| みなさん、こんにちは!ハートランド(Heartland-Lab)です。
いつもブログを読んでいただき、本当にありがとうございます!
頼れるITに詳しいお兄さんとして、今日もみなさんの大切なデジタルライフを守るために、怪しい詐欺メールを徹底的に解剖(詳しく分析すること)していきましょー! 今日はお昼過ぎに届いた、とっても心臓に悪いメールをご紹介します。
なんと、みんながよく使う「ETCのサービスが今日中に解約されちゃうよ!」という、ものすごく焦らせてくる内容なんです。
結論から言うと、これは「1000%真っ赤な偽物」なので絶対に騙されないでくださいね! 最近のスパムメール動向と統計チェック 今回ご紹介するのは「ETC利用照会サービス」を騙るメールですが、関連記事もページ末尾の当サイトデータベースアーカイブからご覧いただけます。
その前に、まずは過去1ヶ月のスパムの動向をチェックしてみましょう! 当サイトの定点観測データ(https://ymg.nagoya/spam-mail/)を巡回し、ここ1ヶ月のスパムメールの傾向をまとめてみました。
現在、流通しているフィッシングメール全体の約4割近くが、この「ETC」や「各種クレジットカード会社」、そして「大手ECサイト」を騙るアカウント更新・停止系の詐欺です。
特に月末や、今回のように「本日中に手続きしないと自動解約」といった、極端に短い期限を突きつけて正常な判断力を奪おうとする手口が急増しています。
手当たり次第に大量送信されているため、「自分は車に乗らないから関係ない」と思っていても、突然メールボックスに飛び込んできて驚かされるケースが後を絶ちません。 開いただけで被害はあるの?生体通知の恐怖 「こういった怪しいメール、開いちゃったけど大丈夫かな…?」と不安になりますよね。
安心してください、基本的にはメールを開いただけでは、お金を盗られたりするような直接的な実質的被害は発生しません。
ただし!油断は禁物です。
今回のメールのように、HTML形式(文字の色やボタンなどの装飾がついたメールのこと)で画像が表示される仕組みになっている場合や、開封したことを攻撃者に知らせる「開通通知」の仕掛けが埋め込まれていると、あなたのアドレスが「現在も使われている生きたアドレスである」という情報(アドレス生体通知)が相手に伝わってしまいます。
これが伝わると、「このアドレスは攻撃すれば反応するぞ!」と判断され、今後さらに多くの詐欺メール送信リスト(カモリスト)に入れられてしまう危険性があるんです。ですから、見覚えのない不審なメールは極力開かずに削除するのが一番安全ですよ! 今回の不審メール基本データ | 件名(サブジェクト) | 【ETC】重要なお知らせ | | 送信者名 | ETC利用照会サービス | | 送信元メールアドレス | fm762@uzxj.cn(中国ドメインの真っ赤な偽物!) | | 受信日時 | 2026年5月25日 13:20 | | 緊急性評価 | ★★★★☆ (4/5:本日中の解約を騙り非常に強い恐怖を植え付けます) | | 危険度評価 | ★★★★☆ (4/5:セキュリティソフトの警告を回避する巧妙な仕掛けがあります) | ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 【画像】届いた不審メールの実際の画面(本文スクショ) [届いたETC偽メール本文のスクリーンショット] 
【忠実再現】メール本文テキスト ※以下は被害防止のために受信したメールの文面を、一言一句たがわず忠実に再現したものです。 ETC利用照会サービスのお知らせ 平素よりETC利用照会サービスをご利用いただき、誠にありがとうございます。
このメールは、ETC利用照会サービス(登録型)にご登録されていて、120日間ログインのない方にお送りしています。
お客様のユーザーIDは、解約予定日までにログインいただけないと登録が解約となります。
※ETC利用照会サービス(登録型)は450日間ログインがない場合、ユーザーIDの登録が自動的に解約となります。 | ユーザーID | 111******957 | | 解約予定日 | 2026/5/25 | 解約予定日までに下記からログインしていただければ、ご登録は継続されます。
※登録が継続された際のお知らせはございません。
※パスワードがわからない場合も、ログインページから新パスワードの発行を行えます。 ETC利用照会サービス(登録型)ログイン証 ※このURLの有効期間は手続き受付時より48時間です。
再度登録を希望される場合も、お気軽にご利用ください。
注意:
このメールは送信専用です。返信は受け付けておりません。
ご不明な点がある場合は、ETC利用照会サービス事務局に直接お問い合わせください。
■ETC利用照会サービス事務局
年中無休 9:00~18:00
ナビダイヤル 0570-001069
このメールのデザインと、犯人の汚い目的 スクリーンショットを見ていただくと分かりますが、本物の「ETC利用照会サービス」のロゴの配色や、すっきりしたデザインの表をとても綺麗に真似て作られていますよね。
フォントや引き締まった青い線なども、一見すると本物っぽく見えてしまいます。
しかし、よーく見てください。メールが届いたのが「5月25日の13:20」なのに、表に書かれている解約予定日はなんと「2026/5/25」、つまり「今日中」なんです!
さらに、下の注意書きには「有効期間は48時間」なんて矛盾したことも書いてあります。
つまり、「今すぐこの青いボタンを押して手続きしないと、今日中にETCが使えなくなるぞ!」と、あなたを極限まで焦らせて、冷静な思考を奪うことが犯人の狙い(目的)です。
ここに書かれている「111******957」というユーザーIDも、あなたを信じ込ませるためのランダムなデタラメの数字ですので、絶対に信じてはいけませんよ! 【技術解析】メールヘッダーから暴く犯人の居場所 メールの裏側に隠された「ヘッダー情報」を専門的に解析してみましょう!
(※なお、実際のヘッダー情報のスクリーンショットには、私たちが利用している安全なサーバーの内部情報や受信者固有の情報が含まれてしまうため、セキュリティ保護の観点から画像の掲載は控えさせていただきます。その代わりに、重要なデータだけを綺麗に抜き出して解説しますね!) まず、送信元のメールアドレス「fm762@uzxj.cn」のドメイン(@より後ろの部分)である「uzxj.cn」を調査したところ、このドメインが割り当てられているIPアドレス(インターネット上の住所のこと)は「101.47.29.240」であることが判明しました。 そして、メールがどんなルートを辿って届いたかを示す「Received」行のうち、時系列で一番古い(つまり犯人が最初にメールを送り出した)記録を抽出しました: Received: from unknown (HELO uzxj.cn) (101.47.29.240) by s8.**********.jp with ESMTPS … さらに、メールが本物かどうかを判定する重要なセキュリティ記録「Received-SPF」を確認してみます: Received-SPF: none (s8.**********.jp: domain at uzxj.cn does not designate permitted sender hosts) 「none(認証情報なし)」と出ていますね。これは「uzxj.cnというドメインは、この送信元IPアドレスからメールを送る許可を正式に出していない、あるいは設定が皆無である」ということを意味しています。
つまり、「アドレスのドメインIPと、最初に送信されたサーバーのIPアドレス(101.47.29.240)が完全に一致しており、偽装された中国の発信源から直接ばらまかれたスパムである」ということが完全に証明されました! メール送信元IPアドレスの物理的な位置情報 誘導先URLの罠と「クローキング」という闇の技術 メール内の「ETC利用照会サービス(登録型)ログイン証」という青いボタンに仕込まれていた実際の危険なリンク先URLは以下のものでした。
(※安全のため一部を伏せ字にして無効化しています) h**p://xzuicgn.eerxyyre.cn/jkautixtf/londut/ 【画像】セキュリティソフトによるブロック画面(スクショ) [ウイルスバスターの「このWebサイトは、安全ではない可能性があります」というブロック画面のスクリーンショット] 
このURLをパソコンの安全な調査環境でクリックしてみたところ、トレンドマイクロ社の「ウイルスバスター クラウド」が「違法または禁止されたコンテンツ」として瞬時に通信を遮断してくれました!
セキュリティソフトのデータベースに、すでに「極めて危険な詐欺サイト」として登録されている証拠ですね。 【画像】ブロックを強引に進んだ先の画面(スクショ) [英語で「We apologize, but your request has timed out…」と書かれたタイムアウト画面のスクリーンショット] 
さらに、このブロックを回避して強引に中身を覗こうとすると、画面には「We apologize, but your request has timed out. Please try again…(申し訳ありませんが、リクエストがタイムアウトしました。)」という真っ白なエラーページが表示されるだけでした。 「あれ?サイトが壊れて動いてないのかな?」と思いますよね。
実はこれこそが、犯人が仕掛けた巧妙な心理トラップ「クローキング(覆い隠すという意味の不正技術)」の可能性が非常に高いんです!
クローキングとは、アクセスしてきた相手が「セキュリティ会社の調査員」や「自動巡回ロボット」だと判断すると、偽のエラー画面(タイムアウトなど)を見せて実態を隠し、一般の「騙されそうなターゲットのスマホ」からアクセスされた時だけ、本物そっくりの偽ログイン画面を表示してクレジットカード番号を盗み取るという、ずる賢い悪質なシステムのことなんです。
つまり、表向きは死んでいるように見えても、裏では牙を剥いて獲物を待っている非常に危険な状態だということです! 不審な誘導先URLのサーバー稼働状況 | 項目 | 解析データ | | 誘導先ドメイン | xzuicgn.eerxyyre.cn | | ドメインIPアドレス | 104.21.32.194(伏字なし:Cloudflareプロキシを悪用して本来のサーバー位置を隠蔽中) | | 物理ロケーション | 北緯 37.7749 / 西経 122.4194(米国・カリフォルニア州サンフランシスコ経由) | | 位置情報リンク | ip-sc.net情報 |
Googleマップ | | サイト稼働状況 | 稼働中(クローキング機能が動作しており、一般アクセスを狙い撃ちしています) | 被害に遭わないための対策と、万が一の対処法 このような不審なメールへの対策は、とってもシンプルです! - メールのボタンは絶対に押さない:サービスに異常があるか確認したい時は、メールのリンクではなく、自分で事前にブックマーク(お気に入り登録)した公式サイトや公式アプリから必ずログインするようにしてください。
- 公式の注意喚起をチェックする:ETC利用照会サービスでは、このようなアカウント失効を騙るメールについて、公式ホームページで強く注意を呼びかけています。
公式の最新注意喚起情報はこちら:
https://www.etc-meisai.jp/caution/caution_phishing.html 万が一、クレジットカード番号やパスワードを入力してしまった場合の対処法: - すぐにカード会社へ電話!:カードの裏面に書かれている電話番号に今すぐ連絡し、「フィッシングサイトにカード情報を打ち込んでしまった」と伝えて、カードをすぐに止めてもらってください(利用停止手続き)。
- パスワードの即時変更:本物のETCサイトにアクセスし、同じパスワードを使っている他のサービスも含めて、すべて大至急変更してください。
まとめとお役立ちリンク 今回のETC自動解約を騙るメールは、デザインこそ精巧ですが、送信元アドレスが中国ドメイン「.cn」であったり、裏側の通信がアメリカの隠蔽サーバーを経由していたりと、解析すれば一発で真っ黒だと分かるものでした。
「本日中に手続きを!」という言葉に騙されて、大切なカード情報や個人情報を渡してしまわないよう、十分に気をつけてくださいね! 身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。 🔍 過去のETC・その他類似ブランドの詐欺事例アーカイブ 当サイトでは、同じように「ETC利用照会サービス」や各種クレジット・交通系サービスを騙る悪質なスパムメールを多数記録・保管しています。
似たような件名で怪しいなと感じたら、ぜひ以下のデータベース検索ページから、過去の記事を巡回して安全性を確かめてみてくださいね!
➡️ ハートランド 過去スパム分析記事一覧・検索はこちら | 
