【警告・実録】DHLを騙る偽「配送料未払い」詐欺メール発覚——「今すぐ支払い $2.99」ボタンの正体を暴く
🟡 緊急度:中
■ メールヘッダー解析(送信者情報)
件名:[spam] DHLの配送通知と支払い状況の更新
送信者名:“DHL EXPRESS”
送信元アドレス:vm-[受信者アカウント名]-1316@servermail.com
送信元ドメインIP:86.105.245.69(逆引き:86-105-245-69.haip.transip.net)
受信日時:2026年6月9日 09:46 +0900(JST)
SPF認証:No SPF record(認証失敗)
DKIM署名:確認されず
メール本文のスクリーンショットです。
▲ 届いた詐欺メールの全体像。DHLのロゴと黄色いデザインで本物に見せかけている
ご覧の通り、このメールは公式DHLを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
件名:DHLの配送通知と支払い状況の更新 お客様へ、 次回のDHL発送に $2.99ドルの配送料がまだ未払いであることをお伝えします。スムーズかつ迅速な配送のために、未払い金額をできるだけ早く支払うようお願いいたします。 公式ウェブサイトから簡単にお支払いいただけます。以下のリンクをご利用ください: 【今すぐ支払い $2.99】 支払いが成功すると、すぐにお荷物が配達されます。 ご質問がある場合は、カスタマーサービスまでお問い合わせください。 DHLカスタマーサービス ー 電話:0228 1234 5678(東京): www.dhl.jp
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from servermail.com (unknown [133.242.50.13])
Received: from servermail.com (unknown [210.134.58.254])
送信元アドレスの特徴:
送信元アドレスは vm-[受信者アカウント名]-1316@servermail.com という形式で、受信者ごとに異なるアドレスを自動生成しています。これはスパムフィルター(迷惑メール自動検出の仕組み)をすり抜けるための手口で、同一の攻撃キャンペーンから大量送信されていることを示しています。
【偽装判定】:
正規のDHL Expressからのメールは @dhl.com や @express.dhl.com などDHL公式ドメインから送信されます。本メールの送信ドメイン servermail.com はDHLとは一切関係のないドメインです。またSPFレコード(送信元サーバーを事前に登録しておく認証情報)が存在せず、メールサーバー認証が完全に失敗しています。受信メールクライアントが件名に [spam] タグを自動付与しているのも、この認証失敗が原因です。
発信元ロケーション解析:
servermail.com → IP: 86.105.245.69(逆引き:transip.net)
TransIPはオランダのホスティング事業者です。DHLの日本向けサービスとは無関係のサーバーからの送信です。
Googleマップ:【オランダ・アムステルダム周辺を確認する】
リンク先の偽サイトのスクリーンショットです。
▲ 偽のDHL追跡ページ。「配送完了には2.99ドルの支払いが必要」と称し、14日以内の期限を設けて焦らせる
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://e-script[.]jp/YNF/app/
リンクドメイン:e-script.jp
サイトサーバーIP:172.67.197.69
インフラ:Cloudflare CDN(コンテンツ配信ネットワーク。実際のサーバー所在地を隠蔽する効果があり、攻撃者が摘発を逃れるために悪用することがある)配下のため、実際のサーバー所在地は特定不可
【サイトの内容】:DHL公式の追跡ページを模したデザインで、「配送中」「トラッキングコード:CS47*********」などの偽の情報を表示。「配送を完了するには2.99ドルの支払いが必要で、14日以内に手続きが必要」と称してクレジットカード情報等の入力を誘導します。
【ドメインについて】:e-script.jp は日本の .jp ドメインを使用しており、一見すると国内サイトに見せかけています。Cloudflare CDN配下に置くことで実体を隠しながら、日本人ユーザーへの信頼感を演出する手口です。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てる傾向があります。調査時点でサイトが閉鎖されている場合があります。
■ 注意点と対処法
- URLをクリックしない・支払いしない:「$2.99」「少額だから大丈夫」と思わせるのが手口です。支払い画面でクレジットカード情報を入力すると、カード情報が丸ごと盗まれます。
- 件名の[spam]タグに注目:受信サーバーが自動的に迷惑メールと判定してタグを付けています。このタグが付いたメールのリンクは絶対にクリックしないでください。
- 送信元アドレスを確認:本物のDHLからのメールは必ず
@dhl.comや@express.dhl.comなどのDHL公式ドメインから届きます。servermail.comはDHLとは無関係です。 - 荷物の追跡は公式サイトから:荷物の状況を確認する場合は、必ずブックマークまたは検索から DHL Japan 公式サイト にアクセスしてください。
- 公式の注意喚起を参照:DHL 不正取引防止・フィッシング詐欺に関する公式案内
本レポートの結論
「DHLの配送通知と支払い状況の更新」という件名で届く本メールは、オランダのサーバーから送信されたDHLの完全な偽物です。SPF認証は失敗しており、受信サーバー自身が[spam]判定を下しています。リンク先の偽追跡サイトは「$2.99、14日以内」という焦りを煽る手口でカード情報を盗もうとしています。荷物に心当たりがあっても、必ず公式サイトから直接確認してください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月09日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
