【警告】Apple ID「通常とは異なるアクセス」は詐欺:正規メール配信サービスSendGridを悪用した手口

| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
デザイン自体はシンプルなApple風で、危険性を煽りすぎない落ち着いたトーンなのが逆に不気味です。詳しく見ていきましょう。
※実際に届いたメールの画面です。過度に煽らず、冷静な文面なのが特徴的です。
■ メールヘッダー解析(送信者情報)
件名:[spam] 新しいブラウザからのサインインが確認されました
送信者名:セキュリティサポート
送信元アドレス:info@ishothit.me
ドメインIP解析:167.89.16.38(Twilio SendGrid、アメリカ合衆国)
受信日時:2026年07月03日 14時11分頃
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、このメールはApple IDを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
💡ここで!
SPF・DKIMが両方とも「正常」なのに、なぜ偽物と分かるの?
SPFやDKIMは「そのドメインの管理者が、このメールの送信を許可していますよ」という技術的な証明にすぎません。攻撃者が自分で取得したドメイン(今回で言う「ishothit.me」)を、正規のメール配信サービスに正しく登録して送信すれば、SPF・DKIMはどちらも問題なく「合格」になります。つまりこれは「ishothit.meというドメインの持ち主が送った」ことの証明であって、「Appleが送った」ことの証明では全くありません。認証結果だけを見て安心するのは危険です。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
受信サーバーに直接着信したのは、Twilio SendGridのサーバー(167.89.16.38)からでした。SendGridは世界中の多くの企業が利用する正規のメール配信サービスであり、それ自体は安全な基盤です。しかし、誰でもアカウントを作成してメールを送信できてしまうため、攻撃者が自分のドメインを登録して悪用するケースが後を絶ちません。
【偽装判定】:
正規のAppleからのメールは「apple.com」ドメインから送信されます。本メールの送信ドメイン「ishothit.me」はAppleとは無関係の使い捨てドメインであり、公式サーバーとは一切関係がありません。
発信元ロケーション解析:
アメリカ合衆国(SendGrid)
Googleマップ:【位置情報を確認する】
正規サービスを踏み台にする手口は、スパムフィルターの「送信元評判」を逆手に取った、なかなか腹立たしいやり方です。SendGrid自体は悪くないのですが、こうした悪用のとばっちりを受けているとも言えます。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://www[.]ishothit[.]me/hquzfz
【サイトの状態】:当ラボが調査した時点では、このドメインはすでに名前解決ができず(DNS_PROBE_FINISHED_NXDOMAIN)、インフラがすでに停止済みでした。攻撃者は非常に短期間でドメインを使い捨てていることが確認されています。
※調査時点で、誘導先ドメインはすでに名前解決できなくなっていました。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
Apple ID セキュリティ確認通知 通常とは異なるアクセスが確認されました (受信者アドレス)様のアカウントにおいて、普段のご利用状況とは異なるサインイン環境が検出されました。 確認された可能性のある内容 ・通常と異なる地域またはネットワークからのアクセス ・未確認の端末またはブラウザからのサインイン ・短時間で複数回行われた認証操作 現時点でアカウントの停止は行っておりませんが、ご本人による操作でない場合、第三者がアカウント情報を把握している可能性があります。 確認項目:サインイン履歴、登録端末、二段階認証の設定状況 推奨対応:心当たりのないアクセスがある場合は、パスワード変更と認証設定の見直し 安全保護のため、下記より現在のアカウント状況をご確認ください。 【 アカウント状況を確認する 】(=フィッシングサイトへのリンク。実際にはクリックできないようになっています) ※Appleがメールでパスワードや確認コードをお尋ねすることはありません。 ※確認コードや認証情報を第三者へ共有しないでください。 Apple サポート プライバシーポリシー
■ 注意点と対処法
- 「アカウント状況を確認する」ボタンは絶対にクリックしないでください。リンク先はApple IDとパスワードを盗むための偽サイトです。
- サインイン履歴を確認したい場合:メール内のリンクからではなく、必ず公式サイト(account.apple.com)に直接アクセスするか、お使いの端末の「設定」アプリから確認してください。
- 送信元アドレスがSendGrid経由でSPF・DKIMに合格していても、安心材料にはなりません。最終的な送信ドメインが「apple.com」かどうかだけを見てください。
- 公式注意喚起の参照:Apple公式「フィッシングメッセージ、偽のサポート電話、その他の詐欺を含むソーシャルエンジニアリングスキームを認識し、対処する」ページ
本レポートの結論
「通常とは異なるアクセスが確認されました」というApple ID偽装メールは、正規のメール配信サービスSendGridを使って送信された詐欺メールです。SPF・DKIMともに正常に通ってしまうため、メールソフト側の警告表示だけでは見抜けません。最終的な送信ドメインが「apple.com」であるかどうかを、必ず自分の目で確認する習慣をつけてください。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年7月3日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net















