HEARTLAND

The Endress Run

  • ホーム
  • Myself
  • お問合せページ
  • サイトマップ
  • プライバシーポリシー
  • 
  • 

    メニュー

  • 

    サイドバー

  • 

    前へ

  • 

    次へ

  • 

    検索

  •   RSS 
  •   Feedly 
  1. ホーム>
  2. ネット詐欺>
  3. 詐欺メール>
  4. Apple

【実録】Apple「ご登録情報の更新をお願いいたします」は詐欺!犯人が[-email-][-datetime-]を消し忘れた自爆フィッシングメールの全手口を公開

2026年6月15日

  • Twitter
  • Facebook
  • Pin it
  • LinkedIn
  • Pocket
HL-META: date=2026-06-15 | brand=Apple(iCloud) | sender_domain=reivs.com | sender_geo=HK(IP Transit/HOTIOCCLOUD) | site_geo=Cloudflare-CDN | spf=none | dkim=pass | cloaking=yes

🟡 緊急度:中

【実録】Apple「ご登録情報の更新をお願いいたします」は詐欺!テンプレート変数を消し忘れた自爆メールの正体と偽Apple Accountログイン画面への誘導を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「iCloud+ストレージプランの更新を完了できませんでした。お支払い情報をご確認ください」——そんな内容でAppleを騙るフィッシングメールが2026年6月15日に確認されました。しかし今回は攻撃者のツールが重大なミスを犯していました。メール本文の「APPLE ACCOUNT」欄に受信者のメールアドレスが入るはずのところに [-email-]、日付欄に [-datetime-]、書類番号に [-digit12-] というプレースホルダー(テンプレートの穴埋め変数)がそのまま残っており、個人情報を差し込む処理が完全に失敗したまま送信されてしまっています。にもかかわらず、Cloudflare Turnstile(クラウドフレア社が提供する本物のセキュリティ認証サービス)を悪用したクローキングで人間を選別し、本物そっくりの偽Apple Accountログイン画面に誘導します。Heartland-Labが全手口を解析します。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★☆☆ (3/5) SPF未設定・テンプレート処理失敗・サイトはブロック済み
偽装工作精度 ★★★☆☆ (3/5) 本文は精巧だが変数消し忘れの凡ミス・偽ログイン画面は本物に近い

■ メールヘッダー解析(送信者情報)

件名:ご登録情報の更新をお願いいたします

送信者名:Apple

送信元アドレス:icloud.no-reply@reivs.com

送信元ドメインIP(client-ip):193.239.154.70(IP Transit / HOTIOCCLOUD-AS-AP、香港・旺角)

SPF認証(送信元が本物かどうかを確認する仕組み):None(未設定)——正規ドメインにSPFレコードが存在しない

DKIM署名(メールが改ざんされていないか確認する仕組み):Pass(d=aericaxnexprzes.com)

受信日時:2026年6月15日(月)04:24


▲ 届いた詐欺メール。「APPLE ACCOUNT:[-email-]」「日付:[-datetime-]」とテンプレート変数が丸出しのまま

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

目次
  • 1. 詐欺メール本文の再現
  • 2. 攻撃者の自爆:テンプレート変数の消し忘れ
  • 3. 送信ルート及び偽装判定
  • 4. Cloudflare Turnstileを悪用したクローキング
  • 5. フィッシングサイト詳細解析
  • 6. 注意点と対処法

詐欺メール本文の再現

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。


件名:ご登録情報の更新をお願いいたします

🍎(Appleロゴ)              請求書

APPLE ACCOUNT       日付
[-email-]         [-datetime-]

ご注文番号         書類番号
MX93YH32U2       [-digit12-]

────────────────────────────────────
iCloud                  ¥450
200 GBのiCloud+(月額)
iPhone
JCT(10%)を含む ¥41

iCloud+ ストレージプランの更新を完了できませんでした。
現在のお支払い方法に問題がある可能性があります。
お支払い情報をご確認のうえ、必要に応じて更新をお願いいたします。
情報が更新されない場合、一部のサービスをご利用いただけなくなることがあります。
────────────────────────────────────
      合計            ¥450

      【お支払い情報を更新してください】←(※フィッシングリンク・クリック禁止)

このメールは自動送信されています。返信しないでください。

© 2026 Apple Inc. All Rights Reserved.
〒106-6140 東京都港区六本木6-10-1 六本木ヒルズ森タワー

攻撃者の自爆:テンプレート変数の消し忘れ

■ プレースホルダー(穴埋め変数)が置換されないまま送信された決定的証拠

フィッシングメールの大量送信ツールは通常、受信者ごとに名前やメールアドレス・日付などを自動的に差し込んで「あなた宛ての請求書」に見せかけます。しかし今回のメールでは、その差し込み処理が完全に失敗しています。

欄 本来入るはずの内容 実際に届いた内容(失敗)
APPLE ACCOUNT 受信者のメールアドレス [-email-]
日付 請求日付 [-datetime-]
書類番号 12桁の書類番号 [-digit12-]

この凡ミスのおかげで、「誰宛てかもわからない請求書」という不自然なメールが届くことになりました。慣れた目には一目で偽物とわかりますが、フィッシングサイト自体は本物そっくりの精巧な作りになっているため、リンクをクリックしてしまうと油断は禁物です。

⚠️ ここが怪しい!スタッフが気づいた偽物のサイン

  • 送信元が icloud.no-reply@reivs.com——Appleの正規ドメイン(apple.com)とは全く別のドメイン
  • [-email-][-datetime-][-digit12-] がそのまま表示——「あなた宛ての請求書」のはずが誰宛てかすら書いていない
  • ¥450という金額——実際のiCloud+ 200GBは月額450円(税込)と一致させているが、本物のAppleからの請求メールは正しいメールアドレスが表示される
  • 「東京都港区六本木ヒルズ森タワー」——Appleの日本法人住所を正確に記載してそれらしく見せているが、送信元は香港

送信ルート及び偽装判定

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析(サーバー通過証明):
Received: from mail.5kcOds.info (unknown [193.239.154.70])

【偽装判定】:
Appleの正規メールは @apple.com または @id.apple.com 等から送信されます。本メールの送信ドメイン reivs.com はAppleとは全く無関係の第三者ドメインです。SPFレコード(送信元認証情報)が未設定のため、一部のメールフィルターに「なりすまし」として検出されるリスクがある一方、フィルターの設定によっては素通りしてしまう場合もあります。

送信サーバーIPアドレス(client-ip):193.239.154.70

インフラ:IP Transit / HOTIOCCLOUD-AS-AP(AS136038)——脅威レベル:高(ip-sc.net判定:サイバーアタックの攻撃元)

発信元ロケーション:香港・油尖旺区・旺角(Mong Kok)(緯度:22.3148、経度:114.17)
Googleマップ:【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

中継ドメイン:mail.5kcOds.info(DNSに存在しない失効ドメイン)——送信経路を隠蔽するための使い捨てドメインと判断されます。

Cloudflare Turnstileを悪用したクローキング

■ 本物のCloudflare認証を悪用したクローキング(アクセス端末によって表示内容を変える偽装手法)

フィッシングサイトへのアクセス時、「接続を確認しています 下の認証を完了してください」という画面が表示されます。画面には本物のCloudflare Turnstile(クラウドフレア社が提供する正規のセキュリティ認証サービス)のロゴと「検証中…」という表示が出ます。これは攻撃者がCloudflareのサービスをそのまま悪用してbot(自動プログラム)を選別しているものです。本物のセキュリティサービスを使っているため、利用者が「安全なサイトだ」と誤認しやすい特に悪質な手口です。


▲ 「Cloudflare」のロゴが表示されるクローキング関門。本物のCloudflareサービスが悪用されており、安全に見えてしまう

この関門を突破すると、本物そっくりのApple Account(アップルアカウント)サインイン画面が表示されます。「メールまたは電話番号」の入力を求めてきます。


▲ 関門突破後に表示される偽Apple Accountサインイン画面。本物と見分けがつかないほど精巧

フィッシングサイト詳細解析

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://mxbobnz[.]info/stance/mFY3joiA7GPOTFUqB3j(一部伏字)

リンクドメイン:mxbobnz.info(Appleとは一切無関係の意味不明な文字列ドメイン)

サイトサーバーIP:104.21.35.53

インフラ:Cloudflare CDN(コンテンツ配信ネットワーク)——Cloudflare経由で配信されているため実際のサーバー所在地は隠蔽されています

ドメイン登録日:whois.domaintools.com で確認

【セキュリティソフトによるブロック状況】:

  • 🛡️ ウイルスバスター クラウド:フィッシングとして検出・ブロック済み
  • 🛡️ Google セーフブラウジング(Chrome):「危険なサイト」として警告表示


▲ ウイルスバスター クラウドが「フィッシング」として検出・ブロック


▲ Google Chromeでも「危険なサイト」として赤い警告画面が表示される

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

注意点と対処法

■ 注意点と対処法

  1. リンクをクリックしない:「お支払い情報を更新してください」ボタンは偽物です。絶対にクリックしないでください。
  2. Appleの正規送信元を確認する:Appleからの正規メールは @apple.com や @id.apple.com から届きます。それ以外のドメインは偽物です。
  3. テンプレート変数が残っていたら確実に偽物:[-email-]や[-datetime-]のような記号が含まれるメールは、攻撃ツールが誤作動した偽メールです。即削除してください。
  4. iCloudの支払い情報の確認は公式から:iCloudのお支払い状況は、iPhone/iPadの「設定」→ Apple IDをタップ→「サブスクリプション」から確認できます。メール内のリンクからは絶対にアクセスしないでください。
  5. 入力してしまった場合:すぐに Apple IDの公式サイト からパスワードを変更してください。二段階認証(本人確認を2回行うことでセキュリティを高める仕組み)の設定も合わせてご確認ください。
  6. 公式注意喚起の参照:Apple をかたる詐欺メールや詐欺電話に注意する(Apple公式)

■ 関連記事

当ブログでは過去にもApple・iCloudを騙る詐欺メールを多数取り上げています。あわせてご覧ください。

Apple 関連記事一覧

本レポートの結論

「iCloudのお支払い情報に問題がある」と焦らせるApple騙りフィッシングメールが確認されました。今回は攻撃ツールの誤作動で「[-email-]」「[-datetime-]」というテンプレート変数が丸出しのまま届くという大失態を演じましたが、笑えないのはフィッシングサイト自体は本物そっくりの精巧な作りで、本物のCloudflareセキュリティ認証まで悪用したクローキングが仕掛けられていることです。メールの不自然さに気づかずリンクをクリックしてしまえば、精巧な偽サインイン画面でApple IDとパスワードを盗まれます。Apple IDが乗っ取られると、iPhone内の全データへのアクセス・App Store決済・iCloudバックアップの盗視など甚大な被害につながります。Apple関連メールが届いたら、メール内リンクは絶対にクリックせず、必ずデバイスの「設定」から直接確認する習慣をつけてください。

📲 LINEで家族に共有する

調査日:2026年6月15日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net

今、拡散中の詐欺メール

  • 【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 16.4k件のビュー
  • 【注意喚起】経済産業省・資源エネルギー庁「電気・ガス補助金失効通知」は詐欺!SPF認証失敗の不正メールがVポイント詐欺と同じ誘導先を使用 1.1k件のビュー
  • 【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 1k件のビュー
  • 【続報】国勢調査2026「罰則適用前最終通知」詐欺が一新——イタリア発送・スマホ限定の偽サイトでクローキングを実装 1k件のビュー
  • 「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖 684件のビュー

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る

Apple,詐欺メールApple,Apple Account,Cloudflare,iCloud,サイバー犯罪,テンプレートミス,フィッシング詐欺,注意喚起,詐欺メール,迷惑メール

Posted by heart


よろしければシェアお願いします

  • Twitter
  • Facebook
  • Pin it
  • LinkedIn
  • Pocket
【実録】さくらインターネット「決済エラーに伴う支払手続きのお願い」は詐欺!本物のサポートURLに紛れ込ませた偽リンクの罠を暴く
Next
【実録・同一犯確定】アメックス「プレミアム・カード保険 無償提供」は詐欺!偽ログイン画面に犯人の実名「ZHU YAMIN」が残っていた
Prev

関連記事

Thumbnail of related posts 176

【公開】犯行予告と同義の脅迫!「重要」という言葉で思考を奪うフィッシング詐欺の決定的証拠

  【実録】閲覧注意!個人情報を奪う最新の偽装メールを公開:あなたの日 ...

Thumbnail of related posts 116

『詐欺メール』「【APLUS】ご利用確認のお願い」と、来た件

「不正利用監視システム」にご注意を! ※ご注意ください! このブログエントリーは ...

Thumbnail of related posts 087

『詐欺メール』『【重要】au PAY ポイント贈呈のお知らせ』と、来た件

★フィッシング詐欺メール解体新書★ スマホやタブレットが普及し増々便利になる私た ...

Thumbnail of related posts 057

【詐欺判定】eオリコカードご利用のお知らせ・確認依頼のご案内を徹底解析

【調査報告】最新の詐欺メール解析レポート 解析対象:eオリコカードを装ったフィッ ...

Thumbnail of related posts 148

『詐欺メール』JAネットバンクから『【緊急情報】登録個人情報再確認のお願い』と、来た件

  ★フィッシング詐欺解体新書★ スマホやタブレットが普及し増々便利に ...

サイト内検索

今、拡散中の詐欺メール

  • 【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開16.4k件のビュー
  • 【注意喚起】経済産業省・資源エネルギー庁「電気・ガス補助金失効通知」は詐欺!SPF認証失敗の不正メールがVポイント詐欺と同じ誘導先を使用1.1k件のビュー
  • 【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説1k件のビュー
  • 【続報】国勢調査2026「罰則適用前最終通知」詐欺が一新——イタリア発送・スマホ限定の偽サイトでクローキングを実装1k件のビュー
  • 「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖684件のビュー

管理者おすすめの防犯グッズ

広告

【最強の物理防壁】YubiKey 5 NFC
Amazonで詳細を見る
【定番の安心】ウイルスバスター クラウド 3年版
Amazonで詳細を見る
【個人情報を守る】家庭用シュレッダー
Amazonで詳細を見る

Google検索

アーカイブ

カテゴリー

Thumbnail of new posts 160

2026年7月5日 : 詐欺メール

【解析】デジタル庁・年金機構・bitFlyer…同一犯が「名乗り」を使い回す波状攻撃の正体

HL-META: date=2026-06-25〜2026-07-04 | br ...
Thumbnail of new posts 179

2026年7月4日 : ホスティング・サーバー系

【警告】重要:サイバー攻撃検知のお知らせ(KAGOYA偽装)の詐欺メールを解析!公式を騙る巧妙な罠

TITLE: 【警告】重要:サイバー攻撃検知のお知らせ(KAGOYA偽装)の詐欺 ...
Thumbnail of new posts 057

2026年7月3日 : 詐欺メール

【最終確認】MetaMask「アカウント凍結リスクとセキュリティ状況のご案内」は詐欺:PC/スマホで誘導先を分けるbitFlyer型波状攻撃と同一犯

【実録】MetaMask「アカウント凍結リスク」の正体:わずか15分に5通、PC ...
Thumbnail of new posts 186

2026年7月3日 : bitFlyer

【警告】bitFlyer「アカウント凍結回避の最終ご案内」は詐欺:PC・スマホで誘導先を使い分ける波状攻撃の手口

HL-META: date=2026-07-03 | brand=bitFlye ...
Thumbnail of new posts 005

2026年7月3日 : 東京電力

【解析】TEPCO「未払い金額のお支払いをお願い申し上げます」は詐欺:URLに「.japan.com」を紛れ込ませる偽装手口

HL-META: date=2026-07-03 | brand=TEPCO(東 ...
2026年7月
日 月 火 水 木 金 土
 1234
567891011
12131415161718
19202122232425
262728293031  
« 6月    

Copyright © 2012 HEARTLAND All Rights Reserved.

WordPress Luxeritas Theme is provided by "Thought is free".

  • 
    ホーム
  • 
    メニュー
  • 
    上へ
 TOP