【続報】ETC利用照会サービス「ご利用継続のお願い」に新要素——偽の「人間であることを確認」画面でフィルターをすり抜け、セーシェルのサーバーへ誘導

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
ご覧の通り、このメールは公式ETC利用照会サービスを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

▲ 実際に届いた詐欺メールの画面。差出人名は「ETCマイレージサービス事務局」ですが、本文中は「ETC利用照会サービス」と別サービス名になっています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。
【重要】ETC利用照会サービス ご利用継続のお願い 平素よりETC利用照会サービスをご利用いただき誠にありがとうございます。 ■現在の状況 ・最終ログインから120日が経過しています ・150日間ログインがない場合、自動的に登録が解約されます ・解約予定日:2026-7-15 ■アカウント継続方法 ブラウザで「ETC利用照会サービス 公式サイト」と検索し、以下の手順で継続手続きをお願いします。 公式サイトにアクセス ログインページでユーザーIDとパスワードを入力 ※パスワードをお忘れの場合は、ログインページから再発行可能です ETC利用照会サービス公式サイトはこちら (リンク無効化済み・実際は https://www2.etc-meisai.jp/ 風の偽装表示) ■重要注意事項 解約後も再度登録は可能です 登録継続の確認メールは送信されません 当サービスはログイン後48時間以内の手続きが必要です 当社はメールで直接リンクを送付することはありません ■お問い合わせ先 ETC利用照会サービス事務局 電話番号:0570-341971 受付時間:9:00~18:00(年中無休) 本メールは送信専用アドレスから配信されています。ご返信いただいても回答できませんのでご了承ください。
「登録継続の確認メールは送信されません」「当社はメールで直接リンクを送付することはありません」と書きながら、まさにその「継続確認メール」かつ「直接リンク付き」のメールが届いているという自己矛盾は前回記事とまったく同じ構造です。攻撃者側がテンプレートを使い回している何よりの証拠と言えます。
■ メールヘッダー解析(送信者情報)
件名:【至急】ご利用を継続いただくためのお願い
差出人表示名:ETCマイレージサービス事務局
送信元アドレス:noreply@mail17.tgryrgyd.com
受信日時:2026年7月13日 3時08分頃
※メールヘッダー詳細は個人情報保護のため非掲載
■ 送信ルート及び偽装判定
Received-SPF:
Received-SPF: Pass (client-ip=161.118.245.234; helo=mail17.tgryrgyd.com)
送信元ドメイン「mail17.tgryrgyd.com」自体が指定するIPアドレスから送信されているため、SPF認証は「Pass」になっています。これは正規サービスへの「なりすまし」ではなく、攻撃者自身が用意した送信専用ドメインという意味です。
DKIM署名:
d=mail17.tgryrgyd.com の署名が付与されており、こちらもフィルター回避に一役買っています。
送信元IPアドレス:161.118.245.234
ロケーション:シンガポール
現在のドメイン状況:mail17.tgryrgyd.com は調査時点で名前解決ができず、既に閉鎖・使い捨てられた可能性があります。
【偽装判定】:
ETC利用照会サービスの正規ドメインは「etc-meisai.jp」です。本メールの送信ドメイン「tgryrgyd.com」は無関係の文字列ドメインであり、公式サーバーとは一切関係がありません。
💡 ここで!用語解説
SPF(Sender Policy Framework):「このドメインからのメールは、このIPアドレスから送っていいですよ」とあらかじめ登録しておく仕組みです。攻撃者が自分で取得したドメインで正しく設定すれば、SPFは簡単にPassしてしまいます。
CAPTCHA(キャプチャ):「私はロボットではありません」のようなボタンやパズルで、アクセスしてきた相手が人間かプログラム(クローラーや自動セキュリティスキャナー)かを判別する仕組みです。本来は不正アクセス対策として正規サイトでも使われますが、今回はセキュリティ研究者やGoogle・Trend Microなどの自動巡回ツールによる検出を遅らせるための「偽の壁」として悪用されています。
■ フィッシングサイト詳細解析
誘導先URL①(メール内リンク):hxxps://www.ujsaju[.]com/zjhqfzWt
中継ページ:偽の「人間であることを確認」画面(自動解析回避のためのダミーCAPTCHA)
最終着地URL:hxxps://www.dzzkm[.]com/KZfXQgBX/
サーバーIP:45.202.65.31(ujsaju.com・dzzkm.comとも同一)
ロケーション:セーシェル諸島
誘導先は2つのドメイン(ujsaju.com→dzzkm.com)を経由する構成でしたが、DNSで調べるとどちらも同じサーバー(45.202.65.31)を指しており、見た目上は別サイトに見せかけつつ実態は同じ攻撃基盤という構造でした。

▲ ウイルスバスター クラウドによるブロック画面。「このWebサイトは、安全ではない可能性があります」「脅威の種類:フィッシング」と明示されています。
警告を解除して先に進むと、いきなりログイン画面が出るのではなく、まず「人間であることを確認」という一見無害な画面が表示されました。

▲ 「安全確認」「人間であることを確認」と表示される偽のCAPTCHA画面。ボタンを押すよう促されます。
この画面は正規のセキュリティ確認に見せかけていますが、実際には自動セキュリティスキャナーによる検出を遅らせ、人間の被害者だけを次のページに通すための「フィルター」として機能しています。前回記事(2026/6/11)の手口にはこの仕組みがなく、今回新たに追加された要素です。

▲ 「確認」ボタンを押した先に表示された偽ログイン画面。本物のETC利用照会サービスのデザインをかなり忠実に再現しています。
最終的にたどり着くのは、ユーザーIDとパスワードの入力を求めるETC利用照会サービスそっくりの偽ログイン画面です。デザインの完成度は高く、URL欄を確認しない限り見分けるのは困難です。
■ 過去記事との関連:テンプレートは使い回し、インフラと手口は進化
同じ件名「ご利用を継続いただくためのお願い」のETC偽装メールは、2026年6月11日にも当ブログでご紹介しています(こちらの記事)。前回はOracle Cloud経由・シンガポールの偽サイトで、本文中に4か所もの自己矛盾がある「ボロの多い」メールでした。今回もブランド名の自己矛盾はそのまま受け継がれていますが、送信ドメインは一新され、誘導先には新たに偽CAPTCHAという検出回避の仕組みが追加されています。テンプレートの「文面」は使い回しつつ、インフラと防御突破の手口だけを着実にアップデートしている実態がうかがえます。
■ 注意点と対処法
- URLをクリックしない:「メールで直接リンクを送付することはありません」と書かれたメールにリンクが貼られている時点で矛盾しており、詐欺の明確な証拠です。
- 「人間であることを確認」画面に注意:正規サービスのログイン画面に至る前に不自然なCAPTCHA的な画面が挟まる場合、フィッシングサイトである可能性を疑ってください。
- 公式サイトを確認:ETC利用照会サービスは必ずご自身で検索・登録したブックマークまたは公式アプリからアクセスしてください。メール内のリンクは使わないでください。
- 短い期限設定に注意:「あと2日で解約」のような極端に短い期限は、冷静な判断をさせないための典型的な焦らせ文句です。
本レポートの結論
1か月前と同じ文面テンプレートを使い回しながらも、送信インフラの入れ替えと偽CAPTCHAの追加により、セキュリティフィルターや自動検出をすり抜けやすくする「進化」が続いています。文面の矛盾に気づけたとしても、URLを開いてしまえば偽サイトに到達するリスクは変わりません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年7月13日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
















