【調査結果】件名「電気料金未納のお知らせ」雑すぎる○○電力の正体

2026年5月20日

【フォレンジックレポート】差出人名「○○電力」の怠慢と、裏に潜む「生存確認」の狡猾な罠を暴く

配信日：2026年5月20日｜執筆・監修：Heartland-Lab 調査解析部

1. はじめに：攻撃者の「盛大な詰め甘」と、我々が警戒すべき本質

2026年5月20日朝、当ラボの観測網において、インフラ企業を騙る新たなフィッシングメールの着信を確認した。今回の標的は「電力会社」である。

一見すると、本文中に「○○電力株式会社」というプレースホルダー（テンプレートの埋め込み用記号）をそのまま残した状態で一斉配信された、極めて「ユルい」「雑な」手抜きフィッシングメールに見える。受信者からすれば「どこの電力会社だよ」と思わず失笑を禁じ得ない仕上がりであり、一見して詐欺と見破ることは容易である。

しかし、「敵がマヌケだからと行って、その攻撃が安全であるとは限らない」のがサイバーセキュリティの世界である。本件メールには、受信者の「生存（メールアドレスがアクティブであること）」を強制的に検知するための狡猾なヘッダー偽装が組み込まれていた。本レポートでは、この「ユルい詐欺メール」の裏に隠された技術的構造を徹底的に解剖する。

2. 解析対象メール基本インシデントデータ

件名 (Subject)	[spam] 【重要】電気料金未納のお知らせ
表示差出人名	“電力株式会社”（ヘッダー上は「重力」とも誤認し得る不審なフォント・文字コード処理）
偽装送信元アドレス	iqztexucpo@6dm.jp
真の送信元IPアドレス	76.38.141.116 (Receivedヘッダーより抽出)
SPF検証結果	Fail（完全な認証失敗 / 権限なきサーバーからの送信）
特記すべき偽装ヘッダー	Disposition-Notification-To / Return-Receipt-To
標的フィッシングURL	https://zh-eu-leisu.com/

3. 本文分析：「○○電力」という致命的バグと、騙しのロジック

攻撃者が送信したメール本文の末尾には、以下の記述が存在する。

【実際のメール本文抜粋】

本URLは公式認証済みの決済ドメインです。安心してアクセスしてください。
○○電力株式会社
カスタマーセンター：0120-333-4634（受付時間 9:00～17:00 土日祝除く）

通常、フィッシング詐欺は「東京電力」「関西電力」など、実在する大手インフラ企業の名を騙ることで受信者を錯覚させる。しかし今回のケースでは、開発環境や配信ツールのデフォルト設定であると思われる「○○電力株式会社」のまま配信のGOサインを出してしまっている。

この「ユルさ」の原因としては、複数のフィッシングキャンペーン（電力会社、ガス会社、水道局など）を同時に並行して自動生成・配信するツールにおいて、変数の置換処理が正常に機能しなかったか、あるいは攻撃者が単に設定を忘れたままリストへ一斉掃射した可能性が極めて高い。

しかし、安心させるための文言（「公式認証済み」「安心してアクセスしてください」）や、実は実在しないそれらしいフリーダイヤルの記載など、定型文としての騙しのパーツは揃っており、セキュリティリテラシーの低い層を狙った数打ちゃ当たる方式の粗悪なバラマキ型攻撃であると言える。

4. ディープ・テクニカル解析：メールヘッダーに仕込まれた「生存確認」

本インシデントにおいて最も警戒すべきは、本文の雑さとは対照的に、メールヘッダー内に「受信者のアクティブ状況を捕捉するギミック」が明示的に仕込まれていた点である。提供されたヘッダー生データを検証した結果、以下の危険な3行が発覚した。

Return-Receipt-To: 1516220875@qq.com
Disposition-Notification-To: 1516220875@qq.com
X-Confirm-Reading-To: 1516220875@qq.com

これらはメールクライアントに対し、「受信者がメールを開封した際、送信元へ自動的または手動で開封確認メールを返信せよ」と要求する命令文である。宛先に指定されているのは、中国のテンセント社が運営する巨大インスタントメッセンジャーサービス「QQ」のドメイン（qq.com）のメールアドレスである。

メールアプリがこの要求を検知すると、画面上に「このメールの送信者は開封確認の通知を要求しています。開封確認のメールを送信しますか？」というダイアログが表示される。ここで誤って「OK」を選択してしまうと、攻撃者のQQアドレス宛に「開封されました」というシグナルが送信される。

これにより攻撃者は、「このメールアドレスの持ち主は、スパムフィルターをすり抜けたメールを実際に目で見て、開封した（アクティブなカモである）」という極めて価値の高い名簿（いわゆる「生キリスト」）を手に入れることになる。以降、このアドレスに対する攻撃の強度は劇的に高まり、より巧妙なフィッシングや標的型攻撃の二次被害に繋がるため、絶対に「キャンセル」しなければならない。

5. 送信元インフラの検証：SPF認証の完全破綻と不審なメーラー

ヘッダーの配送経路（Received）を遡ると、以下のエビデンスが得られた。

送信クライアントIP	76.38.141.116
エンベロープFrom	iqztexucpo@6dm.jp
SPF判定	Fail (identity=mailfrom; client-ip=76.38.141.116; helo=6dm.jp;)
X-Mailer	Deihau Cxlnmujhnyywcl 565.54364

`6dm.jp` という実在・無関係のドメイン（あるいは攻撃用使い捨てドメイン）を騙っているが、当然ながら送信元のIPアドレス `76.38.141.116` は `6dm.jp` の正規DNSレコードに登録されておらず、SPFは「Fail（認証失敗）」を叩き出している。受信環境のセキュリティフィルターが機能していれば、この時点で高確率で迷惑メールフォルダへ隔離される。

また、メールを生成したクライアントを示す `X-Mailer` ヘッダーには `Deihau Cxlnmujhnyywcl 565.54364` という、一般のメールソフトでは絶対にありえないランダムな英字配列が記録されている。これは攻撃者が独自のバラマキ用ボットネット、あるいは不正な自動送信スクリプトを用いてメールをバルク（大量）生成している動かぬ証拠である。

6. 追跡：フィッシングサイトの末路と現在のステータス

本文中に埋め込まれていた誘導先URLおよび、独自セキュリティゲートウェイの検知ログは以下の通りである。

【検知URL】
https://zh-eu-leisu.com/

ドメイン名に含まれる文字列を紐解くと、「zh」は中国（Zhonghua / Zhongwen）の国名コード・言語コードを強く連想させ、続く「leisu」は中国圏のサービス等で頻出する「雷速（レイスゥ）」のピンイン（ローマ字表記）と一致する。前述したヘッダー内の「QQメールアドレス（qq.com）」の存在と合わせ、攻撃インフラの調達背景に中国圏のサイバー犯罪グループが深く関与していることを示す動かぬ裏付けと言える。

当ラボの解析時点において、このURLはトレンドマイクロ社の「ウイルスバスタークラウド」をはじめとする主要なセキュリティ製品により、即座に「フィッシング脅威」としてブラックリスト登録され、安全な通信が遮断される状態となっていた。

さらにその後、Webブラウザからの直接アクセスを試みたところ、結果は「DNS_PROBE_FINISHED_NXDOMAIN」（ドメイン未存在）エラーとなった。各セキュリティ機関やレジストラ（ドメイン管理会社）への迅速な通報によってドメインの委任を取り消された（サスペンドされた）か、あるいは追跡を恐れた攻撃者自身がネームサーバーを即座に爆破したものとみられる。犯罪インフラを短期間で使い捨てる、彼らの典型的な運用実態が浮き彫りとなった。

7. 総括とHeartland-Labによる推奨対策

今回の「○○電力」フィッシングメールは、そのお粗末なテキストバグから「笑えるスパム」として片付けられがちであるが、以下の防御原則を再確認するための格好の教材である。

【防御のアクションプラン】

「開封確認」は常に拒否： 見知らぬ差出人からのメールを開いた際、ブラウザやメーラーが「開封確認を送信しますか？」と求めてきた場合は、何があっても必ず「キャンセル（拒否）」を選択すること。攻撃者に生存シグナルを渡してはならない。
プレースホルダーの存在をチェック： 本文に「○○」「[会社名]」といった不自然な伏せ字が残っているメールは、例外なく自動生成された詐欺メールである。即座に破棄して良い。
リンクが死んでいても油断禁物： 「サイトにアクセスできないから実害はなかった」と安心するのではなく、メールを受信・開封したという事実そのものに対する警戒レベルを維持すること。

当ラボでは、こうした「一見ユルく見えるが、裏で悪質なトラップを仕掛けている」二面性を持つ脅威インシデントについて、今後も徹底的な監視とフォレンジック分析を継続していく。