【公開調査】「年次確認」「緊急認証」「登録更新」——第一生命偽装フィッシングが手口を変えながら同一インフラから大量送信
■ 今回届いた3通の詐欺メール:一覧比較
約8分間に3通届きました。送信者名・件名・送信ドメインはすべて異なりますが、送信元IPはすべてGoogle Cloudの同じネットワーク帯です。
| 項目 | 1通目(09:37) | 2通目(09:41) | 3通目(09:45) |
|---|---|---|---|
| 送信者名 | 第一生命保険株式会社 | 第一ライフグループ | 株式会社第一生命保険株式会社 |
| 件名 | 【第一生命・重要】ご登録情報の見直しおよび最新化に関するお願い | 【第一生命・緊急】アカウントセキュリティ確認および本人認証のお願い | 【第一生命・年次】契約者様向け年度総合確認および重要ご案内 |
| 送信元アドレス | finance@brjrumpj.id.gbekj.com | media@uvzytsra.ship.uebai.com | staff@rfmjpyde.messages.dagekj.com |
| 送信元IP | 35.212.200.47 | 35.212.194.167 | 35.212.141.61 |
| ホスティング | すべて Google Cloud Platform(35.212.x.x帯・同一サブネット) | ||
| SPF | 3通すべて Pass(攻撃者が自前でDNS設定) | ||
| フィッシングサイト | hmty2020.com | hz3399.com | hpwparts.com |
| 期限設定 | すみやかに | 24時間以内 | 6月30日 |
| クローキング | 3通すべて あり(アクセス拒否・ファイアウォール画面) | ||
■ 実際に届いた詐欺メール(スクリーンショット)
※以下は実際に受信した詐欺メールの画面です。第一生命の公式メールと見分けがつかないほど精巧に作られていますが、すべて偽物です。
▼ 1通目:登録情報見直し型
▼ 2通目:緊急セキュリティ型
▼ 3通目:年度総合確認型
⚠️ これらのメールはすべて公式サイトを装った真っ赤な偽物です ⚠️
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ なぜ送信者名がバラバラなのか——スパムフィルター回避の手口
今回の3通の送信者名を並べると、「第一生命保険株式会社」「第一ライフグループ」「株式会社第一生命保険株式会社」とバラバラです。さらに個人アドレス宛には「株 式 会 社 第 一 ラ イ フ グ ル ー プ」(1文字ずつスペース入り)や「D d a i i c h i L i f e I n s u r a n c e」(英語をスペース区切り)というものも届きました。
これはスパムフィルター回避のための意図的な工夫です。メールの自動フィルターは「第一生命」というキーワードを検知してブロックしようとしますが、スペースを挿入したり英語表記にしたりすることで、フィルターの目をかいくぐろうとしているのです。まるでカモフラージュ(迷彩)のようなものです。
見分けるポイント:本物の第一生命からのメールは必ず @daiichilife.com または @daiichihd.com ドメインから届きます。送信者名がどんなに本物らしくても、メールアドレスのドメインが違えば偽物です。
■ 「〇〇様」ではなく「メールアドレス」が宛名——契約者情報を持っていない証拠
今回届いた詐欺メールの宛名は、お名前ではなく受信者のメールアドレスそのもの(またはその一部)でした。
本物の第一生命からのメールであれば、契約者データベースを参照して「山田太郎 様」のようにお名前で送ってきます。メールアドレスが宛名になっているということは、攻撃者はメールアドレスのリストを持っているだけで、実際の契約者情報は一切持っていないことを意味します。誰彼かまわず大量に送りつけている「総当たり攻撃」の証拠です。
→ 宛名がメールアドレスになっているメールは、まず疑ってください!
■ 送信ルート及び偽装判定(代表:1通目)
※受信ヘッダーにはプライバシーに関わる情報が含まれるため、本記事ではスクリーンショットの掲載を省略し、調査結果のみをお伝えします。
送信元サーバー:gbekj.com
送信元IP:35.212.200.47 [Whois]
ホスティング:Google Cloud Platform(米国)
SPF認証:Pass(攻撃者が自前でDNS設定。「認証通過=本物」ではありません)
DKIM署名:あり(id.gbekj.comドメインで署名)
Receivedヘッダー解析:
① gbekj.com [35.212.200.47]
↓(Google Cloud Platform:攻撃者が悪用)
② 受信者側サーバー(非公表)
↓
③ 受信者側サーバー(非公表)
↓
④ 受信者のメールボックスへ到達
【偽装判定】:
正規の第一生命からのメールは @daiichilife.com または @daiichihd.com ドメインから送信されます。本メールの送信ドメイン gbekj.com・uebai.com・dagekj.com はいずれも第一生命とは一切無関係の使い捨てドメインです。
3通の送信IPが同一サブネット(35.212.x.x)に集中:
35.212.200.47・35.212.194.167・35.212.141.61——すべてGoogle Cloudの同じネットワーク帯です。ドメインや送信者名を毎回変えながらも、インフラは使い回している「詐欺工場」の実態が浮かび上がります。
■ フィッシングサイト詳細解析(3通分)
1通目の誘導先(伏せ字):hxxps://www.hmty2020[.]com/?41OrS4dlQIlG
サーバーIP:172.67.197.187(Cloudflare経由)
2通目の誘導先(伏せ字):hxxps://login.hz3399[.]com/?ql3OMnvP75vk
サーバーIP:104.21.5.117(Cloudflare経由)
3通目の誘導先(伏せ字):hxxps://www.hpwparts[.]com/?KZb71MMZSfXz
サーバーIP:DNS失効(調査時点でドメイン停止済み)
Cloudflare経由の意味:
2通目・3通目のフィッシングサイトはCloudflare(世界最大のCDN・セキュリティサービス)を経由しています。正規サービスを経由することでブロックされにくくするとともに、クローキングと組み合わせた二重防御になっています。
クローキングによるアクセス拒否:
3通すべてのリンク先で「アクセス拒否:リクエストがブロックされました。ファイアウォールで保護されています」という画面が表示されました。これはセキュリティ調査ツールや不審なアクセスを自動でブロックしながら、一般の利用者にだけ偽サイトを見せる「クローキング」という悪質な手口です。
▼ アクセス拒否画面(3通共通)
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。リンク先の状態は調査日以降に変化している場合があります。
■ 注意点と対処法
- 送信元メールアドレスのドメインを確認する:本物の第一生命からのメールは
@daiichilife.comまたは@daiichihd.comから届きます。それ以外はすべて偽物です。 - 宛名がメールアドレスになっていたら要注意:本物なら「〇〇様」とお名前で届きます。メールアドレスそのものが宛名になっていたら詐欺のサインです。
- 送信者名の「スペース区切り」に注意:「株 式 会 社 第 一 ラ イ フ グ ル ー プ」のように1文字ずつスペースが入っているメールは詐欺です。フィルターをかわすための偽装です。
- URLをクリックしない:リンク先は個人情報・保険契約情報・携帯電話番号などを盗むための偽サイトです。
- 公式サイトで直接確認:第一生命に関する確認事項は、ブックマークか検索エンジンから 第一生命公式サイト に直接アクセスしてください。
- 公式注意喚起を確認:フィッシング対策協議会:第一生命をかたるフィッシング / 第一生命 公式注意喚起
📋 まとめ
約8分間に3通、送信者名・件名・ドメインをすべて変えながら同じGoogle Cloudのサーバー群から大量送信——これが今回の詐欺の全貌です。フィルターをかわすためにスペース区切りの送信者名を使い、クローキングで調査をかわし、Cloudflare経由でブロックを逃れる。手口は年々巧妙になっています。しかしどれだけ偽装しても、メールアドレスのドメインと宛名の表記を確認すれば必ず見破れます。第一生命に契約しているご家族・お知り合いに「気をつけて!」のひと言を添えて、この記事のURLをLINEグループで共有してあげてください。
本記事の調査日:2026年6月3日 ※フィッシングサイトの状態・IPジオロケーション情報は調査日以降に変化している場合があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net / フィッシング対策協議会 / 第一生命 公式注意喚起
