【緊急】同一犯確定!Apple「決済処理保留」と「News+プレミアム特典終了」、同じThe Dalles発Google Cloudインフラを使い回し

| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★★☆☆ (3/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] ご注意:News+ プレミアムの特典がまもなく終了しますNo.05731262
送信者表示名:“Apple Arcade”
送信元アドレス:DDOPGS@nfxysd.mx01.gxjp365.com
送信元IP解析:35.212.175.147(アメリカ合衆国オレゴン州The Dalles/Google Cloud Platform)
SPF判定:Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、Appleの正規メールであることの証明にはなりません)
受信日時:2026年07月01日(水)23時17分頃
ご覧の通り、このメールはAppleを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールのHTML表示画面です。フッター部分だけ水色背景になっているのが分かります。

※このメールをテキストにて表示画面です。書かれている内容が異なるのが分かります。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。【HTML表示版】
プレミアム特典の期限が 迫っています お客様が現在お使いのプレミアムプランは 2026年7月1日 に更新日を迎えます。 ✓ 広告なしのプレミアム体験 ✓ 全デバイスでのシームレスな同期 ✓ 最大2TB の高度なストレージ 更新処理が完了しない場合、上記の特典はすべて利用不可となり、保存データが削除される可能性があります。 プランの継続・更新はこちら 本メールは重要なお知らせとして送信されています。 © 2026 K.K. 東京都港区六本木6-10-1 UUN15O
※同じメールに含まれる、もう一方の【プレーンテキスト版】です。HTML版と文面が異なる点にご注目ください。
【重要】プレミアム特典の終了まで残りわずかです News+ プレミアムをご利用いただきありがとうございます。 お客様のプラン更新日が 2026年7月1日 に近づいています。 このまま更新が行われない場合、以下の特典が失効します: ・広告非表示、オフライン再生機能 ・高度なクラウドバックアップと同期 ・専用カスタマーサポート 継続してご利用いただくには、お支払い情報が最新であることをご確認ください。 ▼ 特典の維持・お支払い情報の確認はこちら: hxxps://login.zhcn-500-lottery[.]com/?verify=0vfSAhMG ※自動更新をご希望の場合は、特に操作は必要ありません。 (C) 2026 K.K. 六本木ヒルズ 3C9CE9
HTML版とテキスト版で、特典の項目(「広告なしのプレミアム体験」対「広告非表示、オフライン再生機能」等)から見出し文言までまるごと違う内容になっています。同じメール1通の中で言っていることが食い違っているという、コピペと自動生成を組み合わせた雑な量産体制がうかがえる一幕です(笑)。
💡ここで!
1通のメールにHTML版とテキスト版が両方入っているのはなぜ?
多くのメールは「multipart/alternative(マルチパート・オルタナティブ)」という形式で作られており、装飾されたHTML版と、装飾なしのテキスト版の両方を1通のメールに同梱しています。受信側のメールソフトが対応していればHTML版を、対応していなければテキスト版を自動的に表示する仕組みです。本来この2つは同じ内容であるべきですが、今回のメールのように中身が食い違っている場合、人の手で作られたものではなく、テンプレートを使って自動生成された詐欺メールである可能性が高いと考えられます。
■ 送信ルート及び偽装判定
送信元の正体:送信者表示名は「Apple Arcade」となっていますが、実際のメールアドレスのドメイン(@より後ろ)は「nfxysd.mx01.gxjp365.com」。Appleが利用する正規ドメインは「apple.com」であり、このドメインは一切関係がありません。
送信元サーバーの解析:メールヘッダーの「Received-SPF」に記載された実際の送信元IPアドレスは35.212.175.147。このIPアドレスはアメリカ合衆国オレゴン州The Dallesに割り当てられた、Google Cloud Platformのサーバーでした。本日別記事で紹介したApple「決済処理保留」を騙るメールの送信元IP(35.212.160.252)と同じサブネット・同じAS番号(AS43515/YOUTUBE、Google LLC)に属しており、同じ地点(The Dalles)から送られていることが確認できました。ブランドは違えど、同一犯による並行キャンペーンの可能性が高いと考えられます。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://login.zhcn-500-lottery[.]com/?verify=(トークン部分は複数確認)
リンクドメイン:zhcn-500-lottery.com
【サイトの状態】:実際にアクセスを試みたところ「DNS_PROBE_FINISHED_NXDOMAIN」、つまりドメイン自体が現在は存在しない状態でした。
ドメイン名の先頭が「zhcn-」で始まる点にご注目ください。同日紹介したApple「決済処理保留」メールの誘導先ドメイン「zhcn-wap-iqiyi.com」と同じ命名パターンです。しかもこちらも既に消滅済みでした。「zhcn-」+無関係なブランド名(今回は「lottery=宝くじ」)という組み合わせで使い捨てドメインを量産し、短期間で放棄していく運用は、送信インフラの一致とあわせて同一犯の裏付けとなる材料です。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための偽サイトです。
- 「白背景+水色フッター」のデザインに注意:3月の記事でも紹介した通り、複数の詐欺キャンペーンで使い回されている既知のテンプレートです。
- HTML版とテキスト版の内容が食い違うメールは要警戒:正規サービスがこのようなミスをすることはまずありません。
- 公式サイトを確認:必ず公式アプリまたはブックマークからアクセスしてください。Appleが利用する正規ドメインは「apple.com」のみです。
- 公式注意喚起の参照:Apple公式「フィッシングメールやその他の詐欺を見分ける方法」
本レポートの結論
「News+ プレミアムの特典がまもなく終了します」という名目で届く今回のメールは、3月に紹介した既知のテンプレートを使ったApple Arcadeなりすましメールでした。送信元は本日別記事で紹介したApple「決済処理保留」メールと全く同じ、米国オレゴン州The DallesのGoogle Cloudインフラ。誘導先ドメインの命名パターンも共通しており、同一犯による複数ブランドの並行キャンペーンであることがうかがえます。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net














