【警告】DocuSign偽装フィッシングの不達通知が届いた理由 ― 自社ドメインが第三者への送信に悪用されていた

| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:New document received ref 4149611
送信者表示名:E-Signature(DocuSignを騙る表示)
送信元アドレス:自社ドメインの実在アドレス(過去記事でご報告した、退社済み元スタッフのものを含む送信者リストの一つ。詐称のみで、実在するアカウント自体が乗っ取られたわけではありません)
宛先:第三者(海外のメールユーザー、匿名化)
送信日時:2026年7月5日(日)22:52
※メールヘッダー詳細は個人情報保護のため非掲載
💡ここで!
「バウンス(不達通知)」とは
メールが宛先に届かなかったときに、送信者側に自動で返される「配信できませんでした」というお知らせのことです。今回のケースでは、攻撃者が送信者欄に自社ドメインの実在アドレスを勝手に書いて第三者に送りつけたため、その配信が失敗した通知が、詐称されたアドレス(=自社)に返ってきてしまいました。身に覚えのないバウンス通知が届いたら、「自社のアドレスが第三者への攻撃に無断使用されているサイン」だと考えてください。
ご覧の通り、これはDocuSignを装った真っ赤な偽物です。自社ドメインが第三者攻撃の踏み台にされていないか、この記事を参考にご確認ください。
※実際に届いた不達通知の画面です。添付されていたDocuSign偽装フィッシングの中身がプレビュー表示されています。
※以下の内容は、添付されていた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
You have a document to review and sign.
[REVIEW DOCUMENT] (ボタンのリンク先:hxxp://ddunnemtlivingincll[.]myvnc[.]com) DocuSign (宛先アドレス) See attached for your review. Please sign and return. Thank you. Powered by docusign Do Not Share This Email This email contains a secure link to Docusign. Please do not share this email, link, or access code with others. Alternate Signing Method Visit Docusign.com, click 'Access Documents', and enter the security code: 55C27CC27A044697B248ECE9691DB8797 ※上記の英文メールの内容を、日本語で分かりやすく要約したものです。
確認・署名が必要な書類があります。「REVIEW DOCUMENT(書類を確認する)」ボタンから確認してください。DocuSignより、添付書類の確認と署名・返送をお願いします。このメールには機密のDocuSignリンクが含まれているため、第三者と共有しないでください。別の署名方法として、Docusign.comにアクセスし「Access Documents」をクリックして、記載のセキュリティコードを入力する方法もあります。
※本文には「Powered by docusign」というそれらしいフッターが律儀に添えられていますが、リンク先は個人でも無料登録できる動的DNSサービスのドメインです。DocuSignの正規インフラとは似ても似つかない組み合わせで、細部の作り込みの割に土台がちぐはぐなのがこの手のキットらしいところです(笑)。
■ 誘導先の解析
【偽装判定】:
正規のDocuSignからのメールは「docusign.com」等の公式ドメインから送信され、確認リンクも同ドメイン配下です。本メールのボタンリンク先「myvnc.com」は個人向けの動的DNS(DDNS)サービスであり、DocuSignとは一切関係ありません。
誘導先URL(伏せ字):hxxp://ddunnemtlivingincll[.]myvnc[.]com(一部伏字)
解決先IPアドレス:34.199.8.144(ホスト名:ec2-34-199-8-144.compute-1.amazonaws.com/プロバイダ:Amazon.com, Inc./AS14618)
ロケーション:アメリカ合衆国 バージニア州 ラウドン郡 アッシュバーン
脅威レベル:低
詳細:ip-sc.netで確認する/
マップ:【位置情報を確認する】
【リンクの現状】:
実際にアクセスすると短縮URL(surl.li)を経由する構成になっており、この短縮URL自体が現在は「404 Ops: something went wrong」というエラーページを返す状態でした。調査時点で既にインフラが無効化されており、これも短期間でドメイン・リンクを使い捨てる攻撃者側の典型的な運用パターンです。
■ 注意点と対処法
- 身に覚えのない「メールが届かなかった」という通知は、まず疑ってください。自社のアドレスが勝手に使われているサインかもしれません。
- 「送信元情報」だけで真偽を判断しない:表示名やメールアドレスは誰でも自由に設定できるため、これだけでは本物と偽物の区別がつきません。
- リンクや添付ファイルは開かない:添付の詐欺メール自体、記載のURLにはアクセスしないでください。
- 自社ドメインが詐称された場合:SPF・DKIM・DMARCの設定を確認・強化し、自社を騙る配信をなるべく減らす対策を検討してください。
- 公式注意喚起の参照:IPA(情報処理推進機構)公式「メールの見かけ上の送信元情報を安易に信じないで」(送信元情報の偽装事例と対処法がまとめられています)
本レポートの結論
身に覚えのない不達通知の正体は、自社ドメインの実在アドレスを詐称して第三者に送りつけられたDocuSign偽装フィッシングでした。誘導先はAWS(バージニア州)のサーバーで、調査時点で既にリンクは無効化されています。もし同じような「知らないメールの配信エラー」が届いたら、それは自社ドメインが他人への攻撃に使われているサインかもしれません。身近な人が同じ手口に騙されないよう、この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
※本記事に記載のIPアドレス・ロケーション情報・リンクの状態は調査時点のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















