【閲覧注意】iCloud領収書を騙る偽メール、差出人も件名も丸ごと「逆さ文字」で偽装

HL-META: date=2026-07-06 | brand=Apple/iCloud | sender_geo=日本(送信ドメイン基盤)※クラウドホスティング | site_geo=シンガポール | spf=pass(詐称ドメイン自体の設定のため) | dkim=pass(詐称ドメイン自体の署名) | cloaking=yes(PC/スマホで表示を分岐)

【閲覧注意】iCloud領収書を騙る偽メール、差出人も件名も丸ごと「逆さ文字」で偽装

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

Appleのサービス「iCloud」の利用料金領収書を装うフィッシングメールです。よくあるなりすましと少し違うのは、差出人の表示名とメールの件名が、文字を1文字ずつ丸ごと逆順に並べた状態で届いた点です。逆から読むと自然な日本語・英語になる、珍しい難読化手口でした。

※重要:Appleが領収書メールの「購入履歴」ボタンから直接ログインを求めることはありません。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★★☆ (4/5)

■ メールヘッダー解析(送信者情報)

件名(逆さ文字を戻すと):定期購読のお支払いについて【ご利用明細】

差出人表示(逆さ文字を戻すと):Apple Support

送信元アドレス:noreply@xk791y8w0l.maolve.com

添付ファイル名:payload_qcsabseg633.payload(「payload(積み荷=悪意のあるプログラムの本体)」という単語がそのままファイル名に使われている、珍しい取り扱いミス)

受信日時:2026年7月5日(日)18:15

※メールヘッダー詳細は個人情報保護のため非掲載

ご覧の通り、これはAppleを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※実際に届いたメールの画面です。差出人「troppuS elppA」・件名とも、文字が丸ごと逆順になっています。

💡ここで!

「逆さ文字」による難読化とは

スパムフィルターの多くは、「Apple Support」や「ご利用明細」といった典型的な単語・フレーズをそのまま検索して迷惑メールを判定しています。文字の並び順を丸ごと逆にしてしまうと、人間はぱっと見で「あれ、読める気がする」と感じてしまう一方、機械的な完全一致検索はすり抜けやすくなります。今回のメールでは、差出人名と件名の両方にこの手口が使われていました。

■ 送信ルート及び偽装判定

【偽装判定】:
正規のAppleからのメールは「@apple.com」または「@email.apple.com」等の公式ドメインから送信されます。本メールの送信ドメイン「maolve.com」はAppleとは一切関係のない詐称ドメインです。このドメイン自体にはSPF/DKIMが正しく設定されているため認証結果は「Pass」となりますが、詐称ドメイン自身が自分に都合よく認証を通しているだけです。

実際の送信元IPアドレス:34.180.76.172(送信ドメイン「maolve.com」自身のサーバー。クラウドホスティング基盤上に構築されています)
詳細:ip-sc.netで確認する

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://ggzjq[.]com/KgfhtwTDthy(一部伏字)

サイトサーバーの所在地:シンガポール
詳細:ip-sc.netで確認する

【サイトの状態】:調査時点で、Google Chrome(セーフブラウジング)とウイルスバスター クラウドの両方から、既にフィッシングサイトとして検知・ブロック対象になっていました。

【アクセス端末による表示の違い(クローキング)】:
パソコンからアクセスすると「リクエストがタイムアウトしました」という偽のエラーメッセージが表示され、その先には進めません。一方、スマートフォンからアクセスすると、本物そっくりの精巧な偽Apple Accountログイン画面が表示されます。アクセスしてきた機器の種類を判定し、パソコンからの調査や自動解析をかわそうとする典型的な仕掛けです。

※セキュリティソフト側で、フィッシングサイトとして検知・ブロックされていました。

 

※Google Chromeのセーフブラウジング機能によっても、危険なサイトとしてブロックされました。

 

※スマートフォンからアクセスした場合にのみ表示される、精巧な偽ログイン画面です。

■ 注意点と対処法

  1. 「購入履歴を表示する」等のボタンからログイン情報を入力しないでください。パソコンで確認して安全そうに見えなくても、スマホでは別の画面が表示されることがあります。
  2. 利用状況の確認は公式アプリ・公式サイトから:メール中のリンクではなく、設定アプリの「Apple Account」やブックマークからアクセスしてください。
  3. 差出人名の見た目に惑わされない:表示名がどれだけそれらしくても、実際の送信元アドレス(@より後ろ)を必ず確認してください。
  4. 公式注意喚起の参照:Apple公式「フィッシングメッセージ、偽のサポート電話、その他の詐欺を含むソーシャルエンジニアリングスキームを認識し、対処する」(疑わしいメールはreportphishing@apple.comに転送できます)

本レポートの結論

iCloudの利用料金領収書を装うフィッシングメールでした。差出人表示・件名の両方が丸ごと逆順の文字列という珍しい難読化が使われ、誘導先はパソコンとスマートフォンで異なる画面を出し分ける、手の込んだ作りです。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。

※本記事に記載のIPアドレス・ロケーション情報・サイトの状態は調査時点のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る