【閲覧注意】DocuSign・三井住友銀行・日本郵便…9パターンの件名が同じ送信元から一斉配信——HTML添付型なりすましメールの全容
| 緊急性レベル | ★★★★☆ (4/5) HTML添付ファイル型+大規模一斉配信 |
| 偽装工作精度 | ★★★☆☆ (3/5) ブランド名は本物に近いが、件名と送信者の組み合わせが破綻 |
■ 確認された件名×送信者の組み合わせ一覧
2026年6月21日11:02~12:32の約90分間に、以下の組み合わせが確認されました(件名9種類×送信者名10種類)。件名と送信者のブランドが一致しているものは一つもありません。
| 件名 | 送信者表示名(一例) | 件数 |
| DocuSign Japan – 新規文書が届いています | DocuSign Japan/Adobe Sign日本/総務省 行政通知/マイナンバー総合窓口 | 4件 |
| 株式会社三井住友銀行 – セキュリティ確認のお願い | 国税庁 確定申告センター/DocuSign Japan/総務省 行政通知 | 4件 |
| 【至急】電子署名が必要な契約書が届いています | 総務省 行政通知/DocuSign Japan/法人契約管理部 | 3件 |
| 日本郵便 – 不在配達通知 / 荷物のお受け取りについて | 国税庁 確定申告センター/マイナンバー総合窓口/楽天銀行 | 3件 |
| 国税庁からのお知らせ:還付金手続きのご案内 | Adobe Sign日本/マイナンバー総合窓口 | 2件 |
| 重要:2026年度税務申告書類の確認 | 株式会社三井住友銀行/日本郵便株式会社 | 2件 |
| [spam]【dポイント】2026年度上半期ポイント獲得確定のご報告 | d POINT | 1件 |
| MUFG銀行 – 新しい取引明細および契約書のご確認 | 楽天銀行 | 1件 |
| SMBC – 重要書類の受領確認のお願い | 総務省 行政通知 | 1件 |
ご覧の通り、これらのメールはすべて真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
「日本郵便の不在配達通知」が送信者「楽天銀行」で届く——普通に考えれば一目で「あれ?」と気づくはずの組み合わせですが、忙しい朝に件名だけ見て開いてしまう人も少なくありません。むしろこの「噛み合わなさ」こそが、攻撃者にとって本命ではないことを示しています。今回の本当の狙いは、メールを開封させること自体にあるのです。
※以下の内容は届いた詐欺メール(DocuSign Japan版)を技術検証のために忠実に再現したものです。
件名:DocuSign Japan - 新規文書が届いています 送信者:"DocuSign Japan" <no-reply@docusign-japan.co.jp> 添付ファイル:重要通知書_811756.html Shop 様 DocuSign Japanより重要なお知らせです。 添付された公式文書をご確認いただき、本人確認手続きをお願いいたします。 参照番号:JP-92635272 よろしくお願いいたします。 DocuSign Japan 事務局
※以下の内容は届いた詐欺メール(三井住友銀行版)を技術検証のために忠実に再現したものです。
件名:株式会社三井住友銀行 - セキュリティ確認のお願い 送信者:"国税庁 確定申告センター" <verification@nta-go.jp> 添付ファイル:重要通知書_824066.html Support 様 国税庁 確定申告センターより重要なお知らせです。 添付された公式文書をご確認いただき、本人確認手続きをお願いいたします。 参照番号:JP-70587762 よろしくお願いいたします。 国税庁 確定申告センター 事務局
2通を並べると、本文のテンプレートが完全に同一であることが分かります。変わっているのは「件名」「送信者表示名」「呼びかけの宛名(Shop様/Support様)」「添付ファイル名の数字」「参照番号」だけ。日本郵便を名乗る3通目(宛名:Sale様、添付:重要通知書_715995.html、参照番号:JP-69494410)も全く同じ型でした。まさに金太郎飴方式の量産メールです。
■ 送信ルート及び偽装判定——3通とも完全に同一の送信元
Receivedヘッダー解析(サーバー通過証明):
※メールヘッダー詳細は個人情報保護のため非掲載
送信元(3通共通):212-19-23-205.broadband.redcom.ru(212.19.23.205)
HELO名(3通共通):main.lan(ローカルネットワークのホスト名がそのまま露出。VPSや専用の送信基盤ではなく、簡易的に設定されたサーバーである可能性を示しています)
Received-SPF:None(SPFレコード自体が存在しない)
【偽装判定】:
DocuSign、三井住友銀行、日本郵便、いずれも正規のメール配信基盤は使われていません。送信元アドレスはdocusign-japan.co.jp(正規は docusign.com 等)やnta-go.jp(正規は nta.go.jp、中黒の有無を悪用したタイポスクワッティング)など、本物に似せた取得ドメインです。3通すべてが同じロシアの個人/家庭向けブロードバンド回線(redcom.ru)から送信されており、単一の送信基盤から複数ブランドを使い分けて一斉配信していることが裏付けられました。
発信元ロケーション解析:
ロシア(redcom.ru、ブロードバンド/家庭用回線)
詳細:【ip-sc.netで確認する】
注目したいのは、誘導の手口が「リンクをクリックさせる」型ではなく「HTML形式の添付ファイルを開かせる」型である点です。リンク先のフィッシングサイトURLをセキュリティソフトやメールフィルターが学習・ブロックする対策が広まったことで、攻撃側は添付ファイル内に偽サイトを埋め込む(オフラインHTML型フィッシング)手法に移行していると考えられます。添付ファイルは一見「文書」のように見えますが、実際にブラウザで開くと偽の入力フォームが表示され、そこに入力した情報がそのまま攻撃者に送信される仕組みです。
■ 注意点と対処法
- 添付ファイルを絶対に開かない:「重要通知書_○○○○○○.html」という名前のHTMLファイルが添付されている時点で、それ自体が攻撃の本体です。
- 件名と送信者の組み合わせに注目:件名のブランドと送信者表示名のブランドが一致していない場合、それだけで偽メールと判断できます。
- 送信元アドレスのドメインを確認:DocuSignの正規ドメインは docusign.com/docusign.net、国税庁は nta.go.jp です。似た文字列(docusign-japan.co.jp、nta-go.jp等)には要注意です。
- 「Shop様」「Support様」等の汎用的な宛名に注意:正規の通知メールは通常、登録した氏名や会員番号で呼びかけます。
- そのまま削除する:SPFレコードが存在せず、送信元はロシアの個人向け回線です。正規の企業・官公庁からの配信とは考えられません。
本レポートの結論
DocuSign・三井住友銀行・日本郵便など複数の有名ブランドを名乗りながら、件名と送信者のブランドが噛み合わない偽メールが90分間に続々と届きました。ヘッダーを解析した結果、いずれもロシアの同一の家庭用ブロードバンド回線から配信されており、本文テンプレートも完全に同一の「金太郎飴」型でした。リンク誘導ではなくHTML添付ファイルを開かせる手口であり、開いてしまうと偽の入力フォームに情報を入力させられるリスクがあります。件名と送信者がブランド違いで噛み合わない時点で、見分けるチャンスは十分にあります。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月21日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖