「サブスクリプション更新のお知らせ」はApple/U-NEXT/三井住友カードの三重ブランド不一致詐欺——Azure送信・Cloudflare隠蔽・着地は無関係のVpass偽ログイン

| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★☆☆☆ (2/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【重要】年間プラン更新期限のお知らせ
送信者表示:“サブスクリプション更新のお知らせ” <送信者A>
送信元IP(Received-SPF: client-ip):20.97.238.42
SPF認証:Pass(このドメイン自体が送信元として正規登録されている、という意味に過ぎません)
受信日時:2026年7月11日
※メールヘッダー詳細(生ログ)は個人情報保護のため非掲載
ご覧の通り、このメールは公式Appleを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです(デザインは実際のメールと多少異なる場合があります)。

実際に届いた詐欺メールの表示画面
Apple サブスクリプション サブスクリプション更新のお知らせ 日頃より Apple サービスをご利用いただき、ありがとうございます。 U-NEXT の年間プランの更新時期が近づいてきました。 サブスクリプション名 U-NEXT 年間プラン 更新日 2026年7月17日 更新金額 ¥29,800(税込) ■ 自動更新について 現在、自動更新が有効になっております。 更新日までにキャンセル手続きをされない場合、上記の金額がご登録のお支払い方法に請求されます。 引き続きご利用いただく場合は、特に操作は必要ありません。 更新日を過ぎますと、自動的に更新処理が行われます。 ■ 引き続きご利用いただく場合 お支払い方法の変更は、下記リンクよりお願いいたします。 [お支払い方法を更新する] ■ ご利用を中止される場合 更新日までに下記リンクより解約手続きをお願いいたします。 手続き完了後は、更新日以降の課金はされません。 [サブスクリプションを管理・キャンセル] ※ 本メールは自動配信となります。ご返信には対応いたしかねますので、あらかじめご了承ください。 Appleサポート Copyright c 2026 Apple Inc. All rights reserved. Apple Japan Inc., 〒106-6140 東京都港区六本木6-10-1 六本木ヒルズ森タワー
まず気づくのは、見出しは「Apple サブスクリプション」なのに、更新対象は「U-NEXT年間プラン」だという明らかな矛盾です。正規のAppleからのサブスクリプション更新通知であれば、対象サービス名の表記に統一感のない状態でメールが届くことはあり得ません。攻撃者が使い回したテンプレートの設定を、きちんと差し替えないまま送信してしまったと見られます。
住所欄には「東京都港区六本木6-10-1 六本木ヒルズ森タワー」という実在の住所が記載されていますが、これはApple Japanの本社所在地の丸写しであり、送信元の正当性を裏付けるものでは全くありません。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=20.97.238.42; helo=mail14.goxlyknuxfb.top
【偽装判定】:
正規のAppleからのメールは「apple.com」等の公式ドメインからのみ配信されます。本メールの送信ドメイン「goxlyknuxfb.top」はAppleともU-NEXTとも一切関係のない、攻撃者が独自に取得した使い捨てドメインです。SPF認証の「Pass」は、あくまでこの使い捨てドメインの持ち主が自分自身であることを証明しているに過ぎません。
送信元IPについて:
送信元IP 20.97.238.42 はMicrosoft Azure(クラウドサーバー)の割り当て範囲です。Azureは正規のシステム開発にも広く使われている反面、契約さえすれば誰でも利用できる手軽さから、フィッシングメールの送信インフラとしても悪用されており、この帯域の地理情報(国・地域)は実際の攻撃者の拠点を示すものではありません。
💡ここで!Cloudflare(クラウドフレア)とは?
Webサイトの表示速度向上やサイバー攻撃対策のために、世界中の企業が利用している大手インフラサービスです。サイトの「本当のサーバー(オリジン)」を隠す仕組みになっているため、攻撃者がこれを悪用すると、フィッシングサイトの本当の設置場所を外部から特定することが技術的に非常に困難になります。今回の誘導先2つも、いずれもCloudflare経由でした。
■ フィッシングサイト詳細解析(PC版)
誘導先URL(伏せ字):hxxps://vivaidea[.]cfd/nfpcmlho/ (一部伏字)
リンクドメイン:vivaidea.cfd
誘導先サーバー:Cloudflare Inc.(AS13335、プロキシ検出済み・データセンター/CDN型)。origin(本当の設置場所)は隠蔽されており特定不可。
【サイトの状態】:ウイルスバスター クラウドが「フィッシング」の脅威種別として、既にこのサイトへのアクセスをブロック済みです。

ウイルスバスター クラウドが「フィッシング」としてブロックした際の警告画面
■ フィッシングサイト詳細解析(スマホ版)
誘導先URL(伏せ字):hxxps://volvly[.]cfd/zjuteyxi/ (一部伏字)
リンクドメイン:volvly.cfd
誘導先サーバー:vivaidea.cfdと同じくCloudflare Inc.(AS13335、プロキシ検出済み)。
スマホ版では、まず「ロボットではないことを確認してください」というCAPTCHA(人間かどうかを確認する認証)画面が表示され、続けてCloudflareが独自に検知した「Suspected Phishing(フィッシングの疑い)」という英語の警告画面が出ました。

誘導の途中で表示されたCAPTCHA(ロボット確認)画面

Cloudflareが表示した「Suspected Phishing」警告画面。「Ignore & Proceed」で先へ進めてしまう仕様には注意が必要
この警告は「Ignore & Proceed(無視して続行)」を押せば通過できてしまう仕様のため、油断は禁物です。実際にこの先へ進んでみると(※検証はHeartland-Labが安全な環境で実施)、たどり着いたのはApple・U-NEXTとは無関係の「三井住友カード Vpass」ログイン画面を模した偽サイトでした。

最終的に表示された、三井住友カード「Vpass」を模した偽ログイン画面
整理すると、この一通のメールには「Apple」「U-NEXT」「三井住友カード」という3つの無関係なブランドが同時に登場してしまっています。おそらく攻撃者が使い回している「フィッシングキット(既製の偽サイト一式)」のパーツを寄せ集めた結果、件名・本文・着地ページのブランド設定がバラバラのまま送信されてしまったのでしょう。手が込んでいるようで、詰めが甘い典型例です。
■ 注意点と対処法
- メール本文のブランド表記に矛盾がないか確認する:今回のように件名・見出し・サービス名がちぐはぐな場合は、フィッシングメールである強い証拠です。
- URLをクリックしない:サブスクリプションの確認・変更は、必ずApple公式アプリ(設定>Apple ID>サブスクリプション)から行ってください。
- 「Suspected Phishing」等の警告を無視しない:警告が出た時点でアクセスを中止してください。「Ignore & Proceed」を押して先に進むのは大変危険です。
- Vpassの情報を求められても絶対に入力しない:三井住友カードのVpass IDやパスワードは、公式アプリまたはブックマークしたVpassサイトからのみ入力してください。
- 公式注意喚起の参照:フィッシング詐欺にご注意(三井住友カード公式)
本レポートの結論
Appleを騙りながら中身はU-NEXT、最終着地は三井住友カードVpassという、フィッシングキットの使い回しミスと見られる三重のブランド不一致でした。ブランド表記の矛盾はフィッシングメール発見の分かりやすい手がかりになります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月12日)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
使用テーマ:Amethyst















