【実録・警告】毎日届く「お得な広告メール」の正体を暴く——燃料節約・CarPlay・ロボット犬、すべて同一犯だった
🟡 緊急度:中
スパムフィルターを欺く「ワードサラダ」の正体
今回のメール群で特に注目すべきは、「ワードサラダ」と呼ばれるスパムフィルター回避手法が全通に共通して使われていた点です。
ワードサラダ(Word Salad)とは、人間が読むと普通の文章に見えても、コンピュータのフィルターには意味のある文字列として認識されにくいよう細工されたテキストのことです。今回の手口を具体的に見てみましょう。
■ ワードサラダの仕組み:HTMLエンティティ難読化
メールのHTMLソースの中に、次のような文字列が隠されていました:
限定:60% OFF → のお客さま…(省略)この「も」のような記号の羅列は、HTMLエンティティ(HTML上で文字を数字で表現する方法)と呼ばれるもので、ブラウザやメールソフトが表示する際には普通の日本語に変換されます。しかし多くのスパムフィルターはこの数字の羅列を「意味のある日本語テキスト」として認識できないため、検出をすり抜けてしまいます。
今回確認された3通のワードサラダをすべてデコード(解読)したところ、いずれもメール本文の表示テキストをそのままエンティティに変換したものでした。つまり、スパム判定を逃れるためだけに意図的に施された細工です。偶然や誤操作でこのような処理は発生しません。
SynGas(1通目)デコード結果
- 日本のお客さま限定・期間限定の特別オファー — 75%オフ
- 燃料費を大幅に削減 最大55%カット
- もっと遠くへ。もっとお得に。
- ガソリン代を節約 / パワーブースト / 操作はとても簡単
- 今すぐ75%オフで手に入れる
- 8,258人のドライバーが4.7/5と高評価
TopCarPlay(2通目)デコード結果
- もうケーブルは不要です! 乗車と同時に自動接続。
- 期間限定:60% OFF
- 安全な決済・90日間返金保証
Wuffy(3通目)デコード結果
- 今すぐ発見 – オンライン注文で70%オフ
- 遊びながら学べる知能ロボット犬
- Wuffy ― 未来のペット
いずれも表示テキストと完全に一致しています。これは確信犯的な細工の証拠です。
このスパムメールには意図的なフィルター回避工作が施されています。リンクは絶対にクリックしないでください。身近な人への注意喚起にこの記事をご活用ください。
送信ルート解析:3通すべて同一インフラから発信
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
送信元ドメイン(全3通共通):japanesale.buzz
送信サーバー(全3通共通):mail.sobetona.fit(IPアドレス:62.173.138.237)
SPF認証(送信元が本物かどうかを確認する仕組み):Pass(japanesale.buzzの正規送信者として認証済み)
DKIM署名(メール内容が改ざんされていないかを確認する仕組み):なし
【偽装判定】:
送信元ドメイン japanesale.buzz は日本語風の名前ですが、日本の正規企業とは無関係の使い捨て専用ドメインです。SPF認証がPassになっているのは、攻撃者が自分でこのドメインを取得・設定しているためであり、「正規のメール」を意味するものではありません。同一ドメインから商品ブランドを変えながら大量送信するキャンペーン型スパムの典型的な構造です。
送信サーバーのロケーション:
ヘッダーのタイムゾーン情報(EEST = 東欧夏時間 UTC+3)から、送信サーバーは東欧圏に設置されていると推定されます。
推定位置(62.173.138.237):東欧系ホスティング事業者
Googleマップ:【推定エリアを確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【BCC大量送信の痕跡】:
今回の3通はいずれも、受信者自身のアドレスとはまったく異なる第三者のアドレスがTo:(宛先)欄に表示されていました。
| 通 | To:欄に表示されたアドレス(伏せ字) | 推定 |
| SynGas | w**@s****o-gp.co.jp | 日本企業 |
| TopCarPlay | i***@s****u.co.jp | 日本企業 |
| Wuffy | k***@s***en.osaka-u.ac.jp | 国立大学 |
これはBCC(ブラインドカーボンコピー)による大量送信の典型的な痕跡です。攻撃者は収集した大量のメールアドレスリストを持っており、To:欄にはリストの別の誰かのアドレスを表示させながら、実際の受信者全員にはBCCで一斉送信しています。こうすることで受信者同士がお互いのアドレスを知ることができず、大量送信の痕跡も隠しやすくなります。To:欄に見覚えのないアドレスが表示されていても、誤送信ではありません。意図的な仕組みです。
※表中のアドレスは、無関係の第三者のプライバシー保護のため一部を伏せ字にしています。
リダイレクター(転送中継サーバー):d.cookane.life(IPアドレス:185.209.28.87)
逆引きホスト名(IPアドレスからサーバー名を調べた結果):v3135372.hosted-by-vdsina.ru
ロシアのVPS(仮想専用サーバー)ホスティング業者「vdsina.ru」に設置されたサーバーが、メール内のリンクをクリックした際の最初の転送先として機能していることが確認されました。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
誘導先サイト解析:Cloudflare の陰に潜む詐欺的ECサイト
■ 誘導先サイト詳細解析(3通分)
【SynGas 誘導先】
リダイレクト経路:hxxps://d.cookane.life/fuelsaver-en/(ロシア系VPS)経由
最終誘導先(伏せ字):hxxps://syngas.limitedtimedeals[.]store/en/discount/price/
サーバーIP:172.67.175.92(Cloudflare CDN配下)
【TopCarPlay 誘導先】
リダイレクト経路:hxxps://d.cookane.life/carplay-us/(ロシア系VPS)経由
最終誘導先(伏せ字):hxxps://carplay.limitedtimedeals[.]store/en/discount/price/
サーバーIP:172.67.175.92(Cloudflare CDN配下)
【Wuffy 誘導先】
リダイレクト経路:hxxps://d.cookane.life/puppy-us/(ロシア系VPS)経由
最終誘導先(伏せ字):hxxps://get-wuffy[.]com/pp/en/?uid=1115&oid=84&affid2=6&…
サーバーIP:104.21.94.20(Cloudflare CDN配下)
【サイトの特徴と問題点】:
- すべてのサイトが Cloudflare CDN(世界中に分散したサーバーネットワーク)の背後に隠れており、実際の運営者・所在地の特定が困難な構造になっています。
- SynGasとTopCarPlayは同一ドメイン
limitedtimedeals.storeのサブドメインを使用。ブランド名だけ変えた使い回しサイトです。 - Wuffyの誘導先URLには
affid2=6sub3=72263などのアフィリエイトパラメータ(成果報酬型広告の追跡コード)が含まれており、スパムを送りつけた攻撃者が購入ごとに報酬を得る収益モデルが透けて見えます。 - 各サイトには TechCrunch・WIRED・Gizmodo などの著名メディアロゴが並んでいますが、掲載実績を裏付ける証拠はなく、信頼性を演出するための偽装と見られます。
- 「30-Day / 90-Day Money-Back Guarantee(返金保証)」を謳っていますが、運営元が不明確なため、実際に返金対応が受けられる保証はありません。
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
同一インフラ確定:3通の一致点まとめ
■ 3通に共通するインフラ証拠
| 確認項目 | SynGas | TopCarPlay | Wuffy |
| 送信ドメイン | japanesale.buzz | japanesale.buzz | japanesale.buzz |
| 送信サーバーIP | 62.173.138.237 | 62.173.138.237 | 62.173.138.237 |
| リダイレクター | d.cookane.life | d.cookane.life | d.cookane.life |
| リダイレクターIP | 185.209.28.87 (ロシア系VPS) | 185.209.28.87 (ロシア系VPS) | 185.209.28.87 (ロシア系VPS) |
| ワードサラダ | ✅ あり | ✅ あり | ✅ あり |
| SPF認証 | Pass | Pass | Pass |
送信元・中継サーバー・フィルター回避手法がすべて一致。同一グループによる組織的キャンペーンと断定されます。
注意点と対処法
■ 注意点と対処法
- リンク・ボタンは絶対にクリックしない:「今すぐ購入」「○%オフで手に入れる」などのボタンをクリックすると、ロシア系サーバーを経由して詐欺的なECサイトへ転送されます。
- クレジットカード情報を入力しない:誘導先サイトでカード情報を入力した場合、情報が詐取されるリスクがあります。万が一入力してしまった場合は、すぐにカード会社に連絡してください。
- 開封・閲覧しただけでもリスクがある:HTMLメールを開封すると、読み込まれる画像などを通じて「このアドレスは有効だ」と攻撃者に伝わる場合があります。スパムと判断したらすぐに削除を。
- Thunderbirdの「これはスパムです」ボタンを活用:スパム判定ボタンを押し続けることでフィルターの学習精度が上がり、同系統のメールが自動的にゴミ箱へ振り分けられるようになります。
- 著名メディアのロゴに惑わされない:TechCrunch・WIRED・Gizmodo などのロゴが貼られていても、掲載実績があるとは限りません。信頼できる情報源で商品を検索してから購入判断をしてください。
本レポートの結論
「燃料節約」「CarPlay」「ロボット犬」——魅力的な商品をブランド名だけ変えながら、同一のサーバーから毎日大量送信する組織的なスパムキャンペーンです。全通にわたってHTMLエンティティ難読化(ワードサラダ)によるフィルター回避工作が施されており、偶然や誤操作では起こり得ない意図的な行為が確認されています。リンクはロシア系VPSを経由してCloudflareの陰に隠れた詐欺的ECサイトへ誘導しており、クレジットカード情報を入力した場合の被害リスクがあります。こうしたメールが届いたら、開かずにそのままゴミ箱へ。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
