【公開】件名「KAGOYA登録サービス自動警告通知」の詐欺メールを徹底解析！

2026年5月21日

【徹底解析】KAGOYAを騙る極悪フィッシングメールを解剖する（2026年5月21日観測）

公開日: 2026年05月21日 | 執筆・監修: Heartland-Lab

読者の皆様、本日もセキュリティ対策お疲れ様です。Heartland-Labです。

2026年5月21日の早朝、ホスティングサーバー大手である「カゴヤ・ジャパン（KAGOYA）」の自動警告通知を巧妙に装った、非常に悪質なフィッシングメールの着信をリアルタイムで観測・捕獲いたしました。

今回の攻撃は、複数の国内大手IT事業者のブランド名を支離滅裂に混在させつつも、技術的なエラー数値を具体的に提示することで、受信者の心理的焦燥を煽る極めて卑劣な手口が使われています。当ラボにてリターンパスの追跡およびヘッダ情報の詳細なデコードを行いましたので、手抜きなしのフルボリュームでその全貌を徹底解説いたします。

1. 偽装されたメール本文とブランド混在の不条理

まずは、実際に送りつけられてきたメールの全容を確認します。一見すると、HTMLメールで綺麗に装飾されており、赤い境界線で囲まれた「警告レベル：重要（Critical Error）」という文言が目を引きます。しかし、プロの目で一瞥すれば、その構造は矛盾と違和感に満ち溢れています。

（メール本文）

■ テキストから読み解く致命的な「3大矛盾」

【重要】KAGOYA 登録サービス自動警告通知

管理番号：JP-BGL-2026-0510-09
発行日時：2026年05月11日 09:30

[お客様名 / 担当者名] 様

平素よりKAGOYAビジネスサービスをご利用いただき、誠にありがとうございます。
本電子メールは、ご登録アカウントのシステム自動監視による安全評価に基づき、異常が検知されたお客様へ自動送信されています。

■ 警告レベル：重要 (Critical Error)

契約管理システムおよびデータ整合性に著しい不一致が確認されました。以下の内容をご確認いただき、至急ご対応をお願いいたします。

▼ 検知詳細情報

対象ノード：TOKYO-BGL-NODE-04
エラーコード：E-099-PIVOT
検知値　　：0.082 (許容範囲: 0.005以下)

▼ お手続き・対応方法

管理コンソールへ直接アクセスし、登録プロファイルの整合性チェックを行ってください。
アクセスURL：https://sso.active.mail.jp/account/restorel

1. 上記リンクから KAGOYAビジネス会員シングルサインオン（SSO）システムに移行します。
2. マイページ内「サポート・警告履歴」より該当の管理番号を選択してください。
3. 画面上の案内に従い、登録内容の確認および修正を実行してください。

BGL
業務印

① 送信者名とドメインの完全な乖離
件名では「KAGOYA登録サービス自動警告通知」と謳っているにもかかわらず、送信者表示名は「ビッグローブ株式会社管理コンソール」、さらに実際の送信元メールアドレスは `support@gmo[.]mail[.]jp` となっています。カゴヤ、BIGLOBE、GMOという、国内の競合ホスティング・インフラ事業者の名前が1通のメールに同居するわけがありません。攻撃者が複数のテンプレートを雑に切り貼りした証拠です。

② 存在しない架空のエラー値による脅迫
本文中には「対象ノード：TOKYO-BGL-NODE-04」「エラーコード：E-099-PIVOT」「検知値：0.082（許容範囲：0.005以下）」といった、いかにもそれらしいシステムログ風の文字列が並んでいます。これは、専門知識のないシステム担当者をパニックに陥れ、冷静な判断力を奪ってリンクをクリックさせるための心理的トラップ（ソーシャルエンジニアリング）です。

③ 誘導先URLの伏字解析
メール内に記載されているアクセス先は `https://sso[.]active[.]mail[.]jp/account/restore1` となっています。一見、ビジネス向けWebメールとして有名な「Active! mail」の正規ドメインのように誤認させようとしていますが、これもカゴヤの公式ドメイン（`kagoya.jp`）とは一切関係のない、攻撃者が用意した使い捨てのフィッシングインフラです。

2. メールヘッダが暴く送信元の真実（南米パラグアイからの襲来）
メールがどのサーバーを経由して送りつけられたのか、ヘッダ情報のRAWデータを解析することで、攻撃者の足跡を完全に炙り出すことができます。

■ 経由サーバーの足跡をデコードする

Received: from 145.168.dynamic.fulltelecom.com.py (45.229.168.145)
Received-SPF: None (no SPF record) identity=mailfrom; client-ip=45.229.168.145;

もっとも重要な事実は、カゴヤの受信サーバー（`dmail01.kagoya.net`）が、最初にどのIPアドレスからこのメールを受け取ったかという点です。

ログには `45.229.168.145` というIPアドレスが刻まれています。この逆引きホスト名を確認すると、`145.168.dynamic.fulltelecom.com.py` となっています。トップレベルドメインの `.py` は南米のパラグアイ（Paraguay）を示しており、現地プロバイダである「Fulltelecom」の動的（dynamic）IPプールからの通信であることが確定しました。

日本のホスティング企業や大手IT法人が、ユーザーへの重要通知をパラグアイの個人宅用動的IP回線から配信するなど100%あり得ません。また、`Received-SPF: None` と出力されていることから、送信元を偽装したドメイン（`gmo.mail.jp`）に対するSPFレコードの検証が全く通っていない、典型的な「なりすましメール」であることが技術的に証明されています。

3. ブラウザによる水際阻止と、その先に潜むトラップ

もしも受信者が騙されて本文中のリンクをクリックしてしまった場合、どのような危険に直面するのか。その動的挙動を追跡しました。

（Google セーフブラウジング警告）

現在、主要なWebブラウザ（Google Chromeなど）のセキュリティエンジンが機能していれば、上記のように真っ赤な画面で「危険なサイト」として即座にアクセスがブロックされます。「フィッシング詐欺が検出されました」との警告が表示された時点で、絶対に先へ進んではいけません。

（精巧に偽装されたカゴヤ各種ログインメニュー）

このブロックを無理やり突破、あるいはセキュリティ機能が未平定の環境でアクセスした場合、上記のようなカゴヤ・ジャパン公式の「各種ログイン」メニューに酷似した偽ページが表示されます。

「レンタルサーバーコントロールパネル」「Active! mail（WEBメール）」「KAGOYA CLOUD VPS」など、ターゲットに応じた複数のログイン導線が用意されており、ここでIDやパスワードを打ち込んでしまうと、即座に攻撃者のデータベース（C2サーバー）へと情報がリアルタイムで転送・窃取されます。

4. 被害に遭わないための絶対的防衛ライン

このようなインフラ乗っ取りを狙うフィッシング詐欺から自社の資産を守るためには、以下の鉄則を社内で共有・徹底することが不可欠です。