【実録】KAGOYA「メールサービスシステムアップグレードのお知らせ」は偽物——SPF全滅の粗い偽装、乗っ取られた海外サイトを踏み台に

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 不審メールの基本情報
件名:【重要】メールサービスシステムアップグレードのお知らせ
送信者表示名:“カゴヤ・ジャパン サポートセンター” <support@kagoya.jp>(アドレスは詐称)
※メールヘッダー詳細は個人情報保護のため非掲載
■ メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
本件に該当するKAGOYA Activemail会員のみなさまへ カゴヤ・ジャパンActivemailカスタマーサポート ━━━━━━━━━━━━━━━━━━━━ 【重要】Activemailメール送信機能停止のお知らせ ━━━━━━━━━━━━━━━━━━━━ 平素よりActivemailをご利用いただきまして誠にありがとうございます。 このたび、お客様のActivemailメールアドレスから大量のメールが送信されていることが判明いたしました。 大量のメール送信にお心当たりがない場合は、第三者が何らかの方法でお客様のActivemail ID/メールアドレス/パスワードを不正に入手し、メールを送信した可能性がございますが、Activemailサービスの運営に支障をきたすため、お客様のActivemailメール送信機能を一時停止させていただきました。 【Activemailメール送信機能停止に伴うお客様への影響】 ・Activemailメールアドレスの受信は問題なくご利用いただけます。 ・Activemailメールアドレスからの送信ができません。 ・Webメールでの送信もできません。 【ご参考】Activemail ID/メールアドレス/パスワードを不正入手する手口 ・フィッシングサイトによる詐用。 (IDやパスワードなどを不正に入手することを目的とした偽のサイト) ・利用パソコンのウイルス感染による流出。 つきましては、以下の「Activemailメール送信機能停止の解除方法」のwebページに明記された手順にしたがって、至急の対処をお願いいたします。 (解除ページへのリンク。表示上は正規のドメイン風だが、実際の遷移先は別ドメイン) ★今回のActivemailメール送信機能停止につきましては、お客様ご自身により上記専用ページにてActivemailパスワードを変更していただかなければ、メール送信の再開はできませんのでご注意ください。 ※お知らせメールが発信された当日に解除ページでの操作を実施していただいた場合、システムの都合上、送信ができるようになるまでに最長で翌日0時までお待ちいただく場合がございます。 ━━━━━━━━━━━━━━━━━━━━ 電話 0120-022-234 (平日10:00〜17:00) メール support@kagoya.jp(※このアドレスも詐称) X(旧:Twitter) https://twitter.com/kagoyajp ウェブサイト https://www.kagoya.jp/ サポートサイト https://support.kagoya.jp/ KAGOYA Internet Routing KAGOYA FLEX KAGOYA CLOUD KAGOYA DC+ ━━━━━━━━━━━━━━━━━━━━

実際に届いたメールの画面
電話番号・公式X(旧Twitter)・公式サイトのURLまで実在のカゴヤ・ジャパンの情報をそのまま列挙しており、本文の「らしさ」だけは妙に作り込まれています。ただし、これから見ていく通り、認証の裏付けは全く伴っていません。
■ 送信ルート及び偽装判定
■ 送信元の解析
Receivedヘッダー解析(サーバー通過証明):
Received-SPF: Fail (SPF fail - not authorized) client-ip=192.3.195.103; helo=mail.cybervittles.com; envelope-from=admin@executiveonelimousine.com
送信元IPアドレス:192.3.195.103(HostPapa・米国ニューヨーク州バッファロー)
HELO名:mail.cybervittles.com
envelope-from:admin@executiveonelimousine.com(カゴヤとも今回のHELO名とも異なる、三重に不一致な差出人)
【偽装判定】:今回はSPFそのものが「Fail(認証失敗)」と明確に判定されています。表示上の差出人(support@kagoya.jp)、HELO名(cybervittles.com)、envelope-from(executiveonelimousine.com)の三者がすべてバラバラで、正規のメール配信基盤であればまず起こり得ない状態です。認証面での偽装精度は今回取り上げた中でも特に粗いものでした。
💡 ここで!用語解説
SPF Fail:「送信元の正当性を証明する認証に失敗した」という明確な判定結果。SPF Passと違い、Failは「このサーバーからの送信は許可されていない」という強いシグナルです。多くのメールサービスでは、Failのメールを自動的に迷惑メール扱いにします。
envelope-from(エンベロープFrom):メール本文に表示される差出人とは別に、配送システム内部で使われる「本当の送り主」情報。表示上の差出人と食い違っている場合、なりすましの強い証拠になります。
■ フィッシングサイト詳細解析
■ 誘導先サイト
誘導先ドメイン(伏せ字):hxxps://reflexivesurface[.]com/...(実際のURLは非常に長い符号化文字列で構成)
サーバーIP:172.67.218.139
ホスティング:Cloudflare(実所在地は隠蔽されており、表示上のロケーションに意味はありません)
誘導URLの文字列は非常に長く、無関係な単語を組み合わせたような不自然なサブドメイン構成でした。さらにこのURLには、受信者を識別するための情報がパラメータとして埋め込まれていました。こうした「宛先識別パラメータ付きURL」は、どのメールアドレスがクリックしたかを攻撃者側で追跡するための仕組みです。本記事では、こうした識別情報は一切掲載していません。

アクセスを試みると表示された接続エラー画面。誘導チェーンの途中に、乗っ取られたと見られる無関係な第三者の実在サイトが挟まっていたことを示している
この画面は、フィッシングとは無関係の海外の実在団体(教会関連の組織と見られます)のWebサイトが応答不能になっている様子を示しています。攻撃者がこの第三者サイトを何らかの形で乗っ取り、誘導チェーンの中継地点として悪用した可能性が考えられます。詐欺の被害者は情報を盗まれる側だけでなく、気づかぬうちにサイトを踏み台にされる側にもなり得るという実例です。本件の第三者サイトは今回の攻撃の「被害者」側と見られるため、当サイトでは実名を伏せています。
■ 過去記事との関連
本日はカゴヤ・ジャパンを騙るフィッシングメールを2件続けてご紹介しました。1件目の「メール受信状況のご案内」(過去記事:KAGOYA「メール受信状況のご案内」は偽物)はドイツの家庭用回線から送信されSPF Passを偽装していましたが、今回はSPFそのものがFailという、同じブランドを騙りながら手口の精度が異なる2パターンが同日に確認されたことになります。
■ 注意点と対処法
■ 注意点と対処法
- URLをクリックしない:「送信機能停止」「至急の対処」等の文言があっても、メール内のリンクは開かないでください。
- 公式サイトから確認:Activemailの利用状況を確認したい場合は、必ず日頃ブックマークしている公式サポートサイトから直接アクセスしてください。
- 誤って情報を入力してしまった場合:直ちにメールアカウントのパスワードを変更し、KAGOYAのサポートセンターへ正規の連絡先を通じてご連絡ください。
- 公式の注意喚起も参照:フィッシングメールにご注意ください(KAGOYA公式)
本レポートの結論
「送信機能が停止した」という業務に直結する不安を煽る一方、認証面の作り込みは非常に粗く、SPFが明確にFailしていました。誘導チェーンには、無関係な第三者の実在サイトが踏み台として悪用されている様子もうかがえました。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net














