【危険】デジタル庁・三井住友銀行を騙るHTML添付詐欺！Telegramへ即時送信し3回偽装入力させる悪質な手口

2026年6月29日

【危険】デジタル庁・三井住友銀行を騙るHTML添付詐欺の正体：Telegramへ即時送信し3回偽装入力させる悪質な手口を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「マイナンバー総合窓口デジタル庁連携」を名乗り、「三井住友銀行 – セキュリティ確認および契約更新」という件名で、本人確認を求めるHTML形式の添付ファイルを開かせる詐欺メールが確認されました。Heartland-Labが安全な環境で添付ファイルのソースコードを解析した結果、入力されたメールアドレス・パスワードがメッセージアプリ「Telegram」のAPIを通じて即座に攻撃者へ送信される仕組みになっていることが判明しました。さらに、わざと3回パスワードの「入力ミス」を表示させることで、被害者に複数のパスワード候補を入力させようとする、極めて悪質な設計です。

※重要：この種のHTML添付ファイルは、ご自身の端末では絶対に開かないでください。今回の解析は安全な専用環境で実施しています。

緊急性レベル	★★★★★ (5/5)
偽装工作精度	★★★★☆ (4/5)

■ メールヘッダー解析（送信者情報）

件名：三井住友銀行 – セキュリティ確認および契約更新

送信者名：“マイナンバー総合窓口デジタル庁連携”

送信元アドレス：my-number@digital.go.jp（デジタル庁の実在ドメインを偽装）

真の送信元IP：212.19.23.205（ロシア／一般ブロードバンド回線）

受信日時：2026年6月29日（月）09:21頃（JST）

SPF認証：Fail（not authorized） ※デジタル庁の正規サーバーからの送信ではないことが技術的に証明されています

添付ファイル：公式通知_286627.html（HTML形式）

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、このメールはデジタル庁を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

件名：三井住友銀行 - セキュリティ確認および契約更新
送信者：マイナンバー総合窓口 デジタル庁連携 ＜my-number@digital.go.jp＞
添付ファイル：公式通知_286627.html

Administrator 様

マイナンバー総合窓口より重要なお知らせです。

添付の公式文書をご確認いただき、本人確認手続きをお願いいたします。

参照番号：JP-83952046-4280

何卒よろしくお願い申し上げます。
マイナンバー総合窓口

本文中にはリンクが一切ありません。「添付の公式文書をご確認ください」と、添付ファイルそのものを開かせることに特化したシンプルな文面です。本文を短くすることで、メールセキュリティの文面チェックをすり抜けやすくする狙いがあるとみられます。

■ 送信ルート及び偽装判定

送信元アドレスの正体：
送信者欄には「my-number@digital.go.jp」という、デジタル庁の実在する公式ドメインがそのまま表示されています。しかし、これは送信者が自由に書き込める「表示名」のなりすましであり、実際にこのメールを送信したサーバーがデジタル庁のものであることを意味しません。

SPF Fail の意味：
本メールのSPF認証（送信元サーバーが正規に登録されているかを確認する仕組み）の結果は「Fail（not authorized）」でした。これは「digital.go.jpを名乗っているが、デジタル庁の正規サーバーから送信されたものではない」ということが、技術的に証明されている状態です。表示されているアドレスだけで本物と信じてはいけない、分かりやすい証拠です。

発信元ロケーション解析：
真の送信元IPアドレス「212.19.23.205」を調査した結果、ロシアの一般ブロードバンド回線（ホスト名に”broadband.redcom.ru”を含む）から送信されたことが判明しました。デジタル庁の業務用サーバーとは全く異なる、個人向けインターネット回線です。

※解析データに基づき、本メールはロシアの一般回線から送信されていることが確認されています。ロケーション情報は調査時点（2026年6月）のものであり、日々変化する可能性があります。

■ 添付HTMLファイルの詳細解析

添付ファイル名：公式通知_286627.html

表示される画面：ファイルを開くと、デジタル庁を模した「行政重要通知」という画面が表示されます。「公印 OFFICIAL SEAL」「受理済 PROCESSED」という偽の角印・スタンプ画像で、いかにも公的な文書らしさを演出しています。画面には登録メールアドレス（受信者本人のアドレスが既に入力された状態）と、「本人確認パスワード」の入力欄が用意されています。

【この手口の正体】：このHTMLファイルは外部のフィッシングサイトへ接続するものではなく、ファイル自体がそのままフィッシングサイトとして機能する「自己完結型」の仕組みになっています。「パスワードを入力」して送信ボタンを押すと、入力された内容がメッセージアプリ「Telegram」のAPIを経由して、攻撃者のもとへ即座に送信されます。サーバーを別途用意する必要がないため、フィッシングサイトの摘発・閉鎖がしにくいという特徴があります。

【3回エラーを出す悪質な設計】：パスワードを入力して送信すると、1回目・2回目は「パスワードが正しくありません」という偽のエラーが表示され、再入力を促されます。これは故意の仕掛けで、パスワードを使い回している方から、複数の候補パスワードを一度に収集する狙いがあります。3回目の入力後は、エラーを出さずに本物の三井住友銀行公式サイト（smbc.co.jp）へ転送する作りになっており、被害者に「無事手続きが完了した」と思わせて疑念を持たせない工夫まで施されています（笑）。

※このタイプの攻撃はフィッシングサイトをサーバー上に構築しないため、外部の誘導先URLは存在しません。情報の送信先（Telegram Bot）の具体的な識別情報は、二次被害防止のため本記事には掲載していません。

※実際に届いたメールの画面です。本文は短く、添付ファイルを開かせることに特化しています。

※添付ファイルを開くと表示される、デジタル庁を模した偽の入力フォームです。絶対にパスワードを入力しないでください。

■ 注意点と対処法

心当たりのないHTML添付ファイルは絶対に開かない：拡張子が「.html」のファイルでも、フィッシングサイトと同等の危険性があります。
表示されている送信元アドレスを過信しない：「@digital.go.jp」と表示されていても、送信者欄は自由に書き換え可能です。SPF認証の結果が伴わなければ本物とは言えません。
政府機関は暗証番号やパスワードをメールで求めない：デジタル庁・マイナンバー関連の正式な連絡で、メールやその添付ファイルにパスワードを入力させることはありません。
パスワードの使い回しは避ける：本記事のような「複数回入力させる」手口の標的にならないよう、サービスごとに異なるパスワードを設定してください。
公式注意喚起の参照：デジタル庁マイナポータルを騙った詐欺メール及び偽サイトに関する注意喚起／三井住友銀行フィッシング詐欺について
万が一パスワードを入力してしまった場合：同じパスワードを使っている全てのサービスのパスワードを直ちに変更してください。三井住友銀行をご利用の方は、SMBCダイレクトのパスワードも変更し、不審な取引がないか確認してください。

本レポートの結論

「マイナンバー総合窓口デジタル庁連携」を名乗り、三井住友銀行の契約更新を口実にHTML添付ファイルを開かせる本メールは、ロシアの一般回線から送信されたデジタル庁の完全な偽物です。添付ファイル自体がフィッシングサイトとして機能し、入力した情報はTelegramを通じて即座に攻撃者へ送られます。さらに3回の偽エラーで複数のパスワードを集めようとする、非常に悪質な設計です。心当たりのないHTML添付ファイルは、絶対にご自身の端末で開かないでください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net