【緊急フォレンジック】カゴヤを騙る「アカウント無効化」の罠!自社ドメイン偽装とロシア発スパムの全貌を暴く Heartland-Lab セキュリティレポート – 2026-05-20 皆様、Heartland-Labのセキュリティブログへようこそ。本日、前回のコンプライアンス違反メールの急増に続き、今度はカゴヤ・ジャパン(KAGOYA)のウェブメールサービスを巧妙に装った、極めて危険なアカウント奪取(フィッシング)メールをリアルタイムで観測・確保いたしました。今回のメールは、受信者自身の独自ドメインを差出人に偽装する「自社ドメイン悪用型」であり、一般の従業員やインフラ担当者が最も騙されやすい要素を網羅しています。手抜きなしの徹底的なフォレンジック解析結果を公開し、その悪質な手口と、裏に潜むロシア系サーバーの足跡、そしてイギリスの踏み台サイトの構造を白日の下に晒します。 ※ご注意:Heartland-Labの調査環境は、二次感染および攻撃者への情報漏洩を防ぐため、完全に隔離された専用のフォレンジック解析用端末(サンドボックス環境)を使用しています。危険を伴うため、一般の環境で不審なURLへのアクセスを模倣することは絶対におやめください。 | 緊急度 | ★★★★★ 極めて危険(アカウント即時奪取) | | 詐欺種別 | フィッシング詐欺(インフラ・Webメール認証情報窃盗) | | 標的インフラ | 独自ドメイン運用企業、カゴヤ・ジャパン(KAGOYA)サービス利用者 | 1. 解析対象メールの概要 確保した不審メールのヘッダーおよび本文の構成は以下の通りです。受信者のドメイン情報を動的に埋め込み、カゴヤの公式通知であるかのように見せかけています。 | 件名 | [受信者ドメイン]: コンプライアンス・ポリシー・サービスに関する最終通知!停止措置の前に至急ご対応ください! | | 表示差出人 | “Kagoya Email-Service” <enter@[受信者ドメイン]> | | 宛先(To) | enter@[受信者ドメイン] | | 送信日時 | 2026年05月20日(水) 11:40:41 | | 
【メール本文再現】
宛先: enter@[受信者ドメイン]
お客様のメールアドレス(enter@[受信者ドメイン])
は、しばらくの間使用されていないため、コンプライアンスポリシーに基づき、無効化される予定です! 問題を解決するため、以下のリンクから「有効」に設定してください! http://001activemailkagoyanetmail.bodybalanceacupuncture.co.uk?6986096312enter@[受信者ドメイン] 20.5.2026 12:40:41 Kagoya Email-Service([受信者ドメイン])
| 2. メールヘッダーのフォレンジック解析(生データの暴露) メールの「真の身元」を隠蔽することはできません。パケットおよびヘッダーのルーティングトレースを行った結果、攻撃者のインフラ構造が完全に浮かび上がりました。 | 分析対象項目 | 解析結果とセキュリティ的意味合い | 最上流転送IP
(最古のReceived) | 212.19.23.205
逆引きホスト: host.212-19-23-205.broadband.redcom.ru
ロケーション:🇷🇺 ロシア (Russia)
攻撃者の配信エンジン、または踏み台にされたロシア国内のブロードバンド回線から直接カゴヤの受信サーバー(dmail02.kagoya.net)へ叩き込まれています。 | | Received-SPF判定 | Softfail
identity=mailfrom; client-ip=212.19.23.205; envelope-from=enter@[受信者ドメイン]
自社ドメインのSPFレコードは、このロシアのIP(212.19.23.205)からの送信を許可していないため、システム側で明確に「なりすまし(Softfail)」を検知しています。 | | Message-IDの偽装 | <20260520124041.6803362DDDCF601C@[受信者ドメイン]>
MTA(メール転送エージェント)ではなく、攻撃者が手元で生成したMIME構造です。ドメイン部分に標的の独自ドメインを付与することで、正規のシステム自動生成メールに見せかける古典的な偽装工作です。 | | Date(タイムスタンプ)の矛盾 | Date: 20 May 2026 12:40:41 +1000
タイムゾーンが「+1000」(ウラジオストクやオーストラリア東部標準時など)に設定されています。日本(+0900)のカゴヤの正規サービスが、わざわざ+1000のタイムゾーンで自社ドメイン宛てに通知を出すことは100%あり得ません。 | 3. 誘導先URLと踏み台(乗っ取り)サイトの構造分析 本文中に設置されたリンクをクリックした際、どのような挙動が発生するのか、そのネットワークパケットを追跡しました。 | 偽装文字列(表面) | 0101activemailkagoyanetmail… | | 実際の遷移先URL | https://bodybalanceacupuncture.co.uk/activemailkagoya.html | | ドメイン所有国 | 🇬🇧 イギリス (United Kingdom) / .co.uk | | ドメインの正体 | 実在するイギリスの鍼灸院(Acupuncture)のウェブサイトで、先日も別のメールで盗用されていました。WordPressの脆弱性などを突かれ、攻撃者によってバックドアを設置され、フィッシングの踏み台ページ(activemailkagoya.html)を勝手に生成・配置された典型的な「正規サイト乗っ取り型」の罠です。 | | 生存確認トラッキング | URLの末尾に「?6986…[受信者のメールアドレス]」という固有のID値が自動付与されています。このURLをクリックした時点で、攻撃者のサーバー側ログに「このメールアドレスの持ち主は、今リンクを踏んだ(アクティブユーザーである)」という情報がリアルタイムに記録され、今後さらなる標的型攻撃のリストに格上げされる仕組みになっています。 | 4. セキュリティ製品の検知と、剥ぎ取られた偽ログイン画面 このURLを一般的なブラウザで開こうとした場合、優秀なエンドポイントセキュリティ(ウイルスバスター クラウド等)が稼働していれば、即座に「このWebサイトは、安全ではない可能性があります」「脅威の種類:フィッシング」として通信が遮断されます。 しかし、このブロックを回避して進んだ場合、待ち受けているのはカゴヤ・ジャパンのWebメールシステムとして非常に多くの企業が導入している「Active! mail(アクティブメール)」のログイン画面を完全にトレースした極めて精巧な偽画面です。 | 精巧に模倣された「Active! mail」偽ログインフォームのインターフェース | | 
| | 【解説】 本物の「Active! mail」の著作権表記(QUALITIA CO., LTD.)やロゴ配置、フォームの色使いを1ピクセル単位でコピーしています。ここに自社のインフラ用のユーザーIDとパスワードを入力して「ログイン」ボタンを押してしまうと、認証情報は一瞬でロシア系をはじめとする国際サイバー犯罪グループのデータベースに送信され、即座に企業メールアカウントが乗っ取られます。乗っ取られたアカウントは、さらなる大量スパムの踏み台や、社内情報の窃盗に悪用されます。 | 5. 攻撃者の「雑な仕事」を嘲笑う。致命的な違和感の箇条書き どれだけ画面を精巧に作ろうとも、海外の犯罪グループがローカライズ(日本語化)を行う際、必ず隠しきれない「ボロ」が出ます。今回のメールにおける致命的なツッコミどころは以下の通りです。 - 「!」(感嘆符)の異常な多用: 本文中の「無効化される予定です!」「有効に設定してください!」など、日本の大手ホスティングインフラ企業が、顧客への厳粛なシステム通知で「!」を連発することはビジネス文書の常識としてあり得ません。焦燥感を煽るための低質な煽り文句です。
- 日付の欧米式フォーマット: メール文末に記載されているタイムスタンプが「20.5.2026」となっています。日本国内向けのサービスであれば「2026/05/20」あるいは「2026年5月20日」と表記するのが当然であり、ドット区切りの「日.月.年」表記は、作成者が海外の文化圏の人間であることをセルフ暴露しています。
- 自社から自社へ送るシステム矛盾: Fromが「enter@[自社ドメイン]」で、カゴヤのサービスからのお知らせという設定自体がロジック破綻しています。カゴヤからの公式通知であれば、必ずカゴヤの公式ドメイン(`*.kagoya.jp` 等)から送信されます。
6. 独自ドメインを運用する企業が取るべき絶対防衛策 本日急増しているこの「カゴヤ・Active! mail」なりすましキャンペーンに対して、以下の対策を社内に徹底してください。 - 自社ドメインからの「システム停止通知」は100%詐欺と断定する: 自分のメアドや社内ドメインから「メールボックスが使えなくなる」という警告が届いたら、ヘッダーを見るまでもなくフィッシングです。即座にゴミ箱へ破棄してください。
- メール内のリンクからは絶対にログインしない: ウェブメールへのアクセスは、必ず社内で共有されている正規のブックマーク、またはカゴヤのコントロールパネル(公式マイページ)から直接ログインする導線を徹底してください。
- SPFレコードを「Hardfail(-all)」へ格上げ検討: 送信ドメイン認証において、外部からのなりすましをより厳格に遮断するため、DNSのSPFレコードの記述を `~all(Softfail)` から `-all(Hardfail)` へ変更し、受信側での拒否・隔離強度を上げるインフラ対策を推奨します。
現在、ハラスメント偽装メールのバズと完全に連動する形で、このインフラ乗っ取り型スパムが国内のサーバーを標的に猛威を振るっています。不審なメールを発見した際、あるいは「これって詐欺?」と疑問に思った際は、焦ってクリックせず、まずは当Heartland-Labの解析データをインシデント回避の参照基準としてお役立てください。 | 
