【実録・第2弾】Appleを騙る「セキュリティ確認」詐欺、半年前と同じ文面で再来──今度はハンドメイドマーケットのドメインを盗用

2026年6月20日

【実録・第2弾】Appleを騙る「セキュリティ確認」詐欺、半年前と同じ文面で再来

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

今回ご紹介するのは「Apple」を名乗るフィッシングメールですが、実はこれ、当ラボが2026年1月にも一度取り上げた「Appleアカウントのセキュリティ確認とログイン情報の更新」と本文が一字一句まったく同じでした。攻撃者は半年経った今も同じテンプレートを使い回し、送信元と誘導先だけを差し替えて配信を続けています。Appleユーザーの方はもちろん、半年前の記事を読んでくださった方も、ぜひ「あの時のあれだ」と思いながら読んでみてください。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★☆☆ (3/5)
偽装工作精度	★★★☆☆ (3/5)
誘導先ドメインの便乗度	★★★★★ (5/5)

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

■ メールヘッダー解析（送信者情報）

件名：[spam] Appleアカウントのセキュリティ確認とログイン情報の更新

送信者名：“Apple”

送信元アドレス：no-reply-X3kR@creema.jp

送信元IPアドレス：2.59.152.170

受信日時：2026年6月20日 06:01頃

※ヘッダーには受信者の情報が含まれるため、本来なら掲載してご紹介するのが本筋ですが、個人情報保護のため伏せさせていただきます。

送信元アドレスのドメインはcreema.jp、つまり国内最大級の某ハンドメイド・手作り作品マーケットの正規ドメインです。もちろんこれは盗用であり、某マーケットが今回のメール配信に関与しているわけではありません。手作りアクセサリーのサイトとAppleのセキュリティ通知には、何の関係もありません。攻撃者は単に「.jp」の信頼性ある既存ドメインを偽装の踏み台として無断利用しているだけです。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

Appleアカウントのセキュリティ通知

近日、一部のAppleアカウントにおいて、不正アクセスの疑いが報告されております。

アカウントの安全を最優先に考え、お客様のアカウントが関与していないか、定期的にセキュリティ確認を行っていただくことを強く推奨いたします。

1. Appleアカウントから一時ログアウトを行います。
2. 公式のApple ID管理ページにて、パスワードの更新を行ってください。
3. 新しいパスワードで再ログインを行ってください。

万が一、ログインやパスワード変更に関して問題や疑問が生じた場合は、公式サポートまでお問い合わせください。皆様の安全と利便性のための措置としてご理解賜りますよう、お願い申し上げます。

Apple Storeにサインイン

この文面、見覚えがある方もいらっしゃるかもしれません。2026年1月にご紹介した「Appleアカウントのセキュリティ確認とログイン情報の更新」と比較すると、件名・本文の構成・「Apple Storeにサインイン」というボタンの文言・末尾の「本ォールはAppleの自動通知です」という誤字まで、一字一句完全に同一です。半年経っても誤字すら修正されていないあたり、攻撃者にとってこのテンプレートは「直す必要のない、十分に使い回せる完成品」という認識なのかもしれません（笑）。変わったのは、送信元ドメインと誘導先ドメインだけでした。

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
Received-SPF: Fail (SPF fail - not authorized) identity=mailfrom; client-ip=2.59.152.170; helo=v25061-gifu704.gifu.commufa.jp

【偽装判定】：
今回はSPF認証がFail、つまり明確に「認証されていない送信元」と判定されています。送信元IPの逆引き名はv25061-gifu704.gifu.commufa.jp、つまり岐阜県のcommufa（中部テレコミュニケーション）が提供する一般家庭用インターネット回線でした。Appleやcreemaのような企業が、個人宅の家庭用回線からメールを送信することは絶対にありません。何らかの方法で乗っ取られた個人のパソコンやルーターが、知らないうちに大量送信の踏み台にされている可能性が高いです。

発信元ロケーション解析：
IPアドレス2.59.152.170の地理的情報は【ip-sc.netで確認する】からご覧いただけます。ロケーションデータは日々変化する可能性がありますので、あくまで調査時点の参考情報としてご覧ください。

メールヘッダー詳細は個人情報保護のため非掲載

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://app-store.rakuten-mastercard.com/GtBactlX (一部伏字)

リンクドメイン：app-store.rakuten-mastercard.com

サイトサーバーIP：195.86.16.200

【サイトの状態】：ウイルスバスタークラウドが「このWebサイトは、安全ではない可能性があります（脅威の種類：フィッシング）」と表示し、アクセスをブロックしました。

このドメイン名、よく見ると「app-store」「rakuten」「mastercard」という3つの有名ブランド名が一つのドメインに詰め込まれているという、なかなか欲張りな作りになっています。Apple Storeのつもりでクリックした人に、楽天とMastercardの名前まで一度に信じ込ませようという狙いが見て取れます。本物のApple・楽天・Mastercardが、こんな寄せ集めのドメインを共同で運用することはあり得ません。複数のブランド名を組み合わせることで、利用しているサービスが何であっても「自分に関係あるかも」と思わせる、幅広い層を狙った設計だと考えられます。

なお、ブロックされた警告画面を閉じて強引にアクセスを続けると、本物そっくりのApple ID管理ページ（Apple Account）が表示される作りになっていました。デザイン自体は精巧で、メールアドレスやパスワードの入力を促す構成になっています。一見の完成度の高さと、文面の使い回しという「手抜き」が混在しているのも、このメールの特徴的なところです。

■ 注意点と対処法

URLをクリックしない：リンク先は情報を盗むための偽サイトです。ブロック画面が出た場合は、絶対に「アクセスを続ける」を選ばないでください。
差出人のドメインを必ず確認：表示名が「Apple」でも、実際のアドレスのドメインが「apple.com」「icloud.com」以外であれば偽物です。
公式サイト・公式アプリで確認：Apple IDの状態が気になる場合は、メール内のリンクを使わず、ブラウザのブックマークや公式アプリから直接アクセスしてください。
公式注意喚起の参照：Apple公式サポート「セキュリティ関連の問題でお困りの場合」（不審なメールはreportphishing@apple.comへ転送）

本レポートの結論

今回のメールは、半年前に当ラボが解析した文面をそのまま使い回した「再送波」でした。送信元はハンドメイドマーケットのドメインを盗用し、岐阜県の家庭用回線が踏み台にされ、誘導先はApple・楽天・Mastercardの名前を一つに詰め込んだ欲張りなドメインでした。同じ手口でも、送信元と誘導先を変えるだけで何度も配信できてしまうのが、こうした詐欺メールの怖さです。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

📱 この記事をLINEで家族・友人に共有する

Data Provided by Heartland-Lab Security Research Unit
関連記事：【偽Apple】「Appleアカウントのセキュリティ確認」メールは詐欺！.cnドメインの正体を解析（2026年1月）
根拠データ参照元：ip-sc.net