【実録】Apple「ご登録情報の更新をお願いいたします」は詐欺！犯人が[-email-][-datetime-]を消し忘れた自爆フィッシングメールの全手口を公開

2026年6月15日

🟡 緊急度：中

【実録】Apple「ご登録情報の更新をお願いいたします」は詐欺！テンプレート変数を消し忘れた自爆メールの正体と偽Apple Accountログイン画面への誘導を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「iCloud+ストレージプランの更新を完了できませんでした。お支払い情報をご確認ください」——そんな内容でAppleを騙るフィッシングメールが2026年6月15日に確認されました。しかし今回は攻撃者のツールが重大なミスを犯していました。メール本文の「APPLE ACCOUNT」欄に受信者のメールアドレスが入るはずのところに [-email-]、日付欄に [-datetime-]、書類番号に [-digit12-] というプレースホルダー（テンプレートの穴埋め変数）がそのまま残っており、個人情報を差し込む処理が完全に失敗したまま送信されてしまっています。にもかかわらず、Cloudflare Turnstile（クラウドフレア社が提供する本物のセキュリティ認証サービス）を悪用したクローキングで人間を選別し、本物そっくりの偽Apple Accountログイン画面に誘導します。Heartland-Labが全手口を解析します。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★☆☆ (3/5)　SPF未設定・テンプレート処理失敗・サイトはブロック済み
偽装工作精度	★★★☆☆ (3/5)　本文は精巧だが変数消し忘れの凡ミス・偽ログイン画面は本物に近い

■ メールヘッダー解析（送信者情報）

件名：ご登録情報の更新をお願いいたします

送信者名：Apple

送信元アドレス：icloud.no-reply@reivs.com

送信元ドメインIP（client-ip）：193.239.154.70（IP Transit / HOTIOCCLOUD-AS-AP、香港・旺角）

SPF認証（送信元が本物かどうかを確認する仕組み）：None（未設定）——正規ドメインにSPFレコードが存在しない

DKIM署名（メールが改ざんされていないか確認する仕組み）：Pass（d=aericaxnexprzes.com）

受信日時：2026年6月15日（月）04:24

▲ 届いた詐欺メール。「APPLE ACCOUNT：[-email-]」「日付：[-datetime-]」とテンプレート変数が丸出しのまま

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

1. 詐欺メール本文の再現
2. 攻撃者の自爆：テンプレート変数の消し忘れ
3. 送信ルート及び偽装判定
4. Cloudflare Turnstileを悪用したクローキング
5. フィッシングサイト詳細解析
6. 注意点と対処法

詐欺メール本文の再現

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。

件名：ご登録情報の更新をお願いいたします

🍎（Appleロゴ）　　　　　　　　　　　　　　請求書

APPLE ACCOUNT　　　　　　　日付
[-email-]　　　　　　　　　[-datetime-]

ご注文番号　　　　　　　　　書類番号
MX93YH32U2　　　　　　　[-digit12-]

────────────────────────────────────
iCloud　　　　　　　　　　　　　　　　　　¥450
200 GBのiCloud+（月額）
iPhone
JCT（10%）を含む ¥41

iCloud+ ストレージプランの更新を完了できませんでした。
現在のお支払い方法に問題がある可能性があります。
お支払い情報をご確認のうえ、必要に応じて更新をお願いいたします。
情報が更新されない場合、一部のサービスをご利用いただけなくなることがあります。
────────────────────────────────────
　　　　　　合計　　　　　　　　　　　　¥450

　　　　　　【お支払い情報を更新してください】←（※フィッシングリンク・クリック禁止）

このメールは自動送信されています。返信しないでください。

© 2026 Apple Inc. All Rights Reserved.
〒106-6140 東京都港区六本木6-10-1 六本木ヒルズ森タワー

攻撃者の自爆：テンプレート変数の消し忘れ

■ プレースホルダー（穴埋め変数）が置換されないまま送信された決定的証拠

フィッシングメールの大量送信ツールは通常、受信者ごとに名前やメールアドレス・日付などを自動的に差し込んで「あなた宛ての請求書」に見せかけます。しかし今回のメールでは、その差し込み処理が完全に失敗しています。

欄	本来入るはずの内容	実際に届いた内容（失敗）
APPLE ACCOUNT	受信者のメールアドレス	`[-email-]`
日付	請求日付	`[-datetime-]`
書類番号	12桁の書類番号	`[-digit12-]`

この凡ミスのおかげで、「誰宛てかもわからない請求書」という不自然なメールが届くことになりました。慣れた目には一目で偽物とわかりますが、フィッシングサイト自体は本物そっくりの精巧な作りになっているため、リンクをクリックしてしまうと油断は禁物です。

⚠️ ここが怪しい！スタッフが気づいた偽物のサイン

送信元が icloud.no-reply@reivs.com——Appleの正規ドメイン（apple.com）とは全く別のドメイン
[-email-][-datetime-][-digit12-] がそのまま表示——「あなた宛ての請求書」のはずが誰宛てかすら書いていない
¥450という金額——実際のiCloud+ 200GBは月額450円（税込）と一致させているが、本物のAppleからの請求メールは正しいメールアドレスが表示される
「東京都港区六本木ヒルズ森タワー」——Appleの日本法人住所を正確に記載してそれらしく見せているが、送信元は香港

送信ルート及び偽装判定

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from mail.5kcOds.info (unknown [193.239.154.70])

【偽装判定】：
Appleの正規メールは @apple.com または @id.apple.com 等から送信されます。本メールの送信ドメイン reivs.com はAppleとは全く無関係の第三者ドメインです。SPFレコード（送信元認証情報）が未設定のため、一部のメールフィルターに「なりすまし」として検出されるリスクがある一方、フィルターの設定によっては素通りしてしまう場合もあります。

送信サーバーIPアドレス（client-ip）：193.239.154.70

インフラ：IP Transit / HOTIOCCLOUD-AS-AP（AS136038）——脅威レベル：高（ip-sc.net判定：サイバーアタックの攻撃元）

発信元ロケーション：香港・油尖旺区・旺角（Mong Kok）（緯度：22.3148、経度：114.17）
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

中継ドメイン：mail.5kcOds.info（DNSに存在しない失効ドメイン）——送信経路を隠蔽するための使い捨てドメインと判断されます。

Cloudflare Turnstileを悪用したクローキング

■ 本物のCloudflare認証を悪用したクローキング（アクセス端末によって表示内容を変える偽装手法）

フィッシングサイトへのアクセス時、「接続を確認しています　下の認証を完了してください」という画面が表示されます。画面には本物のCloudflare Turnstile（クラウドフレア社が提供する正規のセキュリティ認証サービス）のロゴと「検証中…」という表示が出ます。これは攻撃者がCloudflareのサービスをそのまま悪用してbot（自動プログラム）を選別しているものです。本物のセキュリティサービスを使っているため、利用者が「安全なサイトだ」と誤認しやすい特に悪質な手口です。

▲ 「Cloudflare」のロゴが表示されるクローキング関門。本物のCloudflareサービスが悪用されており、安全に見えてしまう

この関門を突破すると、本物そっくりのApple Account（アップルアカウント）サインイン画面が表示されます。「メールまたは電話番号」の入力を求めてきます。

▲ 関門突破後に表示される偽Apple Accountサインイン画面。本物と見分けがつかないほど精巧

フィッシングサイト詳細解析

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://mxbobnz[.]info/stance/mFY3joiA7GPOTFUqB3j（一部伏字）

リンクドメイン：mxbobnz.info（Appleとは一切無関係の意味不明な文字列ドメイン）

サイトサーバーIP：104.21.35.53

インフラ：Cloudflare CDN（コンテンツ配信ネットワーク）——Cloudflare経由で配信されているため実際のサーバー所在地は隠蔽されています

ドメイン登録日：whois.domaintools.com で確認

【セキュリティソフトによるブロック状況】：

🛡️ ウイルスバスタークラウド：フィッシングとして検出・ブロック済み
🛡️ Google セーフブラウジング（Chrome）：「危険なサイト」として警告表示

▲ ウイルスバスタークラウドが「フィッシング」として検出・ブロック

▲ Google Chromeでも「危険なサイト」として赤い警告画面が表示される

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

注意点と対処法

■ 注意点と対処法

リンクをクリックしない：「お支払い情報を更新してください」ボタンは偽物です。絶対にクリックしないでください。
Appleの正規送信元を確認する：Appleからの正規メールは @apple.com や @id.apple.com から届きます。それ以外のドメインは偽物です。
テンプレート変数が残っていたら確実に偽物：[-email-]や[-datetime-]のような記号が含まれるメールは、攻撃ツールが誤作動した偽メールです。即削除してください。
iCloudの支払い情報の確認は公式から：iCloudのお支払い状況は、iPhone/iPadの「設定」→ Apple IDをタップ→「サブスクリプション」から確認できます。メール内のリンクからは絶対にアクセスしないでください。
入力してしまった場合：すぐに Apple IDの公式サイトからパスワードを変更してください。二段階認証（本人確認を2回行うことでセキュリティを高める仕組み）の設定も合わせてご確認ください。
公式注意喚起の参照：Apple をかたる詐欺メールや詐欺電話に注意する（Apple公式）

■ 関連記事

当ブログでは過去にもApple・iCloudを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

Apple 関連記事一覧

本レポートの結論

「iCloudのお支払い情報に問題がある」と焦らせるApple騙りフィッシングメールが確認されました。今回は攻撃ツールの誤作動で「[-email-]」「[-datetime-]」というテンプレート変数が丸出しのまま届くという大失態を演じましたが、笑えないのはフィッシングサイト自体は本物そっくりの精巧な作りで、本物のCloudflareセキュリティ認証まで悪用したクローキングが仕掛けられていることです。メールの不自然さに気づかずリンクをクリックしてしまえば、精巧な偽サインイン画面でApple IDとパスワードを盗まれます。Apple IDが乗っ取られると、iPhone内の全データへのアクセス・App Store決済・iCloudバックアップの盗視など甚大な被害につながります。Apple関連メールが届いたら、メール内リンクは絶対にクリックせず、必ずデバイスの「設定」から直接確認する習慣をつけてください。

📲 LINEで家族に共有する

調査日：2026年6月15日／ Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元：ip-sc.net