「【重要】メールアカウント停止のお知らせ」は詐欺!自社ドメインを騙り7通同時送信でメールパスワードを狙うBEC型フィッシングの手口を緊急解説
🔴 緊急度:高
| 緊急性レベル | ★★★★★(5/5) |
| 偽装工作精度 | ★★★★☆(4/5)自組織ドメイン偽装+Netlify悪用+精巧な偽ログイン画面 |
■ 今回届いた7通の詐欺メール一覧(A/Bテスト型攻撃)
| 件名 | 送信者名 |
|---|---|
| 【緊急】メールアカウントが失効します | Security Team |
| 【緊急】メールアカウントが失効します | アカウントチーム |
| 【緊急】メールアカウントが失効します | システム管理者 |
| 【警告】メールアドレス停止のご案内 | メールサービス |
| 【重要】メールアカウント停止のお知らせ | アカウント保護センター |
| 【重要】メールアカウント停止のお知らせ | アカウント保護センター |
| 【重要】メールアカウント停止のお知らせ | Support |
※全通、送信元アドレスは受信者の所属組織ドメインに偽装(非公表)。全通SPF Softfail・DKIM署名なし。
「Security Team」「アカウントチーム」「システム管理者」「メールサービス」「アカウント保護センター」「Support」——どの送信者名が最も信頼されやすいかをテストする悪質なA/Bテスト型攻撃です。
▲ 実際に届いた詐欺メールの1通。送信元アドレスが受信者の組織ドメインに見え、「このまま確認されない場合、アカウントは失効し、過去の全メールデータが永久に失われます」という強烈な脅し文句が使われている。
このメールは自組織を装った詐欺メールです。送信元が社内ドメインに見えても、リンクは絶対にクリックしないでください。職場のメンバーにも必ず共有してください。
詐欺メール本文(忠実再現)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。個人情報部分は伏せ字にしています。リンクはすべて無効化しています。
【重要】メールアカウント停止のご案内 お客様の contact@[非公表].jp メールアカウントのセキュリティ確認期限が迫っています。 このまま確認されない場合、アカウントは失効し、過去の全メールデータが永久に失われます。 メールアカウントを失わないために、以下のリンクから今すぐ確認をお願いします: [リンク無効化済み] [組織名] デジタルセキュリティ部
「自組織なりすましBEC攻撃」の仕組み
■ なぜ自社ドメインからメールが届くのか
「BEC(Business Email Compromise:ビジネスメール詐欺)」とは、取引先や社内の権威ある部署を装ったメールで騙す手口の総称です。今回は特に悪質な「自組織なりすまし」パターンで、送信元アドレスが受信者自身の組織ドメイン(例:〇〇@自社.jp)に見えるよう偽装されています。
メールの「From(送信元)」フィールドは技術的に自由に書き換えられます。SPFやDKIM(送信元を検証する仕組み)がSoftfailや未設定の場合、このような偽装メールがフィルターをすり抜けてしまうことがあります。今回はSPFがSoftfail(怪しいと判定)となっており、正規の送信元ではないことが証明されていますが、メールソフトによっては警告が表示されないこともあります。
■ 正規サービス「Netlify」を悪用した偽ログイン画面
誘導先URL「clinquant-muffin-5d1050.netlify.app」の「netlify.app」は、米国の正規ウェブホスティングサービス「Netlify(ネットリファイ)」のドメインです。誰でも無料でウェブサイトを公開できるため、攻撃者に悪用されやすいサービスです。正規企業のドメインが使われているため、セキュリティソフトや組織のフィルターをすり抜けやすくなります。
▲ Netlify上に構築された偽のメールログイン画面。Active!mail(国内で広く使われているウェブメールサービス)のログイン画面を精巧に模倣。受信者のメールアドレスがあらかじめ入力された状態で表示され、パスワードの入力を促す。URLバーには正規サービスのアドレスが表示されているように見せる工夫もされている。
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダー(メールがどのサーバーを経由してきたかの通過記録)の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from mx.sansetubi.jp (host.212-19-23-205.broadband.redcom.ru [212.19.23.205]) by 受信者側サーバー(非公表) with ESMTPS
【偽装判定】:
送信元アドレスは受信者の組織ドメインに見えますが、実際の送信サーバーは host.212-19-23-205.broadband.redcom.ru(IP:212.19.23.205)というロシア系ISP(インターネット接続業者)「Redcom(レドコム)」のブロードバンド回線からの送信です。SPFがSoftfailとなっており、正規の送信元でないことが証明されています。
送信元IP:212.19.23.205(ロシア)
Googleマップ:【位置情報を確認する(ロシア・モスクワ付近)】
誘導先URL(伏せ字):hxxps://clinquant-muffin-5d1050.netlify[.]app/(一部伏せ字)
誘導先IP:18.208.88.157(AWS(アマゾン ウェブ サービス)/米国——Netlifyが使用するクラウドインフラ)
注意点と対処法
■ このようなメールが届いた場合の対処法
- 送信元アドレスを詳しく確認する:送信者名や表示上のアドレスが自社ドメインに見えても、メールヘッダーの「実際の送信元サーバー(Receivedヘッダー)」を確認してください。ロシアや中国など海外のサーバーから来ていれば偽装メールです。
- リンクをクリックしない:「netlify.app」「github.io」「vercel.app」など、一見すると正規サービスのURLでも、攻撃者が無料で取得して偽サイトを構築できます。クリックしないでください。
- 社内の正規ルートで確認する:「システム管理者からのメール」と思ったら、リンクをクリックせず、直接IT部門や管理者に電話・社内チャットで確認してください。
- 既にパスワードを入力してしまった場合:すぐにメールのパスワードを変更してください。同じパスワードを他のサービスでも使っている場合はそちらも変更が必要です。IT管理者にも速やかに報告してください。
- 職場全体に注意喚起する:今回のように複数のアドレスに同時送信されている場合、同僚が被害に遭っている可能性があります。職場のメンバー全員に共有してください。
■ 関連記事
当ブログでは同様のBEC型詐欺メールを過去にも取り上げています。あわせてご覧ください。
【実録】「Chromiumブラウザ脆弱性(0-day)緊急アップデート」社内セキュリティ部を装ったBEC型サポート詐欺
本レポートの結論
本件は受信者の組織ドメインを送信元に偽装し「メールアカウントが失効する・全データが消える」という恐怖で冷静な判断を奪い、正規ホスティングサービスNetlifyを悪用した偽ログイン画面へ誘導するBEC型フィッシング攻撃です。件名・送信者名を7パターン変えた同時送信でA/Bテストまで実施しており、組織的・計画的な攻撃であることが伺えます。実際の送信元はロシア系ISPからの送信であり、日本の組織とはまったく無関係です。メールのパスワードを盗まれると、その後のすべてのメール通信が攻撃者に筒抜けになります。職場でこのようなメールを受け取った方は、ご自身だけでなく同僚にも必ず共有してください。身近な人が騙されてからでは手遅れです。
調査日:2026年6月10日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
