分は伏せます)

リンクドメイン:pub-[ランダム文字列].r2.dev

【注目ポイント】:URLのパラメータ部分に、受信者のメールアドレスをBase64エンコードして埋め込む「個人特定型」の仕組みが確認されました。これにより、誰がこのリンクを開いたかが攻撃者側で追跡できるようになっていると考えられます。当ラボではこのパラメータの内容は解析のみに留め、記事には掲載していません。

【サイトの状態】:アクセスすると、シンプルな英語のログイン画面が表示されます。IDとパスワードを入力すると、攻撃者にアカウント情報が渡ってしまいます。

※「今すぐ確認する」ボタンを押すとこの画面が表示されます。

※解析データに基づき、攻撃者は正規クラウドサービスの間借りを組み合わせ、短期間でインフラを使い捨てていることが確認されています。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。宛先・固有情報は伏せています。リンクは絶対にクリックしないでください。


容量残りわずかのご案内

(宛先メールアドレス)様、

現在のメールボックス容量が90%を超えています。
容量が不足すると新しいメールを受信できなくなります。

・ゴミ箱や迷惑メールの削除
・大きな添付ファイルの移動
・古いメールの整理

【 今すぐ確認する 】(=フィッシングサイトへのリンク。実際にはクリックできないようになっています)

このメッセージは通知専用です。

■ 注意点と対処法

  1. 「今すぐ確認する」ボタンは絶対にクリックしないでください。リンク先はID・パスワードを盗むための偽サイトです。
  2. 差出人アドレスは@より後ろの「本当のドメイン」まで必ず確認してください。自社名らしき文字列が入っていても油断は禁物です。
  3. メールボックス容量の確認は、メール内のリンクからではなく、契約しているレンタルサーバー会社の管理画面へ直接ログインして行ってください。
  4. 不審なメールを受け取った場合:社内で情報共有し、同僚が誤ってクリックしないよう注意喚起してください。
  5. 公式注意喚起の参照:フィッシング対策協議会 公式サイト

本レポートの結論

「メールボックス容量が90%を超えています」という自社ドメインなりすましメールは、実際には無関係の実在団体のドメインを盗用して送信された詐欺メールです。誘導先にはCloudflareのオブジェクトストレージが使われ、受信者ごとに個人を特定できるURLパラメータまで仕込まれていました。「自社を名乗るメール=安全」とは限りません。差出人アドレスの@より後ろまで必ず確認する習慣を、社内・関係者と共有してください。この記事のURLをコピーして、家族や同僚のLINEグループで「これ気をつけて!」と共有してあげてください。

調査日:2026年7月3日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る