KAGOYAを騙る「保留されたメッセージに関するお知らせ」は偽メール——ベラルーシ発、Cloudflare経由で偽認証ページへ誘導

🔍 調査レポート:概要
今回解析するのは、「KAGOYA Webメールサポートセンター」を名乗り、「保留されたメッセージに関するお知らせ」という件名で届いた迷惑メールです。メールボックス内に受信メールが保留されているという体裁で不安を煽り、「管理画面(確認/同期)」ボタンから偽の認証ページへ誘導する手口でした。
| 危険度評価 | ★★★★☆(4/5) |
| 送信元 | ベラルーシ(Beltelecom/corporate回線) |
| SPF認証 | None(SPFレコードなし=未設定) |
| 誘導先 | Cloudflare経由の偽認証ページ(クローキングの疑いあり) |
⚠️ このメールは「KAGOYA」を装った偽メール(フィッシング詐欺)です ⚠️
📩 詐欺メール本文(再現)
実際に届いたメールの本文は以下の通りです。件名は「[spam] 保留されたメッセージに関するお知らせ」で、送信サーバーの時点で既に迷惑メール判定タグが付与されていました。
KAGOYA Webメールサポートセンター KAGOYA Webメールサポートセンターからのメッセージです。 Webメールサービスをご利用いただきありがとうございます。 現在、システムセキュリティ強化のため、設定確認を実施しております。 お客様のメールボックス内の一部の受信メールが一時的に保留状態になっていることを確認しました。 現在の状況は以下のとおりです。 【受信状況情報】 管理番号:7483XXX 保留メール数:6件(受信済み) 状態:配信待機中(確認必須) 検出日時:2026年07月13日 この状態が続く場合、該当のメールが配信されていない可能性があります。 お手数をおかけして申し訳ございませんが、下記の管理画面から受信トレイの確認と同期をお願いいたします。 [管理画面(確認/同期)] この手順の目的は次のとおりです。 ・通常のメール受信を再開します ・アカウントのセキュリティを維持する ・重要な通信の不達を防ぐ この通知についてご不明な点やご質問がある場合は、support@kagoya.jpまでご連絡ください。 今後も安定したサービスの提供に努めてまいりますので、ご理解とご協力のほどよろしくお願いいたします。 KAGOYA Webメールサポートチーム ※このメールは重要なお知らせをお送りするものです。 ※この通知は自動送信されます。 〒604-8166 京都府京都市中京区三条通室町西入ル御倉町85-1 電話番号: 075-252-9355(代表)

▲実際に届いたメールの表示画面
🛰️ 送信ルートの解析と偽装判定
メールヘッダーのReceived-SPFフィールドから、真の送信元を特定しました。
| 送信元IPアドレス | 86.57.192.10 |
| HELO名 | mm-10-192-57-86.static.mgts.by |
| SPF認証結果 | None(no SPF record) |
| 国・地域 | ベラルーシ・ミンスク |
| プロバイダー | Republican Unitary Telecommunication Enterprise Beltelecom(AS6697 BELPAK-AS) |
| 利用形式 | corporate(法人向け回線) |
| 名乗ったFromアドレス | support@inboundmail.jp(このドメインは現在DNSに登録されておらず、名前解決できません=実在しないドメインです) |
「KAGOYA Webメールサポートセンター」を名乗りながら、実際の送信経路はベラルーシの一般法人向け回線でした。国内のホスティング事業者が海外の、しかも一般契約者向けの回線からわざわざメールを送ってくることは通常あり得ません。
さらに面白いのは、メール末尾に記載された「〒604-8166 京都府京都市中京区三条通室町西入ル御倉町85-1」という住所です。日本の実在企業の所在地情報らしき体裁をわざわざ添えて信頼性を演出しているにもかかわらず、送信サーバーはベラルーシの民生回線という時差ボケも甚だしい矛盾ぶりで、逆に化けの皮が剥がれています。
💡 ここで!用語解説:SPF(送信ドメイン認証)とは?
SPF(Sender Policy Framework)は、「このドメインからのメールは、このサーバーから送信されるはずだ」という情報をあらかじめ公開しておき、受信側がそれと照合してなりすましを見抜く仕組みです。今回のメールは、名乗った送信元ドメインにSPFレコード自体が設定されていない(None)状態でした。正規の企業がメール配信に使うドメインであれば、通常SPFレコードは適切に設定されています。
🎣 フィッシングサイトの詳細解析
メール本文中の「管理画面(確認/同期)」ボタンのリンク先は、以下のURLでした。
hxxps://arvenix[.]vu/mailgo/kagoya.html
■ 第1段階:セキュリティソフトによるブロック
このURLへアクセスすると、ウイルスバスター クラウドが即座に「フィッシング」の脅威種別で警告を表示し、アクセスをブロックしました。セキュリティベンダー側で既に危険サイトとして把握されている状態です。

▲ウイルスバスター クラウドによるブロック画面
■ 第2段階:意図的な引き延ばし(クローキングの疑い)
警告を承知の上でアクセスを続けると、白紙のページに読み込み中のインジケーターが表示された状態が約5分間続きました。この長時間の待機は、アクセス元がセキュリティ調査ツールや自動解析クローラーでないかを裏側で判別している「クローキング(追跡回避)」の可能性があります。

▲5分近く動かなかったローディング画面
■ 第3段階:英語表記の偽認証ページ
長い待機の末にようやく表示されたのは、「Verify your session/Confirm and proceed to continue.」という英語表記の偽認証画面でした。日本語で丁寧に「KAGOYA」を名乗っておきながら、着地点が英語ページというのは海外製フィッシングキットをそのまま流用している証拠と言えるでしょう。この先で「Proceed」ボタンを押すと、さらなる個人情報入力フォームへ誘導される可能性が高く、当サイトではこれ以上の追跡は行っておりません。

▲最終的に表示された「Verify your session」という偽認証ページ
🛡️ 注意点と対処法
「KAGOYA」を騙るフィッシングメールは以前から多数報告されており、実在のKAGOYA・ジャパン株式会社も公式サイトで注意喚起ページを公開し、事例を随時更新しています。同社は、正規メールであればヘッダー内のSPF認証結果が「Pass」になる旨を案内しており、これは今回のような不審メールの見分け方としても参考になります。
- 身に覚えのない「保留メッセージ」通知は、本文中のリンクを絶対にクリックしない
- 「確認」「同期」等の緊急性を煽る文言があるほど、一度立ち止まって送信元を疑う
- 契約中のホスティング事業者からの通知かどうか不安な場合は、メール記載のリンクではなく、公式サイトやブックマークから直接ログインして確認する
- 既にリンク先で情報を入力してしまった場合は、該当サービスのパスワードを速やかに変更する
今回のメールは、住所や社名こそ実在企業を思わせる体裁を整えていたものの、送信元はベラルーシの回線、着地点は英語の偽認証ページという継ぎ接ぎだらけの偽物でした。少しでも「あれ?」と思ったら、リンクは踏まずにご家族やお知り合いにも教えてあげてください。
Data Provided by Heartland-Lab Security Research Unit(IPロケーション情報:ip-sc.net参照)
















