【実録】”成人向け商品につき配送保留”を装う詐欺メールの正体──送信元はGoogleクラウド、誘導先は中国系クラウドの罠

Heartland-Lab(ハートランド・ラボ)専門調査レポート
【実録】”成人向け商品につき配送保留”を装う詐欺メールの正体──送信元はGoogleクラウド、誘導先は中国系クラウドの罠
調査レポート:概要
| 件名 | [spam](本文タイトル:お荷物の配送について。) |
| 差出人表示名 | ソゾマア(ランダム生成と思われる無意味な氏名) |
| 送信元ドメイン | s4g6no2m0n.ruidingxiang.com |
| 送信元IP(SPF authorized) | 34.174.230.235(Googleクラウド/米国) |
| 誘導先ドメイン | hxxps://jjihi[.]com/report/etkeUhdfMl |
| 誘導先IP | 43.165.186.242(Tencent Cloud/中国系クラウド事業者) |
| 添付ファイル | data_oqXdgZj2FF.dat(150バイト、拡張子不審のため未開封・未解析) |
危険度評価
| URLクリック危険度 | ★★★☆☆(現状はYouTubeへリダイレクトのみ確認) |
| 個人情報詐取リスク(想定) | ★★★★☆ |
| 心理的圧迫度(不安煽り) | ★★★★☆(「成人向け商品」というワードで動揺を誘う設計) |
⚠️ これは特定のECサイトや配送業者を騙る詐欺メールです。実在の企業からの正規連絡ではありません。本文中のリンクは絶対にクリックしないでください。
届いたメールの内容
今回ご紹介するのは、特定のブランド名を名乗らない「汎用EC配送なりすまし」メールです。差出人表示名は「ソゾマア」という、日本語としても不自然な意味のない文字列。おそらく詐欺師側がランダム生成した偽名をそのまま使ってしまったものと見られます。件名欄も一見スパム扱いを避ける工夫もなく、Outlook上ではそのまま [spam] と表示されていました。
メール本文には「お荷物の配送について。」という見出しのもと、注文履歴が「受付済み → 発送完了 → 確認事項あり」という進捗バーが表示され、赤い警告帯で次のように書かれています。
お荷物の配送について。 受付済み / 発送完了 / 確認事項あり / 回答待ち 成人向け商品を含むご注文は、年齢確認のため配送を一時停止しています。 現在、ご注文商品に成人向け商品が含まれているため、配送手続きが保留されています。 [配送情報を確認する] 上記のボタンから確認手続きをお願いいたします。内容に不明点がある場合は、カスタマーサービスへお問い合わせください。 このメールは自動送信されています。返信は受け付けておりません。

受信トレイに表示されたメール本文(差出人・宛先は伏せています)
※メールヘッダー詳細は個人情報保護のため非掲載です。
「自分は注文した覚えがないのに、なぜ成人向け商品の話が出てくるのか」と一瞬ドキッとさせる構成です。実際には誰にでも一律に同じ文面が送られているだけで、あなたが本当に何かを注文したかどうかは一切関係ありません。「身に覚えのない注文」への不安につけ込む典型的な釣り文句だと考えてください。
送信ルートの解析
ヘッダー情報を解析したところ、Received-SPF(送信元のメールサーバーが正当かどうかを検証する仕組み。SPFは「Sender Policy Framework」の略)の記録から、次の情報が確認できました。
Received-SPF: Pass(sender SPF authorized)
client-ip=34.174.230.235
helo=s4g6no2m0n.ruidingxiang.com
この記録が示す送信元IP 34.174.230.235 の逆引きホスト名は 233.230.174.34.bc.googleusercontent.com。これはGoogleクラウド(GCP:Google Cloud Platform)上のインスタンスに割り当てられるホスト名の特徴です。つまり詐欺師は、自分専用のサーバーを用意するのではなく、Googleの正規クラウドサービスを間借りする形でメールを送信していたと考えられます。SPF認証自体は「Pass(正規の送信者として認証済み)」となっていますが、これは「送信元ドメインの持ち主が自分で許可した送信元から送った」ことを示すだけで、内容が正規企業であることを保証するものではありません。ここが多くの方が誤解しやすいポイントです。
またヘッダー内には、他にも複数のキャリア(携帯電話会社等)を経由したように見えるReceived行(メールがどのサーバーを経由したかを記録する行)が多段に存在していました。ただし技術的に精査すると、これは実際の転送経路というより、受信者側に「何度も転送された信頼できるメールだ」と錯覚させるために詐欺配信キットが挿入した偽装ヘッダーである可能性が高いという判断に至りました。メールヘッダーは送信側が自由に書き込める部分が多く、こうした「経路の偽装」は詐欺メールでは珍しくありません。
💡 ここで!用語解説
SPF(Sender Policy Framework):あるドメインからのメールを、どのIPアドレスから送ってよいかをあらかじめ登録しておく仕組み。SPFが「Pass」でも、それは「送信元ドメインの管理者が許可した送信経路である」ことを示すだけで、送信者が実在の企業本人であることまでは保証しません。詐欺師が自分で取得したドメイン(今回のruidingxiang.com等)に対して自分でSPFを正しく設定すれば、当然「Pass」になります。
クラウドホスティング:GoogleやAmazon、Microsoftなどが提供するサーバーレンタルサービス。本来は正規企業も広く利用する便利なサービスですが、匿名で短期間だけ契約して使い捨てることも可能なため、詐欺師が「足がつきにくい送信基地」として悪用するケースが後を絶ちません。
フィッシングサイトの現状
「配送情報を確認する」ボタンのリンク先は hxxps://jjihi[.]com/report/etkeUhdfMl というURLでした。当サイトで確認したところ、PC・スマートフォンいずれでアクセスしてもYouTubeへリダイレクトされるという結果になりました。
これは以下のいずれかの可能性が考えられます。
- セキュリティ調査ツール(クローラー)や研究者からのアクセスと判定し、無害なページへ誘導する「キルスイッチ」が作動した
- すでにフィッシングサイト自体がホスティング事業者や第三者によって停止・無効化されている
- 攻撃者側が意図的に一時的な待避先としてYouTubeへの転送を設定している
誘導先ドメイン jjihi.com のDNS解決結果は 43.165.186.242。この帯域はTencent Cloud(中国・深圳の大手クラウド事業者)が運用するもので、ip-sc.netでの詳細確認によると、プロバイダー名は「Shenzhen Tencent Computer Systems Company Limited」、AS番号は132203(TENCENT-NET-AP-CN)でした。IPの地理情報データベース上は東京都渋谷区と表示されるケースもありますが、これはTencent Cloudのようなグローバル分散型クラウド事業者でしばしば見られる誤判定パターンであり、実際の運用拠点が日本国内とは限らない点に注意が必要です。
送信インフラ(Googleクラウド/米国)と誘導先インフラ(Tencent Cloud/中国系)が別々の事業者・地域にまたがっている構成は、攻撃者が複数のクラウドサービスを使い分け、片方が停止されてももう一方の作業を続けられるようリスク分散している典型例と言えます。
注意点と対処法
- 身に覚えのない「配送保留」「年齢確認」メールのリンクは絶対にクリックしない
- 不安になったら、メール内のリンクではなく、普段使っているECサイトに公式アプリやブックマークから直接アクセスして注文履歴を確認する
- 差出人の表示名がおかしい(今回のように意味不明な氏名など)場合は、それだけでも詐欺を疑う十分な根拠になる
- 不審な添付ファイルは絶対に開かない(今回のdata_oqXdgZj2FF.datも当サイトでは未開封・未解析としています)
- 同様のメールを見かけたら、フィッシング対策協議会への情報提供も検討してください
まとめ
「成人向け商品」というセンシティブなキーワードで一瞬読者を動揺させ、冷静な判断力を奪ってからリンクをクリックさせる──これは心理的トリガーを悪用した典型的な詐欺メールの設計です。送信元はGoogleクラウド、誘導先は中国系クラウドと、複数の正規クラウドサービスを渡り歩く構成になっており、決して稚拙な詐欺ではありません。「身に覚えのない注文」という言葉だけで動揺せず、まずは深呼吸して公式サイトから直接確認する習慣をつけましょう。
Data Provided by Heartland-Lab Security Research Unit(IPロケーション情報の一部は ip-sc.net を参照)














