【実録・閲覧注意】第一生命「保障内容見直し 最終ご案内」は詐欺メール!Google Cloud&Cloudflareを悪用した二重偽装の手口を完全解析
ご覧の通り、このメールは第一生命を装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 詐欺メール本文の再現
↓実際に届いた詐欺メールのスクリーンショット
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。絶対にクリックしないでください。
第一生命保険株式会社 最終ご案内 〇〇 様 平素は第一生命の保険サービスをご愛顧賜り、心より御礼申し上げます。 お客様がご契約されてから一定期間が経過しております。この間、ご結婚、ご出産、お子様のご成長、お住まいの変更等、お客様を取り巻く環境にも様々な変化があったこととと存じます。現在の保障内容が、今のライフステージに適した内容であるか、この機会にぜひご確認いただきたく存じます。 ━━━━━━━━━━━━━━━━━━━━━━━━ 保障内容の見直しが推奨されるライフイベント例 ━━━━━━━━━━━━━━━━━━━━━━━━ ・ご結婚、または配偶者の方の就労状況の変化 ・お子様のご誕生、ご進学、ご独立 ・住宅のご購入、ローン返済計画の変更 ・ご自身またはご家族の健康状態の変化 ※上記は一般的な例です。お客様の状況に応じた最適な保障は、ログイン後の診断ページでご確認いただけます。 保障が不足している場合、万が一の際に十分な保険金をお受取りいただけない可能性がございます。反対に、過剰な保障に対して不必要な保険料をお支払いいただいているケースも見受けられます。今のうちにご確認いただき、必要に応じた見直しをおすすめいたします。 ライフステージの変化に応じた見直しをおすすめします 簡単な質問に答えるだけで、最適な保障を診断できます 【偽リンク・クリック厳禁】保障内容の見直しを確認する【偽リンク・クリック厳禁】 ※ 保障内容の見直し診断は無料でご利用いただけます。診断結果に基づく契約変更は任意です。 ※ お手続きにはご本人確認のため携帯電話番号の入力が必要です。 ※本メールは送信専用アドレスより配信されております。ご返信いただきましても答えできません。 発行・送信:第一生命保険株式会社 保障診断サービス郡 東京都江東区豊洲3-2-3
第一生命の公式ロゴ・文体・レイアウトを精巧に模倣しており、一見すると本物と見分けがつきません。しかし送信元アドレスをよく見ると wfruichen.com という、第一生命とは全く無関係のドメインが使われています。また「発行・送信:第一生命保険株式会社 保障診断サービス郡」と「郡(ぐん)」という誤字があり、日本語ネイティブではない作成者による文書である可能性を示しています。つまり「送信元を偽装した、海外拠点からのなりすましメール」ということです。
■ 送信ルート及び偽装判定
最古のReceivedヘッダー(メールの出発点):
Received: from reward.wfruichen.com (wfruichen.com [35.215.93.38])
by 受信者側サーバー(非公表) (Postfix) with ESMTP
Thu, 4 Jun 2026 18:54:12 +0900 (JST)
【偽装判定】:
正規の第一生命からのメールは @dai-ichi-life.co.jp または @daiichilife.com ドメインから送信されます。本メールの送信ドメイン wfruichen.com は第一生命の公式サーバーとは一切関係がない第三者ドメインです。
Received-SPF(送信元の正当性を確認する仕組み)が「Pass」、DKIM署名(メールの改ざんがないことを証明する仕組み)も「あり」となっていますが、これらはいずれも wfruichen.com ドメイン自身の設定によるものです。第一生命のサーバーとして認証されているわけではありません。つまり「自分で作ったハンコを自分で押しているだけ」ということです。
発信元サーバー解析(メール送信IP:35.215.93.38):
クラウド事業者:Google Cloud Platform(GCP)
推定ロケーション:米国 カリフォルニア州 マウンテンビュー(Google社管理データセンター)
Googleマップ:【位置情報を確認する(概算)】
※IPジオロケーション(IPアドレスから位置を推定する技術)情報は調査時点のものです。クラウドサービスのIPは日々変化することがあり、表示される位置はデータセンターの所在地であり、攻撃者の実際の居場所とは異なります。
↓PCでアクセスした際に表示される「偽のアクセス拒否画面」のスクリーンショット
「アクセス拒否 リクエストがブロックされました。ファイアウォールで保護されています」と表示されていますが、これはCloudflareが本当にブロックしているのではありません。犯人が用意した偽の画面です。PCでアクセスしてきた調査者・研究者を追い払うために、本物のCloudflare警告画面を模倣して犯人が自作したものです。スマートフォンやタブレットからアクセスすると、この画面は表示されず、直接フィッシングの入力画面が表示されます。
■ フィッシングサイト詳細解析
※以下は解析目的のみで掲載しています。絶対にアクセスしないでください。
誘導先URL(伏せ字):
hxxps://login.lezhiwan[.]com/?0kBcuKvWY01Z(一部伏せ字)
リンクドメイン:lezhiwan.com(第一生命の正規ドメイン dai-ichi-life.co.jp とは全く無関係)
解決IP(DNS解決時点):104.21.47.172(Cloudflare CDN経由)
表示上のロケーション(CDN経由のため参考値):米国 カリフォルニア州(Cloudflare社管理)
Googleマップ:【参考位置を確認する】
【端末別の表示切り替え】:
・PC → 偽のアクセス拒否画面(調査妨害用)
・スマートフォン・タブレット → 携帯電話番号入力画面(フィッシング本体)
【狙われる個人情報】:入力した携帯電話番号は詐欺師のサーバーへ即時送信されます。その後、SMSを使ったさらなる詐欺(スミッシング)や、第一生命を名乗るなりすまし電話詐欺に悪用される危険があります。
※IPジオロケーション情報は調査時点のものです。CDN(コンテンツ配信ネットワーク)を経由している場合、表示されるIPは中継地点のものであり、攻撃者の実際のサーバー所在地とは異なります。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
↓スマートフォン・タブレットでアクセスした際に表示される偽第一生命サイト(携帯電話番号入力画面)
第一生命の公式ロゴ「Daiichi Life Group」と青いアクセントカラーまで模倣した精巧な偽サイトです。「携帯電話番号の確認」「お客さまのご契約情報を確認するため」という文言で安心させ、電話番号を入力させようとします。アドレスバーには lezhiwan.com と表示されていますが、これは第一生命とは全く無関係のドメインです。正規の第一生命サイトは必ず dai-ichi-life.co.jp ドメインです。
⚠️ 二重クローキングとは?―調査者を追い払い、スマホユーザーだけを狙い撃ちにする手口
今回の偽サイトには、セキュリティ調査を妨害するための「二重クローキング」が仕掛けられていました。
【第一の壁】User-Agent判定(端末の種類による表示切り替え):
ウェブサイトはアクセスしてきた端末の種類を「User-Agent(ユーザーエージェント)」という情報で識別できます。犯人はこれを悪用し、PCからのアクセスには偽のアクセス拒否画面を、スマートフォン・タブレットからのアクセスにはフィッシングの本体画面を表示するよう設定しています。つまり「セキュリティ研究者はPCで調査するから、PCには偽の安全画面を見せて追い払う」という仕掛けです。
【第二の壁】Cloudflare CDN経由(本物サーバーの隠蔽):
フィッシングサイトのIPアドレスを解析すると、Cloudflare(クラウドフレア)という世界最大級のCDNサービスのIPが返ってきます。これにより本物のサーバーがどの国のどこにあるかが完全に隠蔽されています。
攻撃の全体像をまとめると:
PC・調査ツール → 偽のアクセス拒否画面(撃退)
スマホ・タブレット → 偽第一生命サイト(電話番号を詐取)
本物のサーバー → Cloudflareの背後に隠れて追跡不可能
この手口は「スマホしか持っていない高齢者」を特に狙いやすい設計になっています。PCを使い慣れた方よりも、スマートフォン一台で生活している方が標的にされているということです。ご家族の中でスマホしか使わない方に、特に注意を促してあげてください。
■ 注意点と対処法
- リンクは絶対にクリックしない:「最終ご案内」という言葉で焦りを煽るのが詐欺の常套手段です。メール内のリンクは絶対にクリックしないでください。
- 携帯電話番号・個人情報を入力しない:既に入力してしまった場合は、すぐに第一生命公式窓口(0120-151-714)にご連絡ください。
- 公式サイトを直接確認する:第一生命への問い合わせや契約内容の確認は、必ずブックマーク済みの https://www.dai-ichi-life.co.jp/ から直接アクセスしてください。
- 送信元アドレスを確認する:正規の第一生命からのメールは
@dai-ichi-life.co.jpまたは@daiichilife.comから届きます。それ以外のドメインは疑ってください。 - メールを迷惑メールとして報告・削除する:スパム報告することで同様の被害防止に役立ちます。
- フィッシング対策協議会へ報告する:info@antiphishing.jp へ転送・報告にご協力ください。
- 第一生命公式の注意喚起を確認する:詐欺等、さまざまな金融犯罪にご注意ください(第一生命公式)
- 被害を受けた場合は警察へ:フィッシング詐欺の被害は 警察庁サイバー犯罪相談窓口 または最寄りの警察署にご相談ください。
本レポートの結論
今回の詐欺メールは、第一生命のロゴ・文体・メール構成を精巧に模倣し、Google CloudとCloudflareを悪用した上に、PCには偽の拒否画面を見せてスマホユーザーだけを狙い撃ちにするという非常に高度なフィッシング詐欺です。「最終ご案内」という言葉で契約者の焦りを煽り、携帯電話番号などの個人情報を盗もうとします。また「保障診断サービス郡」という誤字が示すように、日本語に不慣れな海外の詐欺グループによる犯行の可能性が高いです。特にスマートフォンしか使わないご高齢の家族が標的になりやすい設計です。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
■ 関連記事
第一生命を装った詐欺メールに関する他の記事はこちら:
👉 第一生命関連の詐欺メール注意喚起記事一覧
調査日:2026年6月5日
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
【免責事項】本記事に掲載のIPアドレス・ジオロケーション情報は調査時点のものであり、今後変更される可能性があります。掲載内容は注意喚起を目的としたものであり、情報の完全性・正確性を保証するものではありません。本情報をもとに行動した結果について、当サイトは一切の責任を負いかねます。
