【実録】Apple「ご請求内容の確認」偽メール、リンク先はSendGridが自ら無効化——正規配信基盤を悪用した攻撃が返り討ちに

HL-META: date=2026-07-18 | brand=Apple(なりすまし) | sender_geo=アメリカ(コロラド州デンバー/SendGrid) | site_geo=unknown(SendGridがリンクを無効化) | spf=pass | dkim=unknown | cloaking=unknown

【実録】Apple「ご請求内容の確認」偽メール、リンク先はSendGridが自ら無効化——正規配信基盤を悪用した攻撃が返り討ちに

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

Apple Oneサブスクリプションの「利用料金領収書」を装い、身に覚えのない決済への不安を煽って偽サイトへ誘導するフィッシングメールが確認されました。送信には正規のメール配信サービス「SendGrid」が悪用されていましたが、実際にリンクをたどるとSendGrid自身が「Link Disabled(リンクは無効化されています)」と表示し、攻撃をブロックしていました。

件名 [spam] ご請求内容の確認をお願いいたします
差出人表示名 “アップサポートセンター”(Apple公式サポートを詐称)
送信元IP(Received-SPF記載) 149.72.123.24(アメリカ・コロラド州デンバー/SendGrid, Inc.)
誘導先 SendGridのクリックトラッキングURL経由(現在は無効化済み)
緊急性レベル ★★☆☆☆ (2/5) ※誘導先リンクは既に無効化済み
偽装工作精度 ★★★★☆ (4/5) ※Apple公式領収書とほぼ同じデザイン・請求書番号や注文番号まで作り込み済み

ご覧の通り、このメールは公式Appleを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

届いたメールの内容を、技術検証のためそのまま再現します。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化のうえ掲載しています。


Apple IDのサブスクリプション利用料金領収書を発行いたしました。購入履歴より請求詳細をご確認ください。身に覚えのない決済の場合はアカウントセキュリティ設定をご確認ください。

Appleサブスクリプション ご利用料金領収書

いつもAppleサービスをご利用いただき、誠にありがとうございます。
お客様のApple IDにてサブスクリプション利用料金の決済が完了し、本領収書を発行いたしました。記載内容に誤りがないかご確認をお願いいたします。

メールアドレス:(受信者アドレス)
領収書発行日時:2026-07-18 16:04:43
請求書番号:INV-7914289
注文番号:ODR-294677556
お支払い方法:クレジットカード決済

Apple One 個人プラン 月額サブスクリプション(サービス内継続課金) ¥1,680
ご請求合計(税込) ¥1,680

アカウントセキュリティに関するご案内
本決済にお心当たりがない場合は、Apple IDの購入履歴から取引詳細をご確認ください。身に覚えのない不正な決済が確認された際は、速やかにApple IDのパスワード変更、二段階認証の設定見直しを実施し、アカウントを保護してください。

[ 購入履歴を確認する ](リンクは無効化済み)
[ サブスクリプション解約手続き ](リンクは無効化済み)

※本メールはシステムによる自動送信メッセージです。返信をいただいても対応はできかねます。各種アカウント操作・お問い合わせはApple公式サポートページより手続きをお願いいたします。
※メール内リンク先画面に違和感を覚えた際は、アカウント情報の入力を控え、ブラウザからApple公式サイトを直接開いてログインして状況をご確認ください。

© 2026 Appleサービス運営本部 全著作権所有
サポート窓口:Apple公式サポートサイトにて受付

▲ 実際に届いた詐欺メールの画面です。

請求書番号や注文番号まで具体的に記載されており、一見するとApple公式の領収書と遜色ない作り込みです。ただし、Apple IDに登録している氏名などの宛名が一切なく、機械的に大量送信されたリストベースの攻撃であることがうかがえます。

用語解説

💡ここで!

SendGrid(センドグリッド):企業がメールマガジンや通知メールを大量に配信するために使われる、正規のメール配信サービスです。多くの企業が正当な目的で利用していますが、攻撃者がアカウントを不正取得・悪用し、フィッシングメールの送信に使うケースがあります。

クリックトラッキングURL:メール内のリンクをクリックした回数などを計測するために、配信サービスが本来のリンク先の前に挟み込む中継用のURLです。今回のようにサービス提供者側が不正利用を検知すると、この中継URLの時点でリンクを無効化できます。

送信ルートおよび偽装判定

■ Receivedヘッダー解析(サーバー通過証明)

Received-SPF: Pass (sender SPF authorized) client-ip=149.72.123.24; helo=s.wrqvtbkv.outbound-mail.sendgrid.net

【偽装判定】:
正規のAppleからのメールは「apple.com」等の公式ドメインから送信されます。本メールは送信基盤にSendGridを利用しており、SPF認証が「Pass」と表示されるのは、攻撃者がSendGrid上で自分のアカウントを正しく設定しているだけであり、Apple公式であることの証明にはなりません。

発信元インフラ:
SendGrid, Inc.(アメリカ・コロラド州デンバー)
ip-sc.netの調査では、このIPアドレスは脅威レベル「高」(サイバーアタックの攻撃元、攻撃対象:Web)と判定されています。

フィッシングサイト詳細解析

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://u110809066.ct.sendgrid[.]net/ls/click?...(SendGridのクリックトラッキングURL)

【サイトの状態】:実際にリンクをたどったところ、遷移先は「Link Disabled(このリンクは無効化されています)」という表示のみで、最終的な偽サイトへは到達できませんでした。SendGrid側が不正利用の申告または自動検知により、このアカウントのリンクを無効化した可能性が高いと考えられます。

▲ リンク先にアクセスすると表示された「Link Disabled」の画面。SendGrid側で無効化されていました。

結果的に被害には至らない状態でしたが、これは今回たまたまSendGrid側の対応が間に合っていただけであり、同様の手口が別の配信サービスや別アカウントで今も継続している可能性があります。油断せず、送信元をよく確認する習慣を持つことが重要です。

注意点と対処法

■ 注意点と対処法

  1. URLをクリックしない:リンクが無効化されていても、別の機会に有効な偽サイトへ誘導される可能性があります。
  2. 宛名の有無を確認:正規のApple公式メールにはお客様の氏名等が記載されるのが通例です。宛名がないメールは不審と考えてください。
  3. 購入履歴は公式アプリで確認:身に覚えのない請求が心配な場合は、メール内リンクからではなく、設定アプリのApple IDメニューから直接確認してください。
  4. 公式サポートに相談:不審なメールを受け取った場合は、Apple公式サポートへ報告・相談してください。

本レポートの結論

Apple公式そっくりの請求書番号まで用意した精巧な偽メールでしたが、悪用された配信基盤であるSendGrid自身の対応によってリンクが無効化されているという、攻撃者にとっては皮肉な結末でした。とはいえ手口自体は巧妙です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る