【続報】Appleを騙る「【確認待ち】アカウントの決済処理が保留状態となっております」は詐欺!1年前と同じ件名パターン、送信元はGoogle Cloud(米国オレゴン州)経由に

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★☆☆ (3/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【確認待ち】アカウントの決済処理が保留状態となっております(本日中にご対応ください)No.75651396
送信者表示名:“Apple Support”
送信元アドレス:VYKIRD@pchxpi.net.mmwanglanchang.com
送信元IP解析:35.212.160.252(アメリカ合衆国オレゴン州The Dalles/Google Cloud Platform)
SPF判定:Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、Appleの正規メールであることの証明にはなりません)
受信日時:2026年07月01日(水)23時06分頃
ご覧の通り、このメールはAppleを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。Appleの公式デザインを模しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
Apple サポート 決済情報の確認が必要です ○○○○ 様 Apple IDにご登録いただいているお支払い情報の確認が必要な状態となっています。 現在、決済処理が一時的に保留されており、一部サービスに影響が出る可能性があります。 現在影響を受ける可能性のある機能 ・App Storeでの決済処理およびアプリの自動更新 ・iCloudのバックアップおよびデータ同期 ・Apple Musicなどの有料サブスクリプション 重要なお知らせ お支払い情報が確認されない場合、安全保護のためアカウント機能に制限が適用される可能性があります。 [Appleにサインインして確認](リンク先:hxxps://www.zhcn-wap-iqiyi[.]com/1DidqLJz.jpg) 安全にサービスをご利用いただくため、できるだけ早くお支払い情報の確認・更新をお願いいたします。 このメールは自動送信されています。返信には対応しておりません。 Copyright (C) 2026 iTunes K.K. 東京都港区六本木6丁目10番1号 六本木ヒルズ プライバシーポリシー | ご利用規約 | Appleサポート
「Apple ID」という呼び方にも注目してください。Appleのサービス名は2024年秋に「Apple ID」から「Appleアカウント」へ変更されています。それ以降にわざわざ古い呼称を使うメールは、Appleからの正式なものではあり得ません。
■ 送信ルート及び偽装判定
送信元の正体:送信者表示名は「Apple Support」となっていますが、実際のメールアドレスのドメイン(@より後ろ)は「mmwanglanchang.com」。Appleが利用する正規ドメインは「apple.com」であり、このドメインは一切関係がありません。
送信元サーバーの解析:メールヘッダーの「Received-SPF」に記載された実際の送信元IPアドレスは35.212.160.252。このIPアドレスはアメリカ合衆国オレゴン州The Dallesに割り当てられた、Google Cloud Platformのサーバーでした。さらに調べたところ、送信ドメイン「mmwanglanchang.com」自体がこの同じIPアドレスに割り当てられていることを確認。攻撃者は他社のサービスを踏み台にするのではなく、Google Cloud上に自前のドメインとメールサーバーを構築して送信していることが分かります。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
💡ここで!
URLの末尾が「.jpg」なのに危険なの?とは
URLの末尾(拡張子)は、あくまで「こういう種類のファイルですよ」という自己申告に過ぎず、実際にどんな内容が表示されるかはサーバー側が自由に決められます。「.jpg」と書かれていても、裏側でログイン画面のページを表示させることは技術的に可能です。画像ファイルへのリンクだと油断させて、迷惑メールフィルターや利用者の警戒心をすり抜けようとする手口の一つです。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://www.zhcn-wap-iqiyi[.]com/1DidqLJz.jpg
リンクドメイン:zhcn-wap-iqiyi.com
【サイトの状態】:実際にアクセスを試みたところ「DNS_PROBE_FINISHED_NXDOMAIN」、つまりドメイン自体が現在は存在しない状態でした。誘導先のインフラは既に停止・放棄されていると見られます。
ドメイン名に含まれる「iqiyi」は、Appleとは何の関係もない中国の大手動画配信サービス「iQIYI(愛奇藝)」を連想させる文字列です。Appleを騙るメールの誘導先が、なぜか無関係な動画配信サービスの名を騙るドメインになっているという、ちぐはぐな作りです(笑)。複数のなりすましキャンペーンでインフラや命名パターンを使い回した結果とみられます。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための偽サイトです。拡張子が「.jpg」であっても油断は禁物です。
- 「Apple ID」という呼び方に注意:2024年秋以降、Appleは「Appleアカウント」という呼称に統一しています。
- 公式サイトを確認:必ず公式アプリまたはブックマークからアクセスしてください。Appleが利用する正規ドメインは「apple.com」のみです。
- 同じ件名パターンに要注意:この件名は1年前の記事でも紹介した通り、複数の類似件名で使い回されているテンプレートの一つです。
- 公式注意喚起の参照:Apple公式「フィッシングメールやその他の詐欺を見分ける方法」
本レポートの結論
「アカウントの決済処理が保留状態」という名目で届く今回のメールは、1年前に当ラボが紹介した記事で名指しされていた件名パターンの一つです。1年経った今も同じ手口が使い回されている一方、送信インフラは米国オレゴン州のGoogle Cloud上に自前で構築されており、誘導先ドメインは既に消滅済みという、生きた情報と古い情報が入り混じった状態でした。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net















