【実録】”HR部”を騙りAdobe Acrobat Signを偽装するBEC——Intuitドメイン詐称・SPF全滅の粗雑な手口を解析

HL-META: date=2026-07-18 | brand=Intuit QuickBooks(詐称)/Microsoft(誘導先偽装) | sender_geo=ベトナム | site_geo=unknown(Cloudflare anycast) | spf=fail | dkim=unknown | cloaking=unknown

Heartland-Lab(ハートランド・ラボ)専門調査レポート

梅雨明け間近のこの時期、業務関連の書類が飛び交う時期でもあります。今回ご紹介するのは、そうした「日常業務のふり」をして忍び込んでくる、自社ドメインを騙るビジネスメール詐欺(BEC:Business Email Compromise)です。

調査レポート:概要

件名 [spam] Request: Please Review Agreement
差出人表示名 “HR TEAM [受信者ドメイン]”(社内人事部を詐称)
差出人アドレス quickbooks@notification.intuit.com(Intuit社のQuickBooks通知アドレスを詐称)
送信元IP(Received-SPF記載) 27.71.20.80(ベトナム)
誘導先 偽Cloudflare確認画面 → 偽Microsoftサインイン画面(winsoulfun.com
偽装工作精度 ★★★★☆(自社ドメインを名乗り、書類レビューという業務口実で違和感を薄める)
送信インフラの粗雑さ ★★★★★(SPF認証全滅・HELO名が実在しないドメイン)

これは自社を装った偽の書類レビュー依頼メールです。本文中の「Review and Sign」ボタンは絶対にクリックしないでください。

届いたメールの内容を、技術検証のためそのまま再現します(受信者側のドメイン・ローカル部分は個人情報保護のため伏せています)。

Adobe Acrobat Sign

Human Resources
Please review and sign this document

You have received a new agreement requires your electronic signature.
Please review the document before signing.

DOCUMENT
[受信者ドメイン]_Contract_Agreement_2026.pdf

[Review and Sign]

Thanky heoy,

Hina Shafiq, MBBS
Clinral Research Messager
Tevas Institude of Cardiology, PA

Im seaing to teeak wf em petten reccoinsble for commanive commaany.
Il. it, it it is a. oeld ore deeeu piese of phost to riquiree your
compaeny, nay mes s If that tout theat phamathericl whosaked
phamasalats woka as wallation wrlous compesfittes, emeeling te
tquabiloaals and jocereorth scerty ss we have je igeesble medications.
A Proent Prlicy Rx. a ccadlarof con wer watetetaged your recity revre
to en beltl ad before joy perfected.

Regadenoson 0 Amgf3H I oyol wh #11 preflilled syringe - $165.00
Sent. Monday Awiff te aont. Sent. 2023?2-432pm
We have a new simpls enge pages application willa need to be completed

Looking loward to heard your confidation.
Michael Arazi | Director of Sales & Business Development

Hi, Hina,
Michael Arazi | Contract_Agreement_2026.pdf

CONFIDENTAL: This email and files tolltes were reconceded under with
Heiliottro Partaboirty Accountant to reaply legiaiylgiaet, and cop,
uss: penfective, copying to ie ottis is addressed, with is the
infomation recipifting if tivo it addressed to wor thros ported vested.
If you are ns the individicent recipient for which It ve disoted
recipient, you are roottetel Is setinfly pucsxpes. supe, oe eartly,
and where, copying, use, ellivefffhis'ts molen ce-vvxio groil sistage
to oats pattoy fitnss lts or thw hroxt you loves and recen fons your
prcffled copes.

4TC - Link inclobded to in files amazed. Havle analysed in the health
woalhisel 44TC be cloobs from its loved, you will can beek a tfe emal
de weeck, too, kink or if's have to pors to triceoed be acceeed of the
destination. If sucpicious content is deteted. Ilt see warning,
corlect 4TC Support if you has any questions.

▲ 実際に届いた詐欺メールの画面です(差出人・宛先ドメインは伏せています)。

※メールヘッダー詳細は個人情報保護のため非掲載です。

本文をよく見ると、署名欄以降の文章が単語の綴りや文法が随所で崩れた不自然な英文になっています。「Hina Shafiq, MBBS」という人物の署名の後に、なぜか処方薬(Regadenoson、注射薬$165.00)に関する記述が唐突に挟まるなど、文脈がまったく噛み合っていません。これは「ワードサラダ」と呼ばれる、スパムフィルターの学習を狂わせるための無意味な文章の水増しと考えられます。一見すると人間が書いた業務文書のように見せかけつつ、内容自体には意味を持たせない典型的な手口です。

送信ルートおよび偽装判定

ヘッダーを解析したところ、次の情報が確認できました。

Received-SPF: Fail (SPF fail - not authorized) client-ip=27.71.20.80; helo=error-no-valid-domain.com; envelope-from=quickbooks@notification.intuit.com

まず、差出人アドレスは「quickbooks@notification.intuit.com」となっており、会計ソフトで有名なIntuit社のQuickBooks通知を装っています。ところがSPF認証(送信元サーバーが正規に登録されているかを確認する仕組み)は完全に失敗(Fail)しており、intuit.comの正規サーバーとは無関係のIPアドレスから送信されていることが明確になっています。

さらに珍しいのは、HELO名(送信サーバーが自ら名乗るホスト名)が「error-no-valid-domain.com」となっている点です。このドメインはDNSで名前解決すらできない、実在しないものでした。攻撃者側のメールサーバー設定がそもそも破綻しており、他の詐欺メールと比べても技術的な作り込みは相当雑だと言えます。

真の送信元IP「27.71.20.80」はベトナムに割り当てられている帯域でした。差出人表示名には「HR TEAM」に続けて受信者の組織ドメインが含まれており、社内の人事部門からの正規メールであるかのように見せかける偽装が施されています。

用語解説

BEC(ビジネスメール詐欺):取引先や社内の関係者になりすまして送金や情報提供をさせようとする詐欺の総称です。今回のように「書類の確認」「経費精算」など、業務上無視しづらい口実が使われる傾向があります。

HELO(ヘロ):メール送信サーバーが接続時に最初に名乗るホスト名です。正規の企業サーバーであれば実在するドメイン名を名乗りますが、今回のように存在しないドメインを名乗るケースは、間に合わせで用意された不正な送信環境である可能性が高いといえます。

フィッシングサイト詳細解析

「Review and Sign」ボタンのリンクをたどると、まず「Please stand by, while we are checking if the site connection is secure」という、Cloudflareのロゴを模した確認画面が表示されます。

▲ 本物のCloudflareとは無関係の、自作の確認演出画面。

これは本物のCloudflareのセキュリティチェックではなく、自作の待機画面です。実際にCloudflareが提供するサービスとは無関係で、単に「安全そうな待機画面」を経由させることで警戒心を薄める狙いがあると考えられます。

この確認画面を通過すると、続けてMicrosoftのサインイン画面を精巧に模した偽ログインページへ誘導されます。

▲ デザインは本物とほぼ同じだが、URLはMicrosoftとは無関係のドメイン。

誘導先ドメイン「winsoulfun.com」のDNS解決先IPは104.21.66.243で、これはCloudflareが提供するCDN(コンテンツ配信ネットワーク)のIPアドレスでした。Cloudflareを経由している場合、実際にサイトを運営しているサーバーの所在地は隠されるため、このIPアドレスから攻撃者の実在地を特定することはできません。

また、URLのパス部分は「screen7_hill8_cliff6_tiger8…」のように、英単語と数字を連結した長いランダムトークンになっていました。ランダムな16進数文字列よりもパターンを崩しやすく、URLベースの自動ブロックリストをすり抜けやすくする狙いがあると考えられます。

なお、当サイトでは2026年5月にも「人事労務部の佐藤」を騙り、受信者自身のドメインを盗用したBECメールを技術解析として公開しています。誘導先ブランドや文面は異なりますが、「社内の身近な業務を口実に自社ドメインを騙る」という基本構造は共通しており、この手の攻撃が定着しつつあることがうかがえます。

注意点と対処法

  1. 差出人表示に自社のドメイン名が含まれていても、それだけで安心しない。表示名は誰でも自由に設定できる。
  2. 「Review and Sign」等の署名・レビュー依頼リンクは、送信者に電話や別ルートで直接確認が取れるまでクリックしない。
  3. Microsoftのサインイン画面が表示されても、URL欄のドメインが本当に「microsoft.com」または自社の正規ポータルかを必ず確認する。
  4. 同様のメールを受け取ったら、情報システム部門や周囲の同僚にも共有し、社内での再発を防ぐ。

送信元のメールサーバー設定が破綻しているという、技術的には稚拙な部分もある詐欺メールでしたが、それでも「HR部からの書類レビュー依頼」という口実自体は業務上つい反応してしまいやすいものです。忙しいときほど、こうした一見自然な業務メールへの警戒を緩めないようにしたいところです。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る