【緊急】同一犯による波状攻撃！デジタル庁・PayPay銀行から事務所ドメイン乗っ取りまで、ロシア発・同一IPからの大量送信を解析

2026年6月29日

【緊急】同一犯による波状攻撃の正体：デジタル庁・PayPay銀行から事務所ドメイン乗っ取りまで、ロシア発・同一IPからの大量送信を解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

本日、デジタル庁・三井住友銀行・PayPay銀行・日本年金機構・国税庁・DocuSign・Adobe Signなど、次々に異なるブランドを名乗る詐欺メールが、半日で40通以上届く「波状攻撃」が観測されました。Heartland-Labが代表的な2通を詳しく解析した結果、表向きのブランド名や文面はすべて異なるものの、メールを実際に送信していたサーバーの正体（送信元IPアドレス）は完全に同一だったことが判明しました。同一の攻撃者が、辞書的なアカウント名へ総当たりで送りながら、姿を変え続けていたのです。

※重要：こうしたメールはHTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)
偽装工作精度	★★★☆☆ (3/5)

■ 波状攻撃の観測状況

本日午前9時頃から午後にかけて、以下のような件名・送信者名を使い分けたメールが、宛先のアカウント名（users@、admin@、support@、sales@、info@など、ありがちな名称）を次々に変えながら大量に届きました。

「【至急】2026年度マイナンバー更新手続きのお知らせ」（送信者名：マイナンバー総合窓口デジタル庁連携／デジタル庁本人確認サービス等）
「三井住友銀行 – セキュリティ確認および契約更新」
「PayPay銀行 – 不審ログイン検知および本人確認」
「日本年金機構 – 年金受給資格確認通知（2026年度）」
「日本郵便 – 不在配達通知／荷物受け取り確認」
「デジタル庁・マイナンバー – 本人確認書類の提出期限について」
「MUFG銀行・国税庁・DocuSign Japan・Adobe Signを名乗るもの」
某事務所の正規ドメイン（.jp）を盗用した「アカウント閉鎖リクエスト」（送信者名：Service-（伏字).jp＋ランダムな数字）

表向きのブランド名は様々ですが、すべて同一犯による偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

■ 代表例①：PayPay銀行を名乗るHTML添付型

件名：PayPay銀行 – 不審ログイン検知および本人確認

送信者名：“デジタル庁本人確認サービス” id-verification@digital.go.jp（デジタル庁の実在ドメインを偽装）

添付ファイル：公式通知_591951.html　※本文にはリンクはなく、添付のHTMLファイルを開かせる構成です。同日午前に解析した別件（本サイト既報）と同種の、ファイル自体が偽の入力フォームとして機能する自己完結型フィッシングHTMLとみられます。

真の送信元IP：212.19.23.205（ロシア／一般ブロードバンド回線）

SPF認証：Fail（not authorized）

■ 代表例②：事務所ドメインを盗用した「アカウント閉鎖リクエスト」型

件名：【重要】アカウント閉鎖リクエスト（users@（伏字).jp）の有効化が必要 – 48時間以内にご対応ください。

送信者名：“Service-（伏字).jp＋ランダムな数字” recruit@aporu.com

宛先：users@（伏字).jp　※実在しないアカウント宛のため、実害はありませんでした

真の送信元IP：212.19.23.205（ロシア／一般ブロードバンド回線）

SPF認証：Softfail（discourages use of this host）

■ 決定的な証拠：送信元IPアドレスの完全一致

代表例①・②、さらに本日午前中に別途解析した三井住友銀行を騙る案件（本サイト既報）の3件を比較したところ、いずれも送信元IPアドレスが「212.19.23.205」で完全に一致していることが確認されました。表示されているブランド名・件名・送信者名はすべて異なっていても、実際にメールを送り出していたサーバーは1つだけだったのです。
詳細：【ip-sc.netで確認する】

※このIPアドレスはロシアの一般ブロードバンド回線（ホスト名にbroadband.redcom.ruを含む）のものです。ロケーション情報は調査時点（2026年6月）のものであり、日々変化する可能性があります。

「企業ドメインへのアカウント名総当たり」という手口の正体：攻撃者は特定の個人を狙っているわけではなく、企業の正規ドメインを盗用し、「users」「admin」「support」「sales」「info」のような、どの会社にもありそうなアカウント名を辞書的に大量生成して、手当たり次第に送信しています。実在しないアカウント宛のメールも多く含まれるのはこのためです。

■ 誘導先サイトの解析（代表例②）

メール内リンク（伏せ字）：hxxps://authwebmaillogon-（伏字)[.]jp/（受信者のアドレスを含む追跡用パラメータ）

最終到達先（伏せ字）：hxxps://medixsurgicalconcern[.]com[.]np/jp/#（追跡用の長いパラメータ）

最終到達先サーバーIP：192.185.115.14（アメリカ／一般的なレンタルサーバー）

【サイトの状態】：このリンクへアクセスすると、まずGoogle Chromeのセーフブラウジング機能が「危険なサイト」「フィッシングが検出されました」という警告を表示します。警告を無視して進むと、英語圏向けと思われる汎用的な偽ログインフォームが表示されます。「ユーザー名前」「保つ当方としてログイン」という、機械翻訳特有の不自然な日本語が使われており、海外で量産されたテンプレートをそのまま使い回していることが一目で分かります（笑）。誘導先のドメイン「medixsurgicalconcern.com.np」は、本来ネパールの医療関連と思われる正規サイトが乗っ取られた（コンプロマイズされた）可能性があります。

※デジタル庁本人確認サービスを名乗る送信者から届いたメールです（添付ファイルがHTML形式の偽通知）。

※事務所の正規ドメイン（.jp）を盗用し、「users@」宛に送られてきたメールです。

※上記メールのリンク先にアクセスした際、Chromeが表示した警告です。

※警告を無視して進むと表示される、機械翻訳調の不自然な日本語が使われた偽ログイン画面です。

■ 注意点と対処法

ブランド名が変わっても警戒を緩めない：デジタル庁・銀行・年金機構など、次々に名乗りが変わっても、送信元が同一の攻撃者である可能性があります。
Chromeなどの警告は必ず守る：「危険なサイト」という警告が出たら、絶対に「このサイトにアクセスする」を選ばないでください。
不自然な日本語に注意：「ユーザー名前」のような機械翻訳調の表現は、海外で量産されたフィッシングサイトの典型的な特徴です。
送信元アドレスの「@以降」を必ず確認する：表示名は自由に偽装できます。実際の送信元ドメインとSPF認証の結果を確認してください。
公式注意喚起の参照：デジタル庁の注意喚起／ PayPay銀行詐欺被害にあわないために
万が一情報を入力してしまった場合：同じパスワードを使っている全てのサービスのパスワードを直ちに変更し、各サービスの利用明細に不審な履歴がないか確認してください。

本レポートの結論

デジタル庁・三井住友銀行・PayPay銀行・日本年金機構など、表向きは多種多様なブランドを名乗りながら、その正体は同一のロシア発IPアドレスから送られた、たった1つの攻撃キャンペーンでした。企業の正規ドメインを盗用し、ありがちなアカウント名へ総当たりで送信するという、効率重視の無差別攻撃です。半日で40通以上という量からも、今後さらに新しいブランド名で同様のメールが届く可能性があります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net