【実録】KAGOYA「メール受信状況のご案内」は偽物——ドイツの家庭用回線発、偽の確認画面でActive!mailログインを盗む手口

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 不審メールの基本情報
件名:【要確認】メール受信状況のご案内
送信者表示名:“メール受信に関する確認のお願い” <noreply@mail.active.co.jp>(アドレスは詐称の可能性が高い)
※メールヘッダー詳細は個人情報保護のため非掲載
■ メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
KAGOYA Webメールサポートセンターからのメッセージです。 Webメールサービスをご利用いただきありがとうございます。 現在、システムセキュリティ強化のため、設定確認を実施しております。 お客様のメールボックス内の一部の受信メールが一時的に保留状態になっていることを確認しました。 現在の状況は以下のとおりです。 --- [受信状況情報] - 管理番号:7483XXX - 保留メール数:6件(受信済み) - 状態:配信待機中(確認必須) - 検出日時:2026年07月12日 --- この状態が続く場合、該当のメールが配信されていない可能性があります。 お手数をおかけして申し訳ございませんが、下記の管理画面から受信トレイの確認と同期をお願いいたします。 ▼ 管理画面(確認/同期) http://www.kagoya.jp/mail/auth/sync(※表示のみ。実際の遷移先は別ドメイン) この手順の目的は次のとおりです。 - 通常のメール受信を再開します - アカウントのセキュリティを維持する - 重要な通信の不達を防ぐ この通知についてご不明な点やご質問がある場合は、 support@kagoya.jp までご連絡ください。(※このアドレスも詐称) 今後も安定したサービスの提供に努めてまいりますので、 ご理解とご協力をよろしくお願いいたします。 KAGOYA Webメールサポートチーム ※このメールは重要なお知らせをお送りするものです。 ※この通知は自動送信されます。 〒604-8166 京都府京都市中京区三条通室町西入ル御倉町85-1 電話番号: 075-252-9355(代表)

実際に届いたメールの画面
末尾の住所・電話番号は実在のカゴヤ・ジャパン本社の情報を模倣したものと見られます。実在の企業情報を丸ごとコピーして「本物らしさ」を演出する、典型的な偽装手口です。電話番号や住所が正しく見えても、それだけで安全とは判断できません。
■ 送信ルート及び偽装判定
■ 送信元の解析
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: None (no SPF record) client-ip=91.53.232.223; helo=p5b35e8df.dip0.t-ipconnect.de
送信元IPアドレス:91.53.232.223(Deutsche Telekom AG・ドイツ テューリンゲン州)
HELO名:p5b35e8df.dip0.t-ipconnect.de
【偽装判定】:HELO名に含まれる「dip0.t-ipconnect.de」は、ドイツテレコムが一般家庭向けのインターネット回線(動的IPアドレス)に自動的に割り当てる典型的な命名パターンです。企業のメールサーバーではなく、個人宅のパソコンやルーターが乗っ取られ、気づかないうちに送信の踏み台にされている可能性が高いと見られます。さらにSPF(送信ドメイン認証)のレコード自体が存在せず、この点だけでも正規のKAGOYAからの通知でないことは明らかです。
💡 ここで!用語解説
SPF(エスピーエフ):「このメールは正規の送信元から届いたか」を判定する仕組み。今回のようにSPFレコード自体が存在しない(None)場合、送信元の正当性を裏付けるものが何もないということになります。
HELO(ヘロ):メール送信サーバーが最初に名乗るドメイン名。「dip」「dyn」などの文字列を含む場合、一般家庭向けの動的回線であることが多く、企業の正規メールサーバーとしては不自然です。
■ フィッシングサイト詳細解析(多段構成)
■ 第1段階:偽の確認画面
誘導先ドメイン(伏せ字):hxxps://arvenix[.]vu/mailgo/kagoya.html
サーバーIP:172.67.186.228
ホスティング:Cloudflare(本来のサーバー所在地は隠蔽される仕組みのため、表示上のロケーションに意味はありません)

クリック直後に表示される偽の確認画面。「Complete Verification」ボタンを押させることで、本物のセキュリティチェックを通過したかのように誤認させる
この画面は、Webサイトの不正アクセス対策で広く使われている正規のセキュリティサービスの操作画面を模倣したものです。「安全確認をクリアした」と思わせておいて、実際には次の偽ログイン画面へ誘導するための踏み台にすぎません。
■ 第2段階:偽のActive!mailログイン画面
「Complete Verification」をクリックすると、実在のWebメールソフト「Active!mail」のログイン画面を模した偽サイトが表示されます。

最終的に表示される偽のログイン画面。デザインは本物のActive!mailとほぼ同一
ここでユーザID・パスワードを入力してしまうと、メールアカウントそのものが乗っ取られます。乗っ取られたアカウントは、さらに別の詐欺メールの発信元として悪用される連鎖につながる恐れがあります。
■ 過去記事との関連
カゴヤ・ジャパンを騙るフィッシングメールは、過去にも「重要:サイバー攻撃検知のお知らせ」という件名で確認しています(過去記事:【警告】重要:サイバー攻撃検知のお知らせ(KAGOYA偽装)の詐欺メールを解析)。件名や誘導手口は毎回変化していますが、いずれも「本物そっくりのActive!mailログイン画面」に誘導する点は共通しています。
■ 注意点と対処法
■ 注意点と対処法
- URLをクリックしない:「管理画面」「確認/同期」等の文言があっても、メール内のリンクは開かないでください。
- 公式サイトから確認:KAGOYAのサービス状況を確認したい場合は、必ず日頃ブックマークしている公式サイトまたは会員ページから直接アクセスしてください。
- 誤って情報を入力してしまった場合:直ちにメールアカウントのパスワードを変更し、KAGOYAのサポートセンターへ正規の連絡先を通じてご連絡ください。
- 公式の注意喚起も参照:フィッシングメールにご注意ください(KAGOYA公式)
本レポートの結論
「保留メールがある」という業務上無視しづらい不安を煽り、正規のセキュリティ確認画面を模した多段構成でログイン情報を盗もうとする巧妙な手口でした。送信自体はドイツの家庭用回線という、意外な場所から行われています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net














