【警告】KAGOYAを騙る偽請求書メール発覚——「PDFのふりをしたHTMLファイル」添付で偽サイトへ強制誘導する手口を解析
🔴 緊急度:高
添付ファイルは絶対に開かないでください。このメールはKAGOYAとは一切無関係の偽物です。身近な人への注意喚起にこの記事をご活用ください。
三重の偽装工作を解剖する
① 表示名詐欺——送信者欄に「support@kagoya.net」と表示させる手口
メールの送信者欄には "support@kagoya.net" と表示されています。しかしこれは表示名(ニックネーム)に過ぎず、実際の送信元アドレスとは別物です。メールには「表示名」と「実際の送信元アドレス」の2つが存在し、表示名は誰でも自由に設定できます。
■ 表示名詐欺のしくみ
| 項目 | 今回のメール | 正規のKAGOYAメール |
| 送信者として表示される名前 | support@kagoya.net(偽の表示名) | support@kagoya.net |
| 実際の送信元アドレス | all@[受信者側ドメイン・非公表] | @kagoya.net ドメイン |
多くのメールクライアントは表示名を大きく・実際のアドレスを小さく表示するため、注意しないと見逃してしまいます。送信者名をクリックまたはタップして実際のアドレスを必ず確認する習慣が重要です。
② SPF Pass偽装——正規の認証をすり抜ける手口
今回のメールはSPF認証(送信元が本物かどうかを確認する仕組み)がPassとなっています。一見すると「安全なメール」に見えますが、これは巧妙なトリックです。
SPF認証は「実際の送信元アドレスのドメインが、そのサーバーからの送信を許可しているか」を確認します。今回の実際の送信元は受信者側のドメインであり、KAGOYAのドメインではありません。つまり「受信者側のドメインから送られたメールとして認証されただけ」であり、KAGOYAからの正規メールであることを証明するものではありません。さらにKAGOYAの正規メールサーバー(ms190.kagoya.net)を経由して送信されているため、受信サーバー側からは正規の経路に見えてしまいます。
③ .PDF.htm偽装——最も危険な添付ファイルの罠
⚠ 添付ファイルの正体と危険性
添付ファイルの名前は Invoice_WebApp_[].PDF.htm です。
ファイル名の途中に「.PDF」という文字があるため一見PDFファイルに見えますが、本当のファイルの種類はファイル名の末尾(最後の拡張子)で決まります。このファイルの末尾は .htm であり、これはウェブページのファイル(HTMLファイル)です。PDFビューアでは開かれず、ブラウザ(ChromeやSafariなど)で開かれます。
開いたらどうなるか——3ステップで理解する
- ステップ1:添付ファイルをダブルクリック(またはタップ)すると、PDFビューアではなくブラウザが自動的に起動します。
- ステップ2:ブラウザが起動すると同時に、ファイル内に書かれたプログラムが動作し、攻撃者が用意した偽サイトへ自動的に接続されます。インターネットに接続した状態であれば、クリック一回で偽サイトに飛ばされます。
- ステップ3:偽サイトではKAGOYAのログイン画面やクレジットカード入力画面が表示され、IDやパスワード・カード番号の入力を求められます。入力した情報はすべて攻撃者に送信されます。
なぜPDFに見せかけるのか:
多くの人は「.PDF」という文字を見ると請求書や領収書などの安全な書類と思い込みます。攻撃者はこの思い込みを利用して、危険なHTMLファイルをPDFに見せかけて開かせようとしています。
このファイルは絶対に開かないでください。すでに開いてしまった場合は、インターネット接続を切断した上でセキュリティソフトによるフルスキャンを実施してください。
送信ルート解析
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過記録):
Received: from ms190.kagoya.net (153.127.234.19)
送信サーバー:ms190.kagoya.net(IPアドレス:153.127.234.19)
KAGOYAの正規メールサーバーを経由して送信されています。これは受信者側のドメインのメールがKAGOYAのサーバーで処理されたためであり、攻撃者がKAGOYAのサーバーを直接乗っ取ったわけではありません。しかし受信側から見ると「KAGOYAのサーバーから届いたメール」に見えるため、フィルターをすり抜けやすい構造になっています。
【偽装判定】:
KAGOYAからの正規請求書メールは @kagoya.net ドメインから送信されます。今回のメールの実際の送信元アドレスのドメインはKAGOYAとは無関係であり、表示名に support@kagoya.net を偽装して受信者を騙しています。
発信元ロケーション:KAGOYA正規サーバー経由のため物理的発信元の特定は困難
Googleマップ:【KAGOYAサーバー推定エリア(大阪)を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
注意点と対処法
■ 注意点と対処法
- 添付ファイルは絶対に開かない:ファイル名に「.PDF」の文字があっても、末尾が
.htmや.htmlであればHTMLファイルです。請求書がHTMLファイルで届くことは正規のサービスではありえません。 - 送信者の「実際のアドレス」を確認する:送信者欄に表示されている名前ではなく、その名前をクリック・タップして表示される実際のメールアドレスを確認してください。KAGOYAからのメールは必ず
@kagoya.netから届きます。 - 請求書はKAGOYA管理画面から直接確認:メールのリンクや添付ファイルを使わず、ブックマーク済みのKAGOYA管理画面(コントロールパネル)に直接ログインして請求情報を確認してください。
- すでに添付ファイルを開いてしまった場合:①すぐにインターネット接続を切断する、②セキュリティソフトでフルスキャンを実施する、③KAGOYAのコントロールパネルのパスワードを変更する——この3つを速やかに行ってください。
- 公式注意喚起を確認:フィッシング詐欺にご注意ください(KAGOYA公式)
本レポートの結論
「表示名にKAGOYAの正規アドレスを偽装」「SPF認証をPassさせる」「PDFに見せかけたHTMLファイルを添付する」——三重の偽装工作が施された高精度なフィッシング攻撃です。特に「.PDF.htm」という拡張子の添付ファイルは、開いた瞬間にブラウザが起動して偽サイトへ強制誘導される非常に危険な手口です。ファイル名の途中に「.PDF」があっても末尾が「.htm」であればHTMLファイルです——この知識が身を守ります。KAGOYAをご利用の方は必ずご確認ください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
