【実録】”組織ドメインを騙る”ボイスメール通知の正体──Microsoftを装いながらIntuitのドメインから送信された矛盾だらけの詐欺メール

Heartland-Lab(ハートランド・ラボ)専門調査レポート
【実録】”組織ドメインを騙る”ボイスメール通知の正体──Microsoftを装いながらIntuitのドメインから送信された矛盾だらけの詐欺メール
調査レポート:概要
| 件名 | [spam] New Voicemail Message (01:48) |
| 差出人表示名 | 受信者自身の組織ドメインに偽装(詳細は伏せます) |
| 実際の送信アドレス | quickbooks@notification.intuit.com(Intuit社ドメインを詐称) |
| 送信元IP(SPF検証:Fail) | 27.71.20.80(ベトナム) |
| HELO名 | error-no-valid-domain.com(実在しない無効ドメイン) |
| 誘導先URL | hxxps://gojc8ohwe0.winsoulfun[.]com/(現在404エラーで閉鎖済み) |
危険度評価
| URLクリック危険度 | ★★☆☆☆(現在サイト自体が閉鎖済み) |
| なりすましの巧妙さ | ★★★☆☆(ブランドの一貫性は破綻している) |
| SPF/認証の粗さ | ★★★★★(SPF Fail、HELO名が無効ドメイン) |
⚠️ Microsoft・Intuit(QuickBooks)いずれとも一切関係のない詐欺メールです。「LISTEN TO MESSAGE」等のボタンは絶対にクリックしないでください。
届いたメールの内容
今回のメールは、一見すると「Microsoft Business Voice」(Microsoft 365の音声通話機能)からの新着ボイスメール通知に見えるデザインで届きました。緑色の帯で「This sender has been verified from ◯◯◯.jp safe senders list.」(このメールは◯◯◯.jpの安全な送信者リストから確認されています)という、いかにも安全性を保証するかのような一文まで表示されています。
This sender has been verified from [受信組織].jp safe senders list. Microsoft Business Voice You have received a new voicemail message. Message received on: 7/15/2026 1:59:57 p.m. Message length: 01:45 [LISTEN TO MESSAGE] Organization: [受信組織].jp

受信トレイに表示されたメール本文
※メールヘッダー詳細は個人情報保護のため非掲載です。
■ この手口の核心:差出人表示名の「なりすまし先」が受信者自身だった
今回もっとも技術的に興味深いのは、メールの差出人表示名(From:ヘッダーの氏名部分)が、受信者自身が所属する組織のドメイン名そのものに偽装されていた点です。「よく知っている自分の会社のドメインからのメールだ」と一瞬で信頼させ、警戒心を解こうとする手口だと考えられます。実際の送信アドレスはIntuit社(会計ソフトQuickBooksの提供元)のドメインを詐称したものであり、両者はまったくの無関係です。差出人表示名と実際のメールアドレスが食い違っていないか、メールソフトの詳細表示で確認する習慣が有効な対策になります。
送信ルートの解析
Received-SPF: Fail(SPF fail – not authorized)
client-ip=27.71.20.80
helo=error-no-valid-domain.com
envelope-from=quickbooks@notification.intuit.com
送信元IP 27.71.20.80 はベトナムに割り当てられている帯域でした。SPF(送信ドメイン認証の仕組み)の検証結果は「Fail」、つまり認証に完全に失敗しています。さらにHELO名(送信サーバーが名乗るホスト名)が error-no-valid-domain.com という、実際には存在しない無効なドメイン名になっており、これがSPF失敗の直接的な原因です。ここまで基本的な設定すら整えていない点は、詐欺師側の作り込みの粗さを示す典型例と言えます。
💡 ここで!用語解説
SPF Fail:送信元のメールサーバーが、そのドメインの正規の送信元として登録されていない場合に出る判定結果。多くのメールサービスは「Fail」と判定されたメールを迷惑メールフォルダに振り分けたり、警告を表示したりします。今回のメールもこの仕組みにより「[spam]」表示になっていたと考えられます。
HELO名:メール送信時に、送信サーバーが自ら名乗るホスト名。正規のメールサーバーは自社の正しいドメイン名を名乗りますが、今回のように存在しないでたらめな名前を名乗るケースは、サーバー側の設定不備または匿名性を保つための粗雑な運用を示しています。
誘導先サイトの現状
「LISTEN TO MESSAGE」ボタンのリンク先は hxxps://gojc8ohwe0.winsoulfun[.]com/ でした。現在アクセスすると「404 ページが見つかりません」というエラーが表示され、サイト自体がすでに閉鎖・削除されている状態を確認しました。

誘導先は既に閉鎖済み(HTTP ERROR 404)
誘導先ドメイン winsoulfun.com のサブドメイン部分(gojc8ohwe0)は、他の詐欺キャンペーンでもよく見られる無意味な英数字の羅列です。ドメイン自体はCloudflareのCDN(コンテンツ配信ネットワーク)を経由しているため、実際のホスティング元の地理情報は隠されており特定できません。サイトが閉鎖済みであることは、この特定のキャンペーンについては既に被害拡大が止まっている可能性を示唆しますが、同じ手口・同じインフラを使った新しいドメインが今後も出現する可能性は十分にあります。
注意点と対処法
- 差出人表示名だけで信用せず、必ず実際の送信メールアドレス(@以降のドメイン)を確認する
- 「安全な送信者リストから確認済み」等の一文が本文に書かれていても、それ自体が詐欺師によって自由に記述できる文言であり、何の保証にもならないと理解しておく
- ボイスメール・通知メールの内容を確認したい場合は、メール内のボタンではなく、普段利用している公式サービスに直接ログインして確認する
- 同様のメールを見かけたら、フィッシング対策協議会への情報提供も検討してください
まとめ
今回の詐欺メールは、デザイン面では有名企業を装いつつ、認証(SPF)の設定やHELO名といった技術的な基礎部分は驚くほど雑という、典型的な「見た目だけ本格派」の作りでした。差出人表示名を受信者自身に関係のある名前へすり替えるという心理的な小細工は巧妙ですが、実際のメールアドレスを一目確認するだけで見破ることができます。「表示名」と「実アドレス」は別物である、という基本を忘れないようにしましょう。
Data Provided by Heartland-Lab Security Research Unit














