【実録】Apple「ご請求内容の確認」偽メール、リンク先はSendGridが自ら無効化——正規配信基盤を悪用した攻撃が返り討ちに

ご覧の通り、このメールは公式Appleを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
届いたメールの内容を、技術検証のためそのまま再現します。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化のうえ掲載しています。
Apple IDのサブスクリプション利用料金領収書を発行いたしました。購入履歴より請求詳細をご確認ください。身に覚えのない決済の場合はアカウントセキュリティ設定をご確認ください。 Appleサブスクリプション ご利用料金領収書 いつもAppleサービスをご利用いただき、誠にありがとうございます。 お客様のApple IDにてサブスクリプション利用料金の決済が完了し、本領収書を発行いたしました。記載内容に誤りがないかご確認をお願いいたします。 メールアドレス:(受信者アドレス) 領収書発行日時:2026-07-18 16:04:43 請求書番号:INV-7914289 注文番号:ODR-294677556 お支払い方法:クレジットカード決済 Apple One 個人プラン 月額サブスクリプション(サービス内継続課金) ¥1,680 ご請求合計(税込) ¥1,680 アカウントセキュリティに関するご案内 本決済にお心当たりがない場合は、Apple IDの購入履歴から取引詳細をご確認ください。身に覚えのない不正な決済が確認された際は、速やかにApple IDのパスワード変更、二段階認証の設定見直しを実施し、アカウントを保護してください。 [ 購入履歴を確認する ](リンクは無効化済み) [ サブスクリプション解約手続き ](リンクは無効化済み) ※本メールはシステムによる自動送信メッセージです。返信をいただいても対応はできかねます。各種アカウント操作・お問い合わせはApple公式サポートページより手続きをお願いいたします。 ※メール内リンク先画面に違和感を覚えた際は、アカウント情報の入力を控え、ブラウザからApple公式サイトを直接開いてログインして状況をご確認ください。 © 2026 Appleサービス運営本部 全著作権所有 サポート窓口:Apple公式サポートサイトにて受付

▲ 実際に届いた詐欺メールの画面です。
請求書番号や注文番号まで具体的に記載されており、一見するとApple公式の領収書と遜色ない作り込みです。ただし、Apple IDに登録している氏名などの宛名が一切なく、機械的に大量送信されたリストベースの攻撃であることがうかがえます。
用語解説
💡ここで!
SendGrid(センドグリッド):企業がメールマガジンや通知メールを大量に配信するために使われる、正規のメール配信サービスです。多くの企業が正当な目的で利用していますが、攻撃者がアカウントを不正取得・悪用し、フィッシングメールの送信に使うケースがあります。
クリックトラッキングURL:メール内のリンクをクリックした回数などを計測するために、配信サービスが本来のリンク先の前に挟み込む中継用のURLです。今回のようにサービス提供者側が不正利用を検知すると、この中継URLの時点でリンクを無効化できます。
送信ルートおよび偽装判定
■ Receivedヘッダー解析(サーバー通過証明)
Received-SPF: Pass (sender SPF authorized) client-ip=149.72.123.24; helo=s.wrqvtbkv.outbound-mail.sendgrid.net
【偽装判定】:
正規のAppleからのメールは「apple.com」等の公式ドメインから送信されます。本メールは送信基盤にSendGridを利用しており、SPF認証が「Pass」と表示されるのは、攻撃者がSendGrid上で自分のアカウントを正しく設定しているだけであり、Apple公式であることの証明にはなりません。
発信元インフラ:
SendGrid, Inc.(アメリカ・コロラド州デンバー)
ip-sc.netの調査では、このIPアドレスは脅威レベル「高」(サイバーアタックの攻撃元、攻撃対象:Web)と判定されています。
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://u110809066.ct.sendgrid[.]net/ls/click?...(SendGridのクリックトラッキングURL)
【サイトの状態】:実際にリンクをたどったところ、遷移先は「Link Disabled(このリンクは無効化されています)」という表示のみで、最終的な偽サイトへは到達できませんでした。SendGrid側が不正利用の申告または自動検知により、このアカウントのリンクを無効化した可能性が高いと考えられます。

▲ リンク先にアクセスすると表示された「Link Disabled」の画面。SendGrid側で無効化されていました。
結果的に被害には至らない状態でしたが、これは今回たまたまSendGrid側の対応が間に合っていただけであり、同様の手口が別の配信サービスや別アカウントで今も継続している可能性があります。油断せず、送信元をよく確認する習慣を持つことが重要です。
注意点と対処法
■ 注意点と対処法
- URLをクリックしない:リンクが無効化されていても、別の機会に有効な偽サイトへ誘導される可能性があります。
- 宛名の有無を確認:正規のApple公式メールにはお客様の氏名等が記載されるのが通例です。宛名がないメールは不審と考えてください。
- 購入履歴は公式アプリで確認:身に覚えのない請求が心配な場合は、メール内リンクからではなく、設定アプリのApple IDメニューから直接確認してください。
- 公式サポートに相談:不審なメールを受け取った場合は、Apple公式サポートへ報告・相談してください。
本レポートの結論
Apple公式そっくりの請求書番号まで用意した精巧な偽メールでしたが、悪用された配信基盤であるSendGrid自身の対応によってリンクが無効化されているという、攻撃者にとっては皮肉な結末でした。とはいえ手口自体は巧妙です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net














