【詐欺判定】LinkedIn「支払期限超過の請求書」は、返信させて口座を聞き出す罠だった

HL-META: date=2026-07-06 | brand=LinkedIn | sender_geo=シンガポール | site_geo=該当なし(誘導先サイトなし・返信誘導型) | spf=softfail | dkim=不明 | cloaking=no

【詐欺判定】LinkedIn「支払期限超過の請求書」は、返信させて口座を聞き出す罠だった

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

今回ご紹介するのは、ビジネス特化型SNS「LinkedIn」の法人向けサブスクリプションについて「支払期限を大幅に超過している」と一方的に通告してくる詐欺メールです。フィッシングサイトへのリンクも、添付ファイルも一切ありません。その代わりに仕掛けられていたのは、返信させて直接やり取りに持ち込む「BEC(ビジネスメール詐欺)」型の罠でした。

※重要:URLをクリックしなくても、返信することで攻撃者との直接のやり取りが始まり、口座情報や送金を求められる危険があります。

緊急性レベル ★★★★☆ (4/5)
偽装工作精度 ★★★☆☆ (3/5)

■ メールヘッダー解析(送信者情報)

件名:【支払期限超過の請求書】至急ご対応ください ─ コンプライアンス上の期限が迫っています…

送信者名:Linkedin

送信元アドレス:customerservce@linkedin.com(”service”の綴りが誤っている点に注意)

返信先アドレス:linkedininvpayment@gmail.com

実際の送信サーバー:139.99.104.151(vps173856.vps.ovh.ca)

受信日時:2026年7月6日 14:22(JST)

添付ファイル:本文では「添付した」とされていますが、実際には何も添付されていません

※メールヘッダー詳細(Receivedフィールドの生ログ等)は個人情報保護のため非掲載

ご覧の通り、このメールはLinkedIn本社とは無関係の第三者が仕組んだ架空請求です。被害を未然に防ぐため、この解析結果を家族や職場のLINE・チャットで共有して注意喚起してください。

 

※実際に届いたメールの画面です(宛先は伏せてあります)。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。


お客様サービス利用規約に基づき、LinkedIn法人向けサブスクリプションの初回お支払い期限が経過していることをお知らせいたします。請求書番号 #1011296546 に関する未払いについてご連絡申し上げます。本請求書は支払い期限を大幅に過ぎており、これまでに何度かご案内を差し上げましたが、現在に至るまでご入金やご連絡をいただいておりません。当該アカウントには7営業日の猶予期間が設けられております。ご参考までに請求書の写しを添付いたしましたので、内容をご確認の上、直ちにお支払いのお手続きをお願い申し上げます。本件につきまして、早急にご対応いただけますようお願い申し上げます。

敬具
Gary Hobbs
シニアマネジメント|売掛金・回収担当アナリスト
LinkedIn Corporation

💡ここで!

「BEC(ビジネスメール詐欺)」とは

実在する企業や取引先になりすまし、メールのやり取りだけで振込や送金を促す詐欺の手口です。フィッシングサイトへのリンクや不審な添付ファイルを使わないため、セキュリティソフトのURLフィルタやウイルススキャンをすり抜けやすく、「返信」という一見安全に見える行動そのものが罠になっている点が特徴です。

まず違和感があるのは、送信者名が正式表記「LinkedIn」ではなく「Linkedin」となっている点、そしてメールアドレスの「service」が「servce」と綴られている点です。Received-SPF(送信元メールサーバーが正規かどうかを確認する仕組み)の結果も「Softfail」、つまりLinkedIn自身が「このサーバーからの送信は認めていない」と表明している状態でした。「請求書の写しを添付いたしましたので」と書いておきながら、実際には何も添付されていないという詰めの甘さも見逃せません(笑)。

■ 送信ルート及び偽装判定

送信元IPアドレス:139.99.104.151(`Received-SPF`のclient-ip値から採用。KAGOYA側の中継記録は送信元として扱っていません)

【偽装判定】:
正規のLinkedInからの請求関連メールは、LinkedIn公式のシステムから配信されます。本メールの実際の送信元「vps173856.vps.ovh.ca」は、フランスのホスティング会社OVH社が提供する一般向けレンタルサーバー(VPS)であり、LinkedInの公式インフラとは一切関係がありません。

発信元ロケーション解析:
シンガポール(緯度1.27994, 経度103.849)
Googleマップ:【位置情報を確認する】
IP詳細:【ip-sc.netで詳細を確認する】(脅威レベル:低)

■ 返信誘導ルートの解析(フィッシングサイトは存在しません)

本メールにはクリックを誘導するリンクも、開封を促す添付ファイルもありません。その代わりに使われているのが「Reply-To(返信先)」の書き換えという手口です。

本文中の送信元表示:customerservce@linkedin.com

実際の返信先:linkedininvpayment@gmail.com

【手口の仕組み】:
受信者が「請求書が添付されていないようですが」などと返信すると、送信元アドレスではなくこのGmailアドレスに届きます。そこから先はメールのやり取りだけで「至急こちらの口座へお振込みください」といった形に持ち込まれる典型的な流れです。フィッシングサイトが存在しないため、ウイルスバスター等のURLブロック機能では検知できない点が、この手口の厄介なところです。

■ 注意点と対処法

  1. このメールには絶対に返信しないでください。返信すること自体が、攻撃者との接点を開くことになります。
  2. 口座情報の記載や振込を求められても絶対に応じないでください。身に覚えのない請求は無視するのが原則です。
  3. 公式サイトで確認:本物のLinkedInからの請求書は、必ずLinkedIn公式サイトの「請求・支払い管理」画面から確認できます。メール本文の内容を鵜呑みにしないでください。
  4. 公式注意喚起の参照:LinkedInは公式ヘルプセンターで、なりすましメールやフィッシングに関する注意喚起を行っています。心当たりのないメールを受け取った場合は、LinkedInアプリ内のヘルプセンターから報告してください。

本レポートの結論

今回の詐欺メールは、リンクも添付ファイルも使わず「返信」という一見無害な行動そのものを罠にした、フィッシング対策ソフトをすり抜けやすいタイプの手口でした。身に覚えのない請求書メールが届いても、絶対に返信せず、公式サイトで直接確認する習慣が一番の防御になります。身近な人が同じ手口に引っかかってからでは手遅れです。この記事のURLをコピーして、家族や職場のチャットで『これ気をつけて!』と共有してあげてください。

※ロケーション情報は調査時点(2026年7月6日)のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る