「【18禁】素人女子が生でやってる映像を公開中」は詐欺!Yahoo・iCloud・Gmailの三大ブランドを巧みに悪用するアダルト誘導詐欺メールの手口を解説
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆(3/5) |
| 偽装工作精度 | ★★★☆☆(3/5)三大ブランド偽装+複雑な送信経路 |
■ メールヘッダー解析(送信者情報)
件名:【18禁】素人女子が生でやってる映像を公開中
送信者名(表示名):gcxbngrwgi@yahoo.co.jp(Yahoo!Japanのアドレスに見せかけた偽装)
実際の送信元アドレス:fczcwwcwhdehuf@icloud.com(Apple iCloudのアドレスを悪用)
Reply-To(返信先):irfnpgxionp@gmail.com(返信先をGmailに誘導)
送信元IP:103.239.52.100(cogetel-100-52-239-103.online.com.kh/カンボジア系サーバー)
受信日時:2026年6月8日(月)21:31:42 +0900
SPF認証:Softfail(送信元として非推奨のサーバーから送信されたことを示す。怪しいと判定)
DKIM署名:なし
送信ツール:Android Mail 13.0.00.85(スマートフォンのメールアプリから送信)
▲ 実際に届いた詐欺メール。「禁断の裏映像が今、あなたを待つ」という煽り文句と5つのリンクが並ぶ。本文の背景が白で末尾数行だけ水色になっているのは、既製の詐欺メールテンプレート(ひな形)を流用した証拠。
このメールは詐欺です。どんなに興味をそそる内容でも、リンクは絶対にクリックしないでください。この解析結果を家族のLINEグループに転送して注意喚起してください。
三大ブランドを組み合わせた偽装の仕掛け
■ Yahoo・iCloud・Gmailを使い分ける理由
このメールには3つの異なるアドレスが登場します。それぞれ意図的に役割を分けています。
① 送信者名(表示名):gcxbngrwgi@yahoo.co.jp
メールソフトで最初に目に入る「差出人名」の部分。Yahoo!Japanというブランドを見せることで「日本の有名サービスから届いた」という印象を与える。しかしこれは単なる「表示名」であり、実際の送信元ではない。
② 実際の送信元:fczcwwcwhdehuf@icloud.com
実際にメールを送信したアドレス。AppleのiCloudという信頼性の高いブランドのアドレスを使うことで、スパムフィルター(迷惑メール検知機能)をすり抜けやすくしている。iCloudアドレスは誰でも無料で大量取得できるため、使い捨て目的で悪用されやすい。
③ 返信先:irfnpgxionp@gmail.com
「返信」ボタンを押したときに実際に送信される先。Gmailという無料サービスの使い捨てアカウントを使うことで、攻撃者の身元を隠しながら返信を受け取る。
■ 詐欺メールテンプレートの流用を発見
今回のメールはHeartland-Labの調査で、既製の詐欺メールテンプレート(ひな形)を流用して作成されたことが確認されました。その証拠が本文のデザインです。
- 本文の背景が白:メインコンテンツ部分は白背景
- 末尾数行だけ水色背景:「※18歳未満の方の閲覧を固く禁止しております。」という免責事項の部分だけ水色になっている
この白+水色の2色構成は、複数の詐欺グループが共通して使い回す既製テンプレートの特徴です。大量の詐欺メールが同一のテンプレートを使って量産されていることを示しています。
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダー(メールがどのサーバーを経由してきたかの通過記録)の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from cogetel-100-52-239-103.online.com.kh (unknown [103.239.52.100]) by 受信者側サーバー(非公表) with SMTP
【偽装判定】:
送信者名はYahoo!Japan、送信元アドレスはiCloudですが、実際の送信サーバーはカンボジア(.kh)のISP(インターネット接続業者)「Cogetel」のサーバーからの送信です。日本や米国のサービスとは一切関係ありません。SPFがSoftfailとなっており、iCloudの正規サーバーからの送信でもないことが確認されています。
送信元IP:103.239.52.100(カンボジア)
Googleマップ:【位置情報を確認する(カンボジア・プノンペン付近)】
リンク先解析
▲ リンク先のqptr.ruにアクセスすると「403 Forbidden(アクセス禁止)」エラーが表示される。ロシア語のホスティングサービス「per.py」のエラーページで、すでにアクセスが制限されている状態。
■ リンク先詳細解析
メール内リンク(ショートURL):hxxps://qptr[.]ru/TU9b(一部伏せ字)
qptr.ruとは:ロシア系のURL短縮サービス(ショートURL)。長いURLを短く変換するサービスで、本来のリンク先を隠すために悪用されることが多い。
qptr.ru IP:31.31.196.166(ロシア系ホスティング「per.py」)
Googleマップ:【位置情報を確認する(ロシア・モスクワ付近)】
【リンク先の状態】:「403 Forbidden(アクセス禁止)」エラーが返されており、現在はアクセス不可。調査時点ですでにリンク先が閉鎖または制限されている。
X-FEAS-SURL(ヘッダーで確認されたURL群):qptr.ru/TU9b, qptr.ru/cDaN, qptr.ru/h8E8, qptr.ru/hEWZ, qptr.ru/jS3C, qptr.ru/sadI——メール内の複数リンクがすべて同じドメインの異なる短縮URLになっており、一括管理されている。
注意点と対処法
■ このようなメールが届いた場合の対処法
- リンクをクリックしない:現在は403エラーで見られませんが、いつ別のURLに切り替わるかわかりません。絶対にクリックしないでください。詐欺サイト・不正アプリへの誘導、個人情報の詐取、高額な有料サービスへの不正登録などが想定されます。
- 送信者名だけで判断しない:「Yahoo.co.jp」という送信者名が見えても、実際の送信元アドレスを確認することが重要です。メールアドレスの横の「<>」内に表示されるアドレスが本当の送信元です。
- ショートURLに注意:`qptr.ru`、`bit.ly`、`t.co` などの短縮URLはリンク先を隠すため、詐欺メールによく使われます。見覚えのないショートURLは絶対にクリックしないでください。
- 迷惑メールとして報告・削除:このようなメールが届いたら開封せず、迷惑メールとして報告してから削除してください。
■ 関連記事
当ブログではさまざまな詐欺メールを取り上げています。あわせてご覧ください。
詐欺メール 関連記事一覧
本レポートの結論
本件はアダルトコンテンツへの好奇心につけ込みながら、送信者名にYahoo!Japan・送信元にiCloud・返信先にGmailという三大ブランドを組み合わせてスパムフィルターと受信者の目をくぐり抜ける巧妙な詐欺メールです。実際の送信元はカンボジアのサーバーであり、リンク先はロシア系ショートURLで本来の誘導先を隠しています。また既製の詐欺メールテンプレートを流用していることから、同様のメールが大量に量産・送信されていることが伺えます。「18歳未満禁止」という免責事項を末尾に付けることで、一見すると正規のコンテンツのように見せかける手口も特徴的です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
