【解析】電子署名を騙る「書類を受信しました」不審メールを調査!海外の改ざんサイトへ誘う罠
みなさん、こんにちは。街の身近なIT専門家、Heartland-Lab(ハートランドラボ)です。 インターネットを安全に、長年の経験をもとに分かりやすく、不審なメールの解析と対策情報をお届けしています。 本日も読者のみなさまから寄せられた最新の危険な事例をもとに、その巧妙な仕掛けを隅々まで徹底的に解剖していきましょう。
|
| 項目 | 内容 |
| 緊急性評価 | ★★★★☆(星4つ:非常に危険) |
| 件名(サブジェクト) | [spam] 書類を受信しました – ご確認とサインをお願いします ※件名の先頭にある「[spam](スパム)」という文字は、受信側のメールサーバー(メールの配送を行うシステム)が「これは迷惑メール、あるいは詐欺の可能性が極めて高い」と自動的に判断して付与した警告ラベルです。これがある場合は絶対に中身を信用してはいけません。 |
| 送信者名(表示名) | 書類管理センタ |
| 送信元アドレス | silke.schmiel@comeniusschule-koenigsbach.de |
| 返信先(Reply-To) | it-supportdesks.com |
| メール受信日時 | 2026年5月27日 11時53分 |
【ご家族への注意喚起のお願い】 ご覧の通り、このメールは公式サイトや正規の取引先を装った真っ赤な偽物です。 大切なご家族や身近な知人が契約確認のメールと勘違いして騙されてしまうのを未然に防ぐため、以下のボタンを使ってこの解析結果を家族のLINEグループに転送し、今すぐ注意喚起をしてあげてください。 |
2. 受信メール本文の再現と視覚的特徴
犯人が送りつけてきた実際のメール画面のビジュアル構造を確認します。
以下は実際のメールに基づき、そのデザインと文面をできる限り忠実に再現したエリアとなります。
| 【受信メール本文のスクリーンショット】
|
【ここからメール本文の忠実再現エリア】
|
【ここまでメール本文の忠実再現エリア】
■ 受信メール画面の視覚的特徴(検証)
メール本文は非常にシンプルで、実在する大手のクラウドサイン(オンライン上で契約を交わすシステム)を模した作りになっています。
「金銭消費貸借契約書(お金の貸し借りに関する重要な書類)」という、誰もが焦ってしまうようなファイル名を表示することで、受信者を心理的に揺さぶり、確認のためにリンクを急いでクリックさせようとする意図が明確に読み取れます。
また、フッター(メールの最下部)には海外の住所のようなカタカナ表記があり、よく見ると不自然さが目立ちます。
3. 誘導先詐欺サイトの構造とクローキング解説
次に、メール内のリンクをクリックした際に表示される、詐欺サイト(偽サイト)の画面について詳しく解説します。
【誘導先詐欺サイト(ポルトガル語画面など)のスクリーンショット】 |
|
■ ポルトガル語のエラー画面が意味する「クローキング」の恐怖
リンクを叩いた(アクセスした)先で表示されたのは、なぜかポルトガル語で「定期メンテナンス中につきご不便をおかけします」と書かれた白黒の非常に素朴な画面でした。
これを見て、「なんだ、サイトが閉鎖されているから安全だな」と油断してはいけません。ここには**「クローキング(閲覧者によって画面をすり替える不正な技術)」**の罠が潜んでいます。
クローキングとは、アクセスしてきた相手が「セキュリティ会社の調査ロボット」や「特定の地域(海外など)」である場合は、このような無害なエラー画面(メンテナンス画面)を見せて油断させ、一方で「一般の日本人ターゲット」がスマホなどでアクセスした時だけ、本物そっくりの偽ログイン画面を表示させるという卑劣な目くらまし技術です。
つまり、あなたが見ている画面と、犯人が仕掛けている本来の顔が異なっている可能性があるということです。
なお、今回の解析にあたり、メールサーバーの内部情報が含まれる詳細な「メールヘッダー情報」の生スクリーンショットにつきましては、閲覧者様の環境固有のサーバー接続情報やプライバシーに関する重要なデータが多数露出してしまうリスクがあるため、セキュリティ保護の観点からあえて掲載を控えております。あらかじめご了承ください。
4. 技術的解析:送信元および通信経路の検証
メールがどのようなルートを辿って配信されてきたのか、ヘッダー情報から「最も古い(発信元に近い)経由地」を抽出して厳密に判定します。
■ 抽出した最古のReceived(通信経路情報)
Received: from mailproxy08.manitu.net (mailproxy08.manitu.net [217.11.48.31]) by ■■■■■■■■■■ (Postfix) with ESMTPS id 6D8BE4240E2A for <■■■■@■■■■■■■.jp>; Wed, 27 May 2026 11:53:46 +0900 (JST) |
※セキュリティ上の観点から、受信側のホスト名(サーバーの名前)や、お客様のメールアドレス(info@…等)に関連する文脈はすべて「■■■■」にて強固に伏字(マスク)処理を行っています。
■ 送信元の偽装判定および地理的ロケーション情報
メール本文に記載されている差出人のメアドアドレスのドメイン(学校のHPアドレス)と、実際にメールを送り出してきた中継サーバーのIPアドレス(ネットワーク上の住所)を徹底的に比較分析しました。
その結果、**送信元のドメインそのものは完全な本物**であり、SPF(送信元偽装を防ぐ仕組み)およびDKIM(電子署名による証明)もすべて正常に通過(Pass)していることが判明しました。
つまり、**「ドイツにある実在する学校のメールサーバー、あるいはアカウント自体が、悪意ある第三者によって完全にハッキング(不正侵入)され、詐欺メールを大量送信するための踏み台(悪用される道具)にされている」**ということです。だからこそ、通常の迷惑メールフィルターをすり抜けて届いてしまったのです。
| 解析項目 | データ・解析結果 |
| 送信元 IP アドレス | 217.11.48.31 ⇒ ネットワーク詳細確認(ip-sc.net) |
| 判定ロケーション(国・地域) | ドイツ(Germany) |
| 位置情報(緯度・経度) | 49.0333 , 8.5667 |
| 地図情報(Google マップ) | ⇒ Googleマップで発信地を確認する |
※注意:IPアドレスが示す地理的な位置情報(ロケーション)は、プロバイダ(通信会社)の機材配置やネットワークの契約変更などによって刻々と変化するため、あくまで解析時点における有力な参考データとしてお考えください。
5. 誘導先URLの危険度と稼働状況の検証
メールに記載されていた(あるいは経由した)誘導先URLについて、ドメインの登録状況や裏側のサーバー状況を徹底的に暴いていきます。
■ 調査対象の不審URL:
https://celestinosantos.pt/portfolio-2-col/#aW5mb0Bz…(一部を強固に伏字化しています)
※二次被害を防ぐため、URLの一部に意図的な伏字処理を施し、リンクとして機能しないよう無効化しています。
| チェック項目 | 解析結果データ |
| ターゲットドメイン | celestinosantos.pt |
| ドメイン所属国 | ポルトガル(.pt) |
| サイトサーバー IP アドレス | 185.118.115.10 |
| サーバー位置(緯度・経度) | 38.7167 , -9.1333 |
| 地図情報リンク | ⇒ サーバー設置場所をGoogleマップで確認 |
| 詳細ネットワーク照会 | ⇒ 詐欺サイト側サーバー情報(ip-sc.net) |
| 現在のサイト稼働状況 | 稼働中(ただしダミー画面露出状態) |
※注意:IPアドレスから割り出されるサーバーの物理的な位置情報は、クラウドサーバーのルーティングや中継拠点の都合により変動するため、現時点での参考値としてご確認ください。
■ このURLが100%危険であると断言できるポイント
1. ドメインの不一致: 日本の「書類管理センタ」が、なぜわざわざポルトガル(`.pt`)の個人個人のポートフォリオ(制作実績を並べるウェブサイト)のドメインを使って書類を共有しなければならないのでしょうか。常識的に考えてあり得ません。
2. Base64による暗号化: URLの末尾にある「`#aW5mb0Bz…`」というハッシュ(特定の計算で書き換えられた文字列)をデコード(元の状態に翻訳すること)すると、**受信したあなた自身のメールアドレスがそのまま中に隠されていました。**
これは、あなたがリンクを踏んだ瞬間に「誰がアクセスしてきたか」を犯人側のサーバーに自動で報告し、画面をターゲットに合わせてカスタマイズ(書き換え)するための典型的なフィッシングのコード(仕掛け)です。
6. 今後の被害を防ぐための重要な注意点と正しい対処法
万が一、このようなメールを受け取ってしまったり、誤ってリンクを押してしまったりした場合は、以下の手順を冷静に実行してください。
■ 対処アクションプラン
- メールは開かずに即削除、またはゴミ箱へ: 件名に「[spam]」があるものや、心当たりのない契約通知は開く必要がありません。
- 絶対に個人情報やパスワードを打ち込まない: 今回のように「メンテナンス中」と出ている間は情報の盗み取りは行われませんが、数時間後に「ログイン画面」へ突然切り替わることがあります。絶対にキーボードで文字を入力してはいけません。
- 公式窓口の正確なアナウンスを確認する: 電子契約サービス各社(クラウドサイン等)も、自社の名前を騙る不審なメールについて公式ホームページ上で強く注意喚起を行っています。必ず検索エンジンから直接公式サイトを探し、警告内容を確認してください。
■ 各公式機関による最新の注意喚起情報(参考URL):
⇒ 【注意喚起】当社ドメインを騙った詐欺メールにご注意ください(クラウドサイン公式)
7. まとめ(IT専門家からのメッセージ)
今回の「書類管理センタ」を騙る詐欺メールは、ハッキングされた本物の学校のメールサーバーを踏み台にし、さらに乗っ取られた海外のウェブサイトを改ざんしてリンク先に指定するという、何重にもセキュリティの隙を突いた非常に狡猾(こうかつ:ずる賢いこと)な犯罪です。
一見すると英語やポルトガル語ばかりで自分には関係のない海外のトラブルのように見えますが、日本のビジネスマンや一般の方を綺麗にハメるために綿密に計算されて国内に送り込まれています。
つまり、**「メールの見た目がどれほど公式っぽく綺麗であっても、裏側の仕組みを剥ぎ取ればすべて真っ黒な偽物である」** ということです。
【最後に、大切な人へ守るためのシェアを】 身近な人が騙されて、大金を奪われたり大切なアカウントを乗っ取られたりしてからでは手遅れです。 今すぐこの記事のURLをコピーして、家族のLINEグループや友人に『このメール、書類確認のフリをしてるから気をつけて!』とメッセージを添えて共有してあげてください。 |
💡 関連する過去の解析事例は こちら から検索できます。 |
最後までお読みいただき、ありがとうございました。不安なメールを見つけた際は、いつでもお気軽にHeartland-Labまでご相談くださいね。それでは、また次回の解析レポートでお会いしましょう。
