「配送できませんでした」のメールを開いたら全然関係ない会社のパスワード入力画面が出てきた件——コミュファ光サーバー悪用の二重偽装フィッシングを解剖
このメールはコミュファ光を装った詐欺メールです。添付ファイルを開いてリンクをクリックすると、メールのパスワードが盗まれます。絶対に操作しないでください。
■ 詐欺メールの構造(二重偽装の全貌)
このメールは「外側の封筒」と「添付ファイルの中身」の二層構造になっています。まず外側のメール本文をご覧ください。
↓実際に届いた詐欺メールのスクリーンショット(個人情報は伏せ字処理済み)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。絶対にクリックしないでください。
【外側:配送不能通知(偽)】
こちらはコミュファ光メールシステムからの自動通知メールです。 お客さまが送信したメールはいくつかの宛先にメールを 配送することができませんでした。 エラーの詳細につましては添付ファイルをご確認ください。 このメールにご返信いただいても回答はできません。 サポートが必要な場合は弊社コンタクトセンターまで お問い合わせください。 <以下、エラー理由> 宛先アドレスが正しくありません。 Recipient: <●●●●@ishiy●●●.jp> Reason: RCPT TO:<●●●●@ishiy●●●.jp> User unknown
一見すると本物のMAILER-DAEMONからのエラーメールに見えます。しかし添付されている「ミュニケーションズ株式会社 Webメールシステム移行のお知らせ.eml」を開くと、全く別のメールが現れます。
※添付.emlファイルの内容(フィッシング本体)
【添付ファイル内:フィッシング本体】
件名:ミュニケーションズ株式会社 Webメールシステム移行のお知らせ 送信日時:2026年06月05日(金)16:50:51 Ishiy●●● ミュニケーションズ株式会社 会員のみなさま 平素より Ishiy●●● ミュニケーションズ株式会社 サービスをご利用いただき誠にありがとうございます。 2026年06月04日に行われたメールシステムの移行に伴い、Webメールシステムも新しくなりました。 新しいWebメールは以下のURLよりアクセスください。 Ishiyaki ミュニケーションズ株式会社 新Webメール 【偽リンク・クリック厳禁】hxxps://so-jp[.]xyz/acmail-secure-ne-jp/activemail/index.html【偽リンク・クリック厳禁】 ユーザー名:メールアドレス パスワード:メールパスワード (中略) Ishiy●●● ミュニケーションズ株式会社 〒877-0014 TEL(0973)27-5001 FAX(0973)27-5002 © 2026 Ishiy●●● Communications INC.
「ユーザー名:メールアドレス」「パスワード:メールパスワード」と、盗もうとしている情報を露骨にそのまま書いているのが特徴的です。メールパスワードを入力してしまうと、攻撃者にメールアカウントが乗っ取られます。
↓リンク先の偽ログイン画面(Active!mail偽装)
■ 送信ルート及び偽装判定
Receivedヘッダー解析(メールの通過経路):
Received: from mta-sp-w02.commufa.jp (mta-sp-w02.commufa.jp [106.153.250.44])
by dmail02.*****.net (Postfix) with ESMTPS
Fri, 5 Jun 2026 16:50:57 +0900 (JST)
【踏み台判定】:
送信元IPアドレス 106.153.250.44 は、コミュファ光(中部テレコミュニケーション株式会社)の正規メール送信サーバー mta-sp-w02.commufa.jp そのものです。つまりこのフィッシングメールは、偽のサーバーからではなく、本物のコミュファ光サーバーから送信されています。コミュファのメールサーバーが何らかの形で悪用(踏み台)されている可能性が極めて高く、DKIM認証も「合格」してしまうため、スパムフィルターをすり抜けやすい非常に危険な状態です。
DKIM署名の検証:
DKIM-Signature: d=commufa.jp; s=default-1th84yt82rvi
コミュファ光の正規ドメイン commufa.jp のDKIM鍵で署名されており、メールクライアントの認証チェックでは「正規のコミュファからのメール」と判定されてしまいます。
発信元ロケーション:
愛知県名古屋市(コミュファ光サーバー設置地点)
【Googleマップで確認する】
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://so-jp[.]xyz/acmail-secure-ne-jp/activemail/index.html#●●●●@ishiy●●●.jp
リンクドメイン:so-jp.xyz(.xyzは格安の使い捨てドメイン)
サイトサーバーIP:172.67.210.94(Cloudflare CDN経由・実サーバー隠蔽)
URL末尾の仕掛け:URL末尾に #●●●●@ishiy という形でメールアドレスが埋め込まれており、偽ログイン画面に「電子メールID」が自動入力された状態で表示されます。受信者が「自分宛のメールだ」と錯覚させる個人特定型の攻撃です。●●●.jp
偽サイトの正体:Active!mail(株式会社クオリティア製の正規Webメールシステム)のログイン画面を精巧に模倣した偽サイトです。メールアドレスとパスワードを入力すると、攻撃者のサーバーに情報が送信されます。
コミュファリニューアルへの便乗:コミュファ光は2025年11月〜2026年3月にかけてメールサービスのリニューアルを実施しました。添付メール内の「Webメールシステム移行のお知らせ」という文言は、この実際のリニューアルに便乗した内容となっており、コミュファユーザーが特に騙されやすい状況になっています。
※Cloudflare CDNを経由することで実際のサーバー所在地は隠蔽されています。
■ 注意点と対処法
- 添付ファイルを開かない:「delivery-status」や「.eml」形式の添付ファイルはフィッシング本文を隠す手口です。見覚えのない配送エラー通知の添付は絶対に開かないでください。
- DKIM「合格」でも安心しない:今回のように本物のサーバーが悪用された場合、認証マークが合格でも詐欺メールです。送信元アドレスと内容を必ず確認してください。
- メールパスワードを入力しない:Webページでメールのパスワード入力を求められたら、必ず公式サイトのURLかどうかをアドレスバーで確認してください。
- URLのドメインを確認:コミュファ光の公式Webメールは
commufa.jpドメインです。so-jp.xyzのような見慣れないドメインは偽サイトです。 - コミュファ光公式の注意喚起を確認:コミュファ光:なりすましメールへの注意喚起
- パスワードを入力してしまった場合:直ちにコミュファ光のサポートセンター(0120-109-217)に連絡し、パスワードを変更してください。
📋 本レポートの結論
今回の詐欺メールは「配送不能通知」という誰もが焦る件名で開封させ、添付ファイルの中にフィッシング本文を隠すという二重偽装構造を採用した、これまでにない高度な手口です。さらに本物のコミュファ光サーバーとDKIM認証を悪用することで、スパムフィルターや認証チェックをくぐり抜けています。コミュファ光ユーザーは特に注意が必要です。身近な家族や友人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年6月6日
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
【免責事項】本記事に掲載のIPアドレス・ジオロケーション情報は調査時点のものであり、今後変更される可能性があります。掲載内容は注意喚起を目的としたものであり、情報の完全性・正確性を保証するものではありません。本情報をもとに行動した結果について、当サイトは一切の責任を負いかねます。
