【実録】Apple騙る詐欺メールの正体を暴く:「サービス中断」の脅しと香港発サーバーの巧妙な手口
🔴 緊急度:高
| 緊急性レベル | ★★★★☆ (4/5) SPF・DKIM両Pass偽装、正規ドメイン踏み台 |
| 偽装工作精度 | ★★★★☆ (4/5) 自然な日本語文面・公式らしい体裁 |
■ メールヘッダー解析(送信者情報)
件名:[spam] サービス中断のおそれに関するご連絡
送信者名:“Apple”(偽装)
送信元アドレス:hi-tathuki-0215@dlaicmfe.cn
ドメインIP解析:193.239.154.124 (dlaicmfe.cn)
受信日時:2026年6月12日 23:31:26 +0900
使用メーラー:Foxmail 6, 13, 102, 15 [cn](中国製メールソフト)
SPF認証(送信元が本物かどうか確認する仕組み):Pass ※dlaicmfe.cnドメインとして自己完結したPass。Apple公式とは無関係。
DKIM署名(メールが改ざんされていないか確認する仕組み):Pass ※同様にdlaicmfe.cnによる署名。Apple公式とは無関係。
ご覧の通り、このメールはAppleを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 届いた詐欺メールの内容
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。実際にリンクをクリックしないでください。
平素よりAppleサービスをご利用いただき、誠にありがとうございます。 現在、お客様のApple IDに登録されているお支払い方法が無効となっております。 このままですと、アカウントのサービス利用が停止される可能性がございます。 お客様に継続してサービスをご利用いただくため、下記よりお支払い方法を更新してください。 ▶ お支払い方法を更新 【更新手順】 1. 「お支払い方法を更新」ボタンをクリックし、Apple IDでサインインしてください。 2. アカウント設定画面から支払い方法を選択し、情報をご確認ください。 3. 必要事項をご入力の上、必ず「保存」を押して更新を完了してください。 【更新がお済みでない場合の影響】 ・App Store・iTunesでの購入不可 ・iCloudデータのバックアップ停止 ・Apple MusicやApple TV+などのサービス利用停止 ・自動更新サービスの中断 ご不明な点がございましたら、カスタマーサポートまでお問い合わせください。 今後ともAppleを快適にご利用いただけるよう努めてまいります。 Copyright © 2026 Apple Inc. All rights reserved.jljw
▲ メールスクリーンショット(送信者アドレスに注目:apple.comではなくdlaicmfe.cnという中国ドメインになっている)
末尾に「jljw」という意味不明な文字列が付いていますが、これはスパムフィルターの検知を逃れるためにランダムな文字列を付け足す手口と考えられます。本物のAppleメールにはこのような文字列は付きません。
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側サーバー(非公表)の情報が含まれるため掲載を控えています。ご了承ください。
送信元ドメイン:dlaicmfe.cn(中国ドメイン)
【偽装判定】:
正規のAppleからのメールは @apple.com ドメインから送信されます。本メールの送信ドメイン dlaicmfe.cn は中国の民間ドメインであり、Appleの公式サーバーとは一切関係がありません。
【SPF・DKIM両Passについて】:
このメールはSPFとDKIMの両方の認証をPassしています。「両方Pass=本物」と思いがちですが、これは攻撃者が dlaicmfe.cn というドメインを自分で取得・設定し、そのドメインの範囲内で正規の認証を通過させているに過ぎません。「Appleとして認証された」のではなく「怪しい中国ドメインとして認証された」という意味です。
使用メーラー:Foxmail(中国製メールソフト。Appleが業務用途で使用するメールソフトではありません)
発信元ロケーション解析:
香港・旺角(Mong Kok)エリア
緯度・経度:22.3148, 114.17
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
プロバイダー:HDTIDCCLOUD-AS-AP(AS136038) 脅威レベル:高(サイバーアタックの攻撃元として登録済み)
■ 誘導先URL詳細解析:正規ドメインを踏み台にする巧妙な手口
誘導先URL(完全伏字):hxxps://a**********l.k*********l.jp/am_bin/ammain/b**.so/I***** (完全伏字)
【注目すべき点】:
このメールのリンク先は、フィッシング詐欺サイトではなく、実在するメールサービスのログインページでした。攻撃者はAppleを装いながら、全く関係のない別のサービスのログインページへ誘導するという奇妙な手口を使っています。
【なぜ正規のサービスのURLが使われているのか】:
考えられる理由は主に2つです。
- スパムフィルター回避目的:メール受信者が実際に使っているサービスのドメインへのリンクは、スパムフィルターが「安全」と判断しやすく、検知をすり抜けやすくなります。
- メールアカウント情報の窃取:Appleのふりをしてリンクをクリックさせ、見慣れたログイン画面が表示されたところで混乱したままIDとパスワードを入力させ、メールアカウント自体を乗っ取ろうとする狙いが考えられます。
実際にリンクをクリックすると「セッションの有効期限が切れています。再度ログインを行なってください。」というダイアログが表示されるだけで、現時点では実害につながる画面は確認できていません。しかしこのような手口が複数回確認されており、引き続き注意が必要です。
【サイトの状態】:誘導先のセッショントークンはすでに無効化されており、ログインページの表示のみで実害画面は表示されない状態。ただし手口自体は継続中のため警戒を要します。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
■ 注意点と対処法
- 送信元アドレスを確認する:本物のAppleからのメールは必ず
@apple.comドメインから届きます。@dlaicmfe.cnなど見慣れないドメインは即座に疑ってください。 - メール内のリンクをクリックしない:Apple IDの確認や支払い情報の更新は、必ず公式アプリまたはブラウザのブックマークから
appleid.apple.comへ直接アクセスして行ってください。 - 「両方Pass=本物」ではない:SPFとDKIMの両方がPassしていても、それは送信ドメインの正当性を示すだけで、そのドメインがApple公式かどうかとは別の話です。
- 見慣れないログイン画面でも入力しない:「Appleのリンクをクリックしたのになぜか別のログイン画面が出た」という場合も、そのままIDやパスワードを入力してはいけません。すぐにブラウザを閉じてください。
- Apple公式の注意喚起を参照:フィッシングメッセージ、偽のサポート電話、その他の詐欺を含むソーシャルエンジニアリングスキームを認識し、対処する — Apple サポート(日本)
- 不審なメールはAppleに報告:Appleを装った疑わしいメールは
reportphishing@apple.comへ転送して報告できます。
本レポートの結論
「サービス中断のおそれ」という言葉で焦らせ、SPF・DKIMの両認証をPassするという高度な偽装工作を施したApple騙りフィッシングメールです。さらに誘導先URLに正規サービスのドメインを使うことでスパムフィルターまでかわそうとする二重三重の罠が仕掛けられていました。発信元は香港のサイバー攻撃用ホスティングサーバー、使用メーラーは中国製——本物のAppleとは何一つ関係がありません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月13日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
