【実録・調査レポート】「メールアドレスの有効化が必要」は罠!ロシア発・不動産会社ドメイン悪用のメールアカウント乗っ取り詐欺を解析
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆ (3/5) ※現在はサイト閉鎖済み |
| 偽装工作精度 | ★★★☆☆ (3/5) |
■ メールヘッダー解析(送信者情報)
件名:【重要】メールアドレス (shop@********i.jp) の有効化が必要 – 48時間以内にご対応ください
送信者表示名:********i.jp9520044973
送信元アドレス:ryo.okamoto@remax-agt.net(国内不動産会社ドメインを悪用)
実際の送信元IP:212.19.23.205(host.212-19-23-205.broadband.redcom.ru = ロシア)
受信日時:2026年6月10日(水)17:05
SPF認証(送信元が本物かどうかを確認する仕組み):Softfail(疑わしい) ドメイン所有者が「このIPからの送信は正規ではない可能性がある」と宣言している状態
DKIM署名(メールが改ざんされていないことを証明する仕組み):なし
このメールは真っ赤な偽物です。メールアドレスとパスワードを入力した方は今すぐパスワードを変更してください。この情報を家族・知人のLINEグループで共有して被害を防いでください。
詐欺メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。メールアドレスは伏字処理しています。
お客様 お客様のメールアドレス(shop@********i.jp)は、90日以上ご利用がないため、 当社のコンプライアンスポリシーおよびセキュリティ基準に基づき、 無効化される予定です。 このままご対応がない場合、メールの送受信、データへのアクセス、 紐づくすべてのサービスがご利用いただけなくなります。 今すぐ有効化する hxxps://queraniva[.]online/loginjpwebmaillogon/?email=shop@********i.jp ※ボタンが表示されない場合は、下記リンクをコピーしてブラウザに貼り付けてください。 hxxps://queraniva[.]online/loginjpwebmaillogon/?email=shop@********i.jp この手続きは10. 6. 2026 18:05:38以内に完了する必要があります。 手続きは1分以内で完了し、アカウントは即時に復旧します。 ご迷惑をおかけして申し訳ございません。 何卒ご理解とご協力をお願いいたします。 Email-Service ********i.jp セキュリティチーム © 2026 Email-Service. All rights reserved. このメールはアカウントのセキュリティ保護のために自動送信されています。
🔍 このメールの「焦らせる」手口ポイント
- 「90日以上ご利用がない」という嘘の理由:メールサービスが利用状況を理由に突然アドレスを無効化することはありません。
- 「48時間以内」「18:05:38以内」という期限設定:冷静に考える時間を奪うための常套手段です。
- 「手続きは1分以内で完了」という甘い言葉:簡単に解決できると思わせてクリックを促します。
- URLに本人のメールアドレスが入っている:「自分専用のリンクが送られてきた」と思わせる巧妙な演出ですが、実際は差し込み文字(変数)で自動生成されたものです。
▼ 届いた詐欺メール。本人のメールアドレスがURLに埋め込まれており、一見すると自分専用の通知に見える
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※受信者側サーバー(非公表)の情報が含まれるため、Receivedヘッダーの全文掲載は控えています。
【偽装の手口】国内不動産会社のドメインを踏み台に:
送信元アドレスに使われている remax-agt.net は、国内で営業する不動産会社のドメインです。攻撃者はこのドメインのメール送信設定を何らかの方法で悪用し、一見すると国内の正規事業者から届いたように見えるメールを送り付けています。なお、remax-agt.net 自体は国内のホスティングサービスのサーバー(124.248.157.177)で運用されており、このドメインの所有者も被害者である可能性があります。
実際の発信元:ロシア(212.19.23.205 / broadband.redcom.ru)
SPF Softfailが示す通り、remax-agt.netの正規サーバーからの送信ではありません。
発信元ロケーション解析:
ロシア連邦(212.19.23.205 / Redcom Ltd.)
緯度・経度:55.7558, 37.6173(モスクワ付近)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【ディレクトリハーベスティング攻撃とは】:
ディレクトリハーベスティング攻撃とは、あるドメイン(例:〇〇.jp)に対して info@、shop@、admin@、mail@ など、よく使われるアカウント名を組み合わせたメールアドレスに片っ端からメールを送り付け、実際に届いたアドレス(=実在するアドレス)をリストアップする攻撃手法です。今回のフィッシングURLに ?email=(メールアドレス) という形でアドレスが動的に埋め込まれている構造は、この種の大量送信ツールの典型的な特徴です。あなた一人だけに届いたわけではなく、同じ仕組みで多数のメールホスティングユーザーに同様のメールが送られている可能性が高いです。
フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://queraniva[.]online/loginjpwebmaillogon/?email=(メールアドレス)
リンクドメイン:queraniva.online
サイトサーバーIP:DNS失効(取得不可) — 調査時点でドメインのDNSレコードが削除されており、サイトにアクセスできない状態です。
【サイトの状態】:
- Chromeセーフブラウジング:フィッシング検出済み・アクセスブロック(「危険なサイト」として警告表示)
- DNS失効:ドメイン自体が既に機能停止。「このサイトにアクセスできません(DNS_PROBE_FINISHED_NXDOMAIN)」と表示される
攻撃者が短期間でドメインを使い捨てにするパターンの典型例です。同様の攻撃が別ドメインで継続される可能性があります。
▼ 誘導先URLにアクセスするとChromeが「危険なサイト」として警告。Googleのセーフブラウジング機能がフィッシングを検出している
▼ 調査時点ではドメイン自体が失効しており「このサイトにアクセスできません」と表示される。使い捨てドメインの証拠
注意点と対処法
■ このメールが届いたら
- 「有効化する」リンクは絶対にクリックしない:メールサービスが「利用がないから無効化する」という通知をメールで送ることはありません。
- URLにメールアドレスが入っていても動揺しない:自分専用リンクに見えますが、大量送信ツールが自動で差し込んだものです。
- もしIDとパスワードを入力してしまった場合:直ちにメールサービスの正規ページ(ブックマークまたはサービス名で検索)からパスワードを変更してください。同じパスワードを他のサービスでも使い回している場合は、そちらも全て変更が必要です。
- 不審に思ったらメールサービスの公式サポートへ:契約しているメールサービスのサポートページから問い合わせて確認してください。
本レポートの結論
「メールアドレスの有効化が必要」という件名のメールはフィッシング詐欺です。ロシアを発信元とする攻撃者が国内不動産会社のドメインを踏み台にし、メールホスティングユーザーのアカウント情報を盗もうとしています。URLに自分のメールアドレスが入っていても慌てる必要はありません——それは大量送信ツールが自動で差し込んだものです。Chromeにはすでにフィッシング検出済みでブロック対象となっており、ドメイン自体も既に失効しています。ただし同じ手口が別ドメインで繰り返される可能性があります。この記事を家族のLINEグループで共有して「こんなメールが来ても無視して」と伝えてあげてください。
調査日:2026年6月11日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
