【必読】iCloud次回請求のお知らせは真っ赤な偽物!最新のフィッシング詐欺を徹底公開
みなさん、こんにちは。
頼れる街のIT専門家、Heartland(ハートランド)です。
いつも「Heartland-Lab(ハートランド・ラボ)」をご覧いただき、本当にありがとうございます。
最近のスパム(迷惑メール)動向として、私たちの生活にすっかり溶け込んでいる便利なクラウドサービスを狙った、非常に巧妙で悪質な偽メールが急増しています。
今回ご紹介するのは、Apple(アップル)社が提供する定額制クラウドサービス「iCloud+(アイクラウドプラス)」を騙る(かたる:偽る)フィッシングメール(個人情報を盗み出す詐欺メール)です。
なお、これまでに当ラボで解析したApple関連やその他ブランドの関連記事も、ページ末尾に記載しているデータベースアーカイブからすべてご覧いただけます。
【実録】iCloud+を騙るお支払い失敗メールを徹底分析!最後に潜む爆笑の「松信」変換ミスと死にリンクの手口を公開
💡 事前に知っておきたい安心知識:
不審なメールが届いたとき、「受信トレイでメールを開いた(閲覧した)だけ」であれば、ただちにクレジットカード情報が盗まれるような実質的被害が発生することはありません。
しかし、画像が自動で読み込まれる設定になっている場合や、メール内に「開通通知(メールが読まれたことを送信元へ自動で知らせる仕組み)」が仕込まれている場合は、あなたのメールアドレスが「現在も実際に使われている生きたアドレス」であると攻撃者に伝わってしまいます。
その結果、今後はさらに多くの詐欺メール送信リスト(悪質な名簿)に入れられてしまう可能性が高くなります。
見覚えのない怪しいメールは、極力開かずに削除するのが一番の安全策です。
1. 受信メールの基本情報
| 危険度評価 | ★★★☆☆ (3 / 5:中警戒) |
|---|---|
| 緊急性 | 高(24時間以内の手続きを要求) |
| メール件名 | [spam] iCloud次回請求についてのお知らせ |
| 送信者名 | “iCloud +” |
| 送信元メールアドレス | welcome@suvinfot.com |
| 受信日時 | 2026年5月27日 09:35:31(日本時間) |
件名の見出しに「[spam](スパム)」という文字が付いていますが、これは受信者が利用しているメールサーバーが、届いたメールの挙動や送信元を自動的に分析し、「これは迷惑メールの可能性が非常に高いですよ」とシステム側で警告タグを付与してくれた証拠です。
これがあるだけでも、一目で詐欺だと見抜く大きなヒントになります。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
2. メール本文のビジュアルと忠実な再現
※以下に記載するテキストは、受信した実際の詐欺メール本文のレイアウトや装飾、誤字脱字に至るまで、システムが誤認しない範囲でできる限り忠実に再現した内容であることをここに明言いたします。
iCloud+
要対応
お支払いに失敗しました
ご登録のお支払い方法で決済を試みましたが、処理を完了できませんでした。
24時間以内にお支払い方法を更新いただけない場合、iCloud+ プランの更新が停止し、以下の機能が制限されます。
× iCloud Drive・写真・バックアップの同期が停止
× カスタムメールメイン・プライベートリレーが無効化
請求情報
| 宛先:*******@*********.jp | 請求書番号:INV-872500 |
| ご請求日:2026年5月27日 | 注文番号:ODR-UPXJQK |
| 状況:お支払いに失敗 | 失敗理由:カード会社により承認されませんでした |
| お手続き期限:24時間以内 |
次に行うこと
お支払い方法を更新して再度お試しください
① カードの有効期限・利用限度額をご確認ください
② 別のカード、または別のお支払い方法に切り替えてください
③ 更新後、数分後に再度アカウント状態をご確認ください
ご利用中のプラン
| iCloud+ 50 GB ストレージ 月額プラン 次回更新日:2026年6月28日 | 150円 |
| 合計(税込) | 150円 |
このメールに心当たりがない場合、またはお支払い方法を更新する意図がない場合は、リンクはクリックせずに Apple サポートまでお問い合わせください。Apple は、メールでパスワードやカード番号をお尋ねすることはありません。
このメールは、iCloud+ のご登録情報に基づき松信されました。
【メールのデザインと専門家の感想】
一見すると、Apple社の本物の通知メールと見間違うほど、ロゴを想起させる配置やフォントのスタイル、配色(青いボタンや赤い警告帯)が精密にコピーされています。
さらに、iCloud+の最低料金である「50GBプラン:月額150円」という、実在する非常にリアルな金額設定をそのまま引っ張ってきている点が非常に悪質です。
「150円なら本当に自分の契約かもしれない」と、利用者を誤認させる心理的トラップが仕掛けられています。
しかし、最大のツッコミどころは最下部のフッター部分(メールの末尾)にあります。
よく見ると「ご登録情報に基づき松信(まつのぶ)されました」と書かれています。
本来であれば「配信」または「送信」と書くべき重要な固定文面ですが、攻撃者がシステムを構築する際、海外のフォント環境から日本語へ機械翻訳(自動翻訳)や文字変換をかけた段階で、奇跡的な誤入力(変換ミス)を引き起こしたものと考えられます。
シリアスなデザインで恐怖心を煽っておきながら、最後の最後で「松信って誰だよ!」とズッコケてしまう、お粗末な詰めの一甘が露呈しています。
つまり、「見た目がどれほど本物っぽくても、細部の日本語が崩れているのは海外の詐欺グループが作った偽物であるという決定的な証拠」ということです。
3. 送信元ヘッダーおよびネットワーク解析
⚠️ ヘッダー情報の取り扱いについて:
メールの裏側に記録されている「ヘッダー情報(通信の経路や発信元の記録)」の生スクリーンショットには、受信側のプライベートなメールサーバー構造や内部IPアドレスといった重要な情報が含まれてしまうため、セキュリティ保持の観点からブログ上には直接掲載いたしません。
代わりに、当ラボの解析環境にて抽出した核心的なデータから、関係各所を厳重に隠蔽(マスク)した上で必要な情報のみをご紹介します。
| 解析項目 | データ・解析値 | 専門家による判定と意味 |
|---|---|---|
| Received-SPF | Pass (sender SPF authorized) | 【正規パス判定】 送信ドメイン suvinfot.com の正当なサーバーから送られたことを証明しています。 |
| 最古のReceivedヘッダー (最初の発信元経路) | from suvinfot.com (unknown [36.53.1.10]) by *****04.*******.** (Postfix)... | 攻撃者が最初にメールをネット上に放り込んだ、最初の経由サーバーの生記録です(※サーバー名は伏字処理済)。 |
| 送信ドメインのIPアドレス | 36.53.1.10 | この数字は、インターネット上における送信元サーバーの「住所」に相当します。 |
| 発信IPの地理的位置 (ロケーション) | ip-sc.netで詳細を確認 📍 位置情報:Googleマップで開く (緯度:34.7562 / 経度:113.6304) | 経由地は中国河南省鄭州市(ていしゅうし)周辺を示しています。Appleの正規サーバーとは一切無関係の場所です。 |
| 送信ドメイン偽装判定 | 偽装なし(ドメイン自体が不正) | 他人のドメイン名になりすます手法ではなく、攻撃者が自前で用意した(または完全に乗っ取った)無関係な独自ドメインから堂々と送信されています。 |
つまり、「Apple社を騙っているものの、裏側のシステムデータを暴いてみると、Appleとは1ミリも関係のない海外の不審なサーバーから直接発射されている」ということです。
認証(SPF(送信ドメイン認証)などのセキュリティ技術)を綺麗に通しているため、一部の迷惑メールフィルターをすり抜けてしまう性質を持っています。
4. 誘導先フィッシングサイトの徹底調査
メール本文内に仕込まれているリンクボタン「お支払い方法を更新する」に埋め込まれていた、不審な接続先URLの解析結果です。
| 解析項目 | 調査データ |
|---|---|
| 実際の埋め込みURL | h**ps://www.myabbasmo.comweb/(※安全のため一部を伏字化し、リンクは無効にしています) |
| 該当ドメイン | myabbasmo.comweb |
| リンク先ドメインIPアドレス | 該当なし(DNSエラーにより抽出不可) |
| 物理サーバーのロケーション | 確認不可(世界中のどのネームサーバーにも登録がありません) |
| リンク先の稼働状況 | 非稼働(死にリンク状態) |
【URLが危険・不正と判断できるポイント】
この接続先ドメイン、末尾が「.comweb」という見たこともない文字列になっています。
通常のウェブサイトであれば「.com」や「.net」で終わりますが、攻撃者がリンク構造を設定する際の設定ミス(タイポ:打ち間違い)により、存在しない架空のトップレベルドメイン(国別や用途別の末尾識別子)になってしまっています。
そのため、実際にクリックすると、ブラウザ上で「このサイトにアクセスできません(DNS_PROBE_FINISHED_NXDOMAIN)」という名前解決(ドメイン名からIPアドレスを導き出す処理)失敗のエラー画面が返ってきます。
現時点では完全に「死にリンク(機能していない状態)」となっており、どこにも接続されません。
なお、高度なフィッシング詐欺の中には「クローキング(アクセスしてきたのが一般の被害者候補か、セキュリティの調査員かをシステムで自動判別し、調査員に対してはこのようなエラー画面や全く別の無害なページを見せて正体を隠す卑劣な技術)」を用いるケースがあります。
今回の事例に関していえば、ドメインそのものの構造が壊れているため、クローキングではなく、単なる攻撃者側の単純なプログラム記述ミス(手抜き)である可能性が極めて高いです。
つまり、「現時点ではリンク先が壊れているため実害は出ないものの、攻撃者が記述ミスに気づいてURLを修正した場合、一瞬で最悪のカード情報窃盗サイトへ変貌する恐れがあるため絶対に油断は禁物」ということです。
5. 被害に遭わないための対策と正しい対処法
もしこのようなメールが届いても、慌てる必要はまったくありません。
以下の対策を徹底してください。
- メール内のリンクボタンは絶対に押さない: アカウントの確認やお支払情報の更新を行う際は、メールのリンクを一切頼らず、普段使っているブラウザのブックマーク(お気に入り)や、公式の専用アプリ(iPhoneの「設定」画面など)から直接正規サイトにログインして状態を確認してください。
- 個人情報は絶対に入力しない: 万が一リンクを開いてしまっても、Apple ID、パスワード、クレジットカード番号、セキュリティコードなどを入力する画面が出た場合は、絶対に入力せずに即座にタブ(画面)を閉じてください。
- 大切な家族への共有: このような詐欺は、仕組みや手口を「あらかじめ知っていること」自体が最大の防御壁になります。大切な家族や、スマホの操作に不慣れなおじいちゃん・おばあちゃんにも、「大切な家族に伝えてあげたい注意喚起」としてこの手口をぜひ共有してあげてください。
ℹ️ Apple公式による最新の注意喚起情報:
Apple社からも、同社を装ったフィッシングや詐欺に関する公式の注意喚起ページが常に公開されています。
具体的な見分け方などさらに詳しく知りたい方は、以下の公式サポートページを直接ご確認ください。
🔗 Apple公式サポート:App StoreやiTunes Storeからの正規のメールを識別する
身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
