【警告】docomo「アカウント利用制限のお知らせ(本人確認のお願い)」は詐欺!インドネシア発Google Cloud経由・Alibaba Cloud偽サイトの手口を解析

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【docomo】アカウント利用制限のお知らせ(本人確認のお願い)
送信者表示名:“MyDocomo”
送信元アドレス:messages-updates@messages-newsletter.nonmruajapansd.com
送信元IP解析:34.101.238.194(インドネシア・ジャカルタ/Google Cloud Platform)
SPF判定:Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、docomoの正規メールであることの証明にはなりません)
受信日時:2026年07月01日(水)20時10分頃
ご覧の通り、このメールはdocomoを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。docomoの公式デザインを模しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
平素よりNTT Docomoをご利用いただき、誠にありがとうございます。 お客様のメールアカウントにおいて、2026年7月1日 17:08 に通常とは異なる利用環境(新しい端末や異なる地域など)からのログインが検知されました。 アカウントの安全を保護するため、現在、お客様のメールアカウントのすべての機能を一時的に制限しております。 本メールを受信されたお客様は、以前に同様のメールを受信された場合でも、必ずメールアカウントに登録されている電話番号による認証を完了していただきますようお願いいたします。 ▼ メールアカウントの本人確認 hxxps://cfg.smt.docomo.tianmacogou.com 【認証後について】 ✓ 追加費用は発生しません ✓ SMS認証完了後、メールをご利用いただけます ✓ お客様情報は暗号化通信により保護されています ※本メールへの返信は受け付けておりません。 お問い合わせ先 カスタマーサポート:0120-005-250 対応時間:8:00〜21:00(年中無休) NTTドコモビジネス株式会社 東京都千代田区大手町2-3-1 大手町プレイスウエストタワー NTT Docomo Inc. © 2026. All rights reserved.
「以前に同様のメールを受信された場合でも、必ず認証を完了してください」という一文に注意してください。「前にも来たから今回は無視していい」という油断を逆手に取り、毎回クリックさせようとする心理的な仕掛けです。
■ 送信ルート及び偽装判定
送信元の正体:送信者表示名は「MyDocomo」となっていますが、実際のメールアドレスのドメイン(@より後ろ)は「nonmruajapansd.com」。docomoが利用する正規ドメインは「docomo.ne.jp」であり、このドメインは一切関係がありません。
送信元サーバーの解析:メールヘッダーの「Received-SPF」に記載された実際の送信元IPアドレスは34.101.238.194。このIPアドレスはインドネシア・ジャカルタに割り当てられた、Google Cloud Platform(Google Asia Pacific Pte. Ltd)のサーバーでした。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
💡ここで!
クラウドサービス(Google Cloud)とは
Google Cloudは、Google社が企業向けに提供しているサーバーの貸し出しサービスです。多くの正規企業がシステム運用に利用する信頼性の高いインフラですが、攻撃者が不正に取得したアカウントを踏み台としてメールを送信するケースも後を絶ちません。「Googleのサーバーから届いたから安全」とは限らないので注意が必要です。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://cfg.smt.docomo.tianmacogou.com/security/ap/loginlogout/login/creditlimit/(以下伏字)
リンクドメイン:tianmacogou.com(先頭に「cfg.smt.docomo.」を付け足し、docomoの正規サブドメインであるかのように偽装)
サイトサーバーIP:8.216.49.64(Alibaba (US) Technology Co., Ltd/AS45102 ALIBABA-CN-NET)
ロケーション:日本・東京都渋谷区(150-0000)
【Googleマップで表示】 【詳細情報(ip-sc.net)】
【サイトの状態】:広告・トラッキングブロッカー「AdGuard」のフィルタリングルール(AdGuard日本語フィルタ)により、フィッシングサイトとして既にアクセスがブロックされています。ブロックを解除して先に進むと、本物のdアカウントログイン画面と見分けがつかないほど精巧な偽ログイン画面が表示されます。
※誘導先URLにアクセスすると、セキュリティソフトの警告が表示されます。
※本物そっくりに作られた偽のログイン画面です。ここにIDやパスワードを入力すると、そのまま攻撃者に渡ってしまいます。
誘導先URLのパスをよく見ると「creditlimit(与信枠)/inquirycreditlimit(与信枠照会)」という文字列が含まれています。メール本文は「メールアカウントの本人確認」の体裁なのに、リンク先の内部処理はクレジットカード系の別テンプレートを使い回しているとみられ、文面と裏側の設計が噛み合っていません(笑)。攻撃者が複数のテンプレートを使い回している証拠と言えるでしょう。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための精巧な偽サイトです。
- 電話番号認証の求めに応じない:「以前にも受信していても必ず認証を」という一文は、油断を逆手に取る心理的な誘導です。
- 公式サイトを確認:必ず公式アプリまたはブックマークからアクセスしてください。docomoが利用する正規ドメインは「docomo.ne.jp」のみです。
- 公式注意喚起の参照:NTTドコモ公式「フィッシング詐欺への対策」
本レポートの結論
「メールアカウント利用制限」という名目で届く今回のメールは、docomoを名乗る巧妙な偽メールです。送信元はインドネシア・ジャカルタのGoogle Cloud、誘導先は東京に割り当てられたAlibaba Cloudと、複数の国・複数のクラウド事業者を経由する手の込んだ作りでした。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net















