ヤマト運輸「お荷物お届けのお知らせ」偽メールが1年ぶり再来——香港発、PCとスマホで着地先を分ける新手口

🔍 調査レポート:概要

「ヤマト運輸」を騙る「お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】」という迷惑メールを解析しました。この件名は2024年にも同ブログで複数回取り上げていますが、今回は送信元インフラが香港のクラウド事業者に変わり、さらにPCとスマートフォンで着地するページを意図的に分けるという新しい手口が確認できました。1年以上ぶりの動向アップデートとしてお届けします。

危険度評価 ★★★★★(5/5)
送信元 香港(BytePlus Pte. Ltd. /corporate回線)
SPF/DKIM 共にPass(ただし攻撃者自身が保有するドメインでの自己署名)
誘導先 中国・深圳のTencent Cloud(脅威レベル:高)

⚠️ このメールは「ヤマト運輸」を装った偽メール(フィッシング詐欺)です ⚠️

📩 詐欺メール本文(再現)

件名は「お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】」。本文はヤマト運輸の公式デザインをほぼそのまま模倣しており、運賃「41円」という不自然に安い金額が記載されているのが特徴です。

▲実際に届いたメールの表示画面(差出人:ヤマト運輸株式会社を詐称)

🛰️ 送信ルートの解析と偽装判定

ヘッダーのReceived-SPFDKIM-Signatureを確認したところ、いずれも「Pass」と表示されていました。

送信元IPアドレス 150.5.145.59
HELO名/送信ドメイン umzvvpzi.cn
SPF認証結果 pass(umzvvpzi.cnが自ドメインのSPFレコードに自分のIPを登録)
DKIM署名 valid(同じくumzvvpzi.cn名義の自己署名)
国・地域 香港・九龍(同一IPブロックで確認)
プロバイダー BytePlus Pte. Ltd.(AS150436 BYTEPLUS-AS-AP)
送信ソフト Foxmail 6.13.102.15(中国語版)

💡 ここで!用語解説:SPF・DKIMが「Pass」でも安全とは限らない理由

SPFやDKIMは「このメールは名乗ったドメインの管理者が許可した送信元から来ている」ことを保証する仕組みですが、ドメイン自体を攻撃者が取得・管理している場合、当然ながら自分で自分に許可を出せてしまいます。今回のメールは「ヤマト運輸」を名乗りながら、実際に認証されているのは無関係の`umzvvpzi.cn`という攻撃者所有ドメインであり、認証結果が「Pass」であることは正規メールの証明には一切なりません。

SPF/DKIMの認証結果だけを見て「Passだから安全」と早合点してしまうと、まさに今回のような手口に引っかかってしまいます。認証はあくまで「名乗ったドメイン通りに送られたか」を示すだけで、その名乗ったドメインが正規のヤマト運輸かどうかまでは保証しません。

🎣 フィッシングサイトの詳細解析(PC/スマホ振り分けを確認)

メール本文中の「受取の日時や場所を変更する」「荷物の配送状況を確認する」いずれのボタンも、以下のURLに誘導されました。

hxxps://sourceture.pldqwsqd[.]cn/8Hg97ml/loginbab/

■ 第1段階:セキュリティソフトによるブロック

アクセスするとウイルスバスター クラウドが即座に「フィッシング」の脅威種別で警告を表示しました。IPロケーション調査でも、着地先の43.165.167.152は中国・深圳のTencent Cloud(AS132203)に割り当てられており、脅威レベル「高」・サイバー攻撃の攻撃元として既に把握されているIPであることが判明しました。

▲ウイルスバスター クラウドによるブロック画面

■ 第2段階:デバイスによる着地先の振り分け(クローキング)

警告を確認しつつ同じURLへPC・スマートフォン双方からアクセスしたところ、PCでは終始、何も表示されない真っ白なページのままでした。ところがスマートフォンからのアクセスでは挙動が異なり、しばらくしてヤマト運輸を模した「配達依頼」ページが表示されました。この、アクセス元のデバイス種別によって表示内容を出し分ける手口は、セキュリティ担当者やPCでの自動解析ツールを狙い撃ちで回避するための典型的なクローキングです。

スマートフォン側で最終的に表示されたのは、荷物番号「1222-1146-3733」とともに「配送先住所が不明瞭のため、お荷物は配達されませんでした」「住所を更新してください」と不安を煽る文面と、「配達情報を更新」ボタンでした。

▲スマートフォンでのみ表示された偽の「配達依頼」ページ(PCでは真っ白なままだった)

この「配達情報を更新」ボタンの先には、氏名・住所・電話番号、さらにはクレジットカード情報の入力を求めるフォームが用意されていることが多く、この種の手口による被害が各所で報告されています。当サイトでは実際にカード情報等を入力する段階までは追跡しておりません。PCで淡々と解析していたこちらとしては、最後まで白紙のページしか見せてもらえず、いささか肩透かしを食らった格好です。

📎 過去記事との関連

同じ「お荷物お届けのお知らせ【受け取りの日時や場所をご指定ください】」という件名の詐欺メールは、2024年2月と2024年7月にも解析記事を公開しています。

文面のテンプレート自体はほぼ変わっていませんが、送信インフラが香港のクラウド事業者へ、着地先が中国のTencent Cloudへとそれぞれ移り変わっており、また新たにPC/スマホ振り分けのクローキングが導入されている点が、今回確認できた進化点です。

🛡️ 注意点と対処法

  • 身に覚えのない「配送失敗」「住所不明」通知は、本文中のリンクを絶対にクリックしない
  • スマートフォンで開いた場合とPCで開いた場合とで表示内容が異なることがあるため、「PCで確認したから大丈夫」という判断も禁物
  • 配送状況の確認は、メール記載のリンクではなく、公式アプリや公式サイトから直接行う
  • SPFやDKIMが「Pass」と表示されていても、それだけで安全とは判断しない

同じ件名の詐欺メールでも、送信インフラや手口は着実にアップデートされ続けています。「前にも見た件名だから」と油断せず、その都度冷静にリンク先を確認する習慣を大切にしてください。

この記事をLINEで送る


Data Provided by Heartland-Lab Security Research Unit(IPロケーション情報:ip-sc.net参照)

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る