【実録】「ご購入を完了できませんでした」iCloud+偽請求書の送信ルート解析結果

2026年6月19日

【実録】iCloud+ 偽請求書の正体：巧妙な偽装と中継サーバーを暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

毎月130円のiCloudストレージ（50GB）を利用している方は、非常に多いのではないでしょうか？今回は、そんな身近なサービスを狙った非常に巧妙なフィッシングメールを解析しました。日常的に届く「本物の請求書」にデザインを極限まで似せており、不意を突かれて騙されてしまう危険性が高い極めて悪質な手口です。

※重要：本メールはHTMLメールとして配信されており、開封して画像が読み込まれるだけでも、攻撃者側に「アクティブなアドレス（現在使われているアドレス）」としてマークされるリスクがあります。身に覚えのない請求は慌てて中身を開かず、まずは慎重に送信元を確認してください。

緊急性レベル	★★★★☆ (4/5)
偽装工作精度	★★★★★ (5/5)

■ メールヘッダー解析（送信者情報）

件名：[spam] ご購入を完了できませんでした

送信者名：“iCloud+請求書”

送信元アドレス：apple-noreply@yjth.net

ドメインIP解析：85.137.51.148 (w52626-kanazawa526.kanazawa.dream.jp)

受信日時：2026年06月19日 11:11

※ヘッダーには受信者の情報が含まれるため、本来なら掲載してご紹介するのが本筋ですが、個人情報保護のため伏せさせていただきます。

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

[spam] ご購入を完了できませんでした
送信者："iCloud+請求書" <apple-noreply@yjth.net>

APPLE ID             日付
●●●@●●●.●●         2026年06月19日

ご注文番号            書類番号
ML642DM46B            447461081967

iCloud+
iCloud+（50GBのストレージ付き）     ¥130
月額
更新：2026年06月19日
--------------------------------------------------
              合計     ¥130

お客様のお支払い方法に問題があるため、
このサブスクリプションを更新できない可能性があります。
サービスを引き続きご利用いただけるよう、
お支払い情報を更新してください。

【お支払い情報の更新】

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
Received: from w52626-kanazawa526.kanazawa.dream.jp (unknown [85.137.51.148])

【偽装判定】：
本物のAppleからの請求書メールは、当然ながらAppleの公式ドメイン（apple.comなど）から直接配信されます。しかし、このメールの表示送信元は「yjth.net」という全く無関係のドメインになっているだけでなく、実際の送信元IPアドレス（85.137.51.148）を逆引きすると、日本のホスティングサービスである「dream.jp」のドメインが表示されます。国内の一般有料レンタルサーバー等の管理権限が攻撃者に奪われ、不特定多数へ偽メールをばらまくための「踏み台」として悪用された可能性が極めて濃厚です。

発信元ロケーション解析：
IPアドレス：85.137.51.148
Googleマップ：【位置情報を確認する】

※ロケーション情報は調査時点のものです。IPアドレスの割り当てや中継経路は随時変更される場合があります。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://caomei10k.cyou/4JV3G2H2/appointment/21804377 (一部伏字)

リンクドメイン：caomei10k.cyou

【サイトの状態】：
メール内の「お支払い情報の更新」ボタンのリンク先は、上記の通りAppleとは1ミリも関係のない「.cyou」という怪しげな海外ドメインでした。現在このURLにアクセスを試みると、システム基盤であるCloudflareの画面から「Error 1027: This website has been temporarily rate limited」というエラーが返ってきます。これは、サイトの所有者（詐欺師）が利用プランの制限上限を超えてアクセスさせてしまったために、システム側から強制的に一時遮断されている状態です。
「お支払い方法に問題がある」などと偉そうにメールを送ってきたくせに、自分たちのフィッシングサイトのプラン管理に問題があってサイトを落とされているというのは、なんともお粗末で情けないお話ですね（笑）。

※解析データに基づき、攻撃者は短期間でドメインを使い捨て、また別のURLへと誘導先を切り替える性質があります。エラーが出ているからといって決して安全だと思わず、絶対にURLはクリックしないでください。

■ 注意点と対処法

身に覚えのない少額請求に焦らない：130円という絶妙な少額を提示し、「これくらいなら払ってエラーを消そう」と思わせるのが詐欺師の心理的トラップです。
リンクではなく公式アプリやブックマークから確認する：iCloudやApple IDのお支払い状況に本当に問題があるかどうかは、必ずスマートフォンの「設定」アプリ、または事前にブックマークしたApple公式サイトからログインして確認してください。
公式注意喚起の参照：Apple フィッシング詐欺を識別するに関するご注意

本レポートの結論

今回のメールは、本物のiCloud+請求書を忠実にコピーし、日本のサーバーを踏み台にして送りつけられた、極めて警戒すべきフィッシングメールです。一瞬の焦りからクレジットカード情報やApple IDのパスワードを盗まれてしまう人が後を絶ちません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『iCloud使ってる人、これ気をつけて！』と今すぐ共有してあげてください。

本レポートの結論

今回のメールは、本物のiCloud+請求書を忠実にコピーし、日本のサーバーを踏み台にして送りつけられた、極めて警戒すべきフィッシングメールです。一瞬の焦りからクレジットカード情報やApple IDのパスワードを盗まれてしまう人が後を絶ちません。身近な人が騙されてからでは手遅れです。以下のボタンから、家族のLINEグループに『iCloud使ってる人、これ気をつけて！』と今すぐ共有してあげてください。

LINEで家族に教える

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net