【危険】「line.me」から始まるから安心、ではない——LINE本人確認メールの裏に隠されたサブドメイン偽装の正体

2026年6月23日

🔴 緊急度：高

【危険】「line.me」から始まるから安心、ではない——LINE本人確認メールの裏に隠されたサブドメイン偽装の正体

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

LINEヤフー株式会社を名乗り、「ご登録の携帯電話番号による本人確認」を求めるメールが届きました。リンク先のURLは「line.me」という文字列から始まっており、一見すると公式サイトに見えます。しかし実際にこのドメインを管理しているのは、LINEとは一切関係のない別の会社でした。すでにGoogleのセーフブラウジングとウイルスバスタークラウドの両方が、このサイトを「フィッシング」として検出済みです。

※重要：本文中のリンクは絶対にクリックせず、携帯電話番号やSMS認証コードは絶対に入力しないでください。LINEアカウントが乗っ取られると、登録されている友人・家族にまで詐欺被害が広がる恐れがあります。

緊急性レベル	★★★★★ (5/5) LINEアカウント乗っ取りは友人・家族への二次被害に直結しやすい
偽装工作精度	★★★★☆ (4/5) サブドメイン偽装と偽セキュリティ画面の作り込みは精巧

■ メールヘッダー解析（送信者情報）

件名：[spam] 【重要】ご登録の携帯電話番号による本人確認手続きのお願い

表示上の送信者名：“LINEヤフー株式会社”

送信元アドレス：marketing-offers@orders.hoenixivan.com

送信元IP：34.165.160.250（Google Cloud上のサーバー）

受信日時：2026年6月23日 09:50

SPF認証：Pass（ただし要注意）

DKIM署名：あり（攻撃者自身が管理するドメインに対する署名）

ご覧の通り、このメールはLINEヤフーを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。本文中のリンクはクリックできない形式にしてあります。

件名：[spam] 【重要】ご登録の携帯電話番号による本人確認手続きのお願い
送信者："LINEヤフー株式会社" <marketing-offers@orders.hoenixivan.com>

このたびはLINEおよび関連サービスをご利用いただき、ありがとうございます。
お客様のアカウントにおいて、通常とは異なる端末またはご利用環境からのアクセスが確認されたため、セキュリティ保護の観点から、一部機能のご利用を一時的に制限しております。

■ 制限解除には、ご登録の携帯電話番号による本人確認が必要です。
■ SMSで送信される認証コードを入力し、本人確認を完了してください。
■ 確認期限：6月23日 23:59

＼SMS認証へ進む／（クリック不可）

※上記リンクより本人確認手続きを完了次第、利用制限は解除されます。
※ご本人様による操作であった場合でも、安全確認のため本人確認手続きをお願いいたします。

本メールは送信専用のメールアドレスで送信しております。
本メールに返信いただいてもご回答いたしかねますので、あらかじめご了承ください。

----------------------------------
LINE
発行：LINEヤフー株式会社
住所：東京都千代田区紀尾井町1-3
編集：LINEセキュリティチーム
発行日：　　2026年6月23日　（不定期配信）
© LY Corporation

※実際に届いたメールの画面です。

本文の作り込み自体はかなり丁寧で、住所や発行元名、不定期配信である旨まで添えられており、一見すると本物のお知らせと見分けがつきにくい内容です。「ご本人様による操作であった場合でも、安全確認のため本人確認手続きをお願いいたします」という一文も、心当たりがない人ほど「念のため確認しなければ」と思わせる、よくできた誘導文句です。

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
※メールヘッダー詳細は個人情報保護のため非掲載

送信元IP：34.165.160.250（逆引きするとgoogleusercontent.com——Google Cloud上のサーバーであることが分かります）

【偽装判定】：
LINEヤフーの公式メールドメインは line.me や linecorp.com 等です。本メールの送信ドメイン「orders.hoenixivan.com」は、LINEとは一切関係のない、攻撃者が独自に管理するドメインです。さらにヘッダーを遡ると、「security-newsletter」「newsletter-friends」といった、いかにも無害な配信サービスを装った別ドメインを中継して送られていることも確認できました。多段階の経由を使うことで、送信元の特定をしにくくしているとみられます。

発信元ロケーション解析：
IPアドレス調査：【ip-sc.netで詳細を確認する】

ヘッダーをよく見ると、メールの宛先や件名を示す項目名が「fROM:」「suBJeCT:」「meSSAGe-Id:」のように、大文字と小文字がでたらめに混ざっていました。正規のメールサーバーや市販の配信ツールであれば、こうした項目名は「From:」「Subject:」のように決まった書式で統一されているはずです。攻撃者が独自に作った（あるいは粗悪にコピーした）送信プログラムを使っている証拠と見られ、見えないところでの手抜きが透けて見えます（笑）。

■ フィッシングサイト詳細解析——「line.me」で始まるサブドメイン偽装の手口

誘導先URL（伏せ字）：hxxps://line.me.ja.salomeni[.]com/（一部伏字）

リンクドメイン：このドメインを実際に管理しているのは「salomeni.com」であり、「line.me」はその前に付け足された、攻撃者が自由に設定できる文字列（サブドメイン）にすぎません。インターネット上のドメインは、文字列の一番うしろから2つ目のまとまり（この場合は「salomeni.com」）が本当の管理者を示します。前に何を付け加えても良いため、「line.me.ja」のように見慣れた言葉を頭にくっつけて、本物だと信じ込ませる手口です。

サイトサーバーIP：8.209.209.203（Alibaba Cloud上のサーバー）
IPアドレス調査：【ip-sc.netで詳細を確認する】

【サイトの状態】：Google Chromeのセーフブラウジング機能、およびトレンドマイクロ「ウイルスバスタークラウド」の両方で、このサイトはすでに「フィッシング」として検出・警告される状態になっていました。

※Google Chromeが自動でブロックしてくれた画面です。

※セキュリティソフトもこのサイトを危険だと判定していました。

※警告を無視して進むと表示される、本物そっくりの偽サイトです。

警告を乗り越えて先に進むと表示されるのは、LINEのロゴをそのまま使った、電話番号の入力欄だけのシンプルなログイン画面です。ここで電話番号を入力してしまうと、その後SMSで届く認証コードの入力まで求められ、最終的にLINEアカウントへ不正アクセスされてしまう恐れがあります。LINEアカウントが乗っ取られると、攻撃者が本人になりすまして友人・家族に「電子マネーを買って送って」などとメッセージを送る、二次被害の踏み台にされる事例が多く報告されています。

■ 注意点と対処法

URLの「ドメインの本体」を確認する：アドレスの中に「line.me」という文字列が見えても、本当の管理者は末尾から2つ目のまとまり（今回は「salomeni.com」）です。見慣れた言葉が頭に付いているだけで安心しないでください。
携帯電話番号・SMS認証コードを入力しない：LINEの公式な本人確認は、メール内のリンクから行うものではありません。
ブラウザやセキュリティソフトの警告を無視しない：「危険なサイト」「フィッシングサイト」という警告が出た時点で、それ以上進まないでください。
公式アプリから確認する：アカウントに関する通知は、LINEアプリ内の通知や公式サイトから直接ご確認ください。
公式注意喚起の参照：LY Corporation「なりすましメール・フィッシング詐欺に関する注意喚起」

本レポートの結論

「ご登録の携帯電話番号による本人確認」を求めるこのメールは、リンクのドメインが「line.me」から始まることで安心させる、典型的なサブドメイン偽装の手口でした。実際の管理者は無関係な別会社で、すでにGoogleとウイルスバスターの両方がフィッシングサイトとして検出していました。LINEアカウントの乗っ取りは、本人だけでなく友人・家族への二次被害にも直結します。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net