| みなさん、こんにちは。
頼れる街のIT専門家、Heartlandです。 当ラボに、極めて狡猾で従業員の心理を巧みに突いた危険な迷惑メールが持ち込まれました。
今回ご紹介するのは、外部の有名ブランドを単に騙るのではなく、組織内の「ITサポート部」を巧妙に装って「Microsoft 365 アカウント」の検証を迫る、いわゆる「ビジネスメール詐欺(社内なりすまし型)」の極めて悪質な手口です。 社内のセキュリティ強化のお知らせに見せかけていますが、その実態は、従業員を不安に陥れて大音量警告と画面ロックで脅す「サポート詐欺サイト」へと引きずり込む罠(情報を盗み出したり高額な金銭を騙し取ったりする不正な仕掛け)です。
手遅れになる前に、この凶悪な罠の裏側を手抜きなしで徹底的に剥ぎ取っていきましょう。
■ 最近のスパム動向 今回ご紹介するのは「Microsoft 365(マイクロソフト365)」の社内サポートを騙るメールですが、関連記事もページ末尾に記載のデーターベースアーカイブからご覧頂けます。 ⚠️ 開封だけでも油断は大敵です このような不審メールは、メールを開いた(閲覧した)だけではすぐに実質的な金銭被害や端末の破壊が発生するわけではありません。
しかし、画像付きのメールや「開通通知(メールが読まれたことを発信元に自動で知らせるシステム)」が仕込まれている場合、あなたのアドレスが現在もしっかり使われているという「アドレス生体通知(アクティブアカウントの確認)」が攻撃者側に伝わってしまいます。 これにより、「このアドレスは騙せる可能性がある」と判定され、今後さらに凶悪な詐欺メールの送信対象リスト(カモリスト)に入れられてしまう危険性があります。
つまり、不審なメールは不用意に中身を深追いせず、関わらないことが最大の防御になるということです。 ⚠️ 危険度・緊急度評価
★★★★☆ (4 / 5)
※社内の「ITサポート部」という、従業員が最も信頼して拒否しにくい肩書きを悪用しており、指示に従わないと「業務に支障が出る」と脅迫している点、そして最終着地が恐怖心を煽る「サポート詐欺」であるため、星4の厳重警戒とします。
|
■ 受信した不審メールの基本情報 | 件名(Subject) | [spam] 【重要・システムセキュリティ】Microsoft 365 アカウントの緊急本人確認および同期設定のお願い | | 送信者(From) | it-support@(※受信者のドメイン) | | 受信日時 | 2026年5月27日 10:39 | 件名の見出しに「[spam](スパム)」という文字が付けられていますが、これは受信側のメールサーバーが「このメールは悪質な迷惑メールの可能性が非常に高いですよ」と自動的に判定して刻印してくれた警告のサインです。 ご覧の通り、このメールは社内のシステムチームを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族や会社の同僚のLINEグループに転送して注意喚起してください。
■ 受信メール画面のスクショと本文の完全再現 【不審メールの本文画面 スクショ】 | 従業員を罠にかけるための視覚的なレイアウトに騙されず、中身を冷静に突き合わせられるよう、届いたメールの本文をここにできる限り忠実に再現します。
社員各位いつも大変お世話になっております。ITサポート部でございます。
現在、社内の情報セキュリティ強化および最新のセキュリティプロトコル(2026年度版)への移行に伴い、
全社員を対象としたアカウントの定期監査を実施しております。 本日中に以下のリンクより社内ポータルにログインし、システム同期および本人確認(MFA設定の再検証)を完了させてください。 ■ セキュリティ同期専用ページ ※ 本作業が行われない場合、明日以降、社内チャット(LINE WORKS / Teams)および社内メールへのアクセスが一時的に制限され、
業務に支障が出る可能性がございます。 お手数をおかけいたしますが、社内セキュリティ維持のため、ご理解とご協力のほどよろしくお願い申し上げます。 社内ITサポート部・情報セキュリティ統括チーム
お問い合わせ: it-support@(※受信者のドメイン) | 【スクショを見た感じの素直な印象】
日本の一般的なビジネスメールの定型文に完全に準拠しており、日本語の崩れや違和感が全くありません。
「MFA設定(多要素認証の設定)」や「LINE WORKS」「Teams」といった実際の社内ツール名が具体的に並んでいるため、業務連絡として素直に信じ込んでしまう非常に危険な仕上がりです。 【メールの目的および感想】
このメールの最大の目的は、送信者と問い合わせ先を「受信者自身の会社のドメイン」に偽装することで、一切の警戒心を解くことです。
そして「本日中」という極めて短い期限を切り、「社内チャットやメールを止める」と脅迫することで、焦った社員に確認を怠らせて青いテキストリンクを踏ませようとしています。
自社のドメインから送られているように見えても、これは攻撃者がヘッダー情報を偽造して送りつけた「なりすまし」です。 つまり、送信者のメールアドレスや文面のそれっぽさだけで本物と信用してはいけないということです。
■ メールヘッダー情報の詳細解析
⚠️ ヘッダーのスクショ掲載について:
メールヘッダー情報には、受信者側の詳細なサーバー環境やプライバシーに関わる経路データ(メールボックスの具体的なホスト名など)が記録されています。
セキュリティ上の二次被害を防ぐため、ヘッダーのスクリーンショット画像は掲載を控え、解析に必要な核心データのみを徹底的な伏字処理(マスク処理)をした上でテキスト形式にて公開いたします。
| 送信者アドレス(From)には、受信者側の正当な社内ドメインが記載されていました。
しかし、メールの配送ルートが記録される「Received」ヘッダーを、時系列の最も古い大元まで遡って解析すると、騙しきれない犯行の足跡がくっきりと浮かび上がります。 | Received-SPF | Softfail (domain owner discourages use of this host)
client-ip=195.142.25.185; | | 最古のReceived | from host-195-142-25-185.reverse.superonline.net (unknown [195.142.25.185])
by (※受信者側サーバー) (Postfix) with ESMTP id 4784A2B9BF8
for <(※受信者メアド)>; Wed, 27 May 2026 10:39:58 +0900 (JST) | 【メアドIPとReceivedのIPを比較した偽装判定】 送信者の表示は受信者の社内ドメインであるにもかかわらず、実際にメールが世界で最初にインターネットへ放たれたサーバーのIPアドレスは「195.142.25.185(トルコ)」です。
当然、受信者側の本物のドメインがトルコのこのサーバーを送信元として認めているはずがないため、なりすましを防ぐセキュリティ規格「Received-SPF」は見事に「Softfail(送信元の偽装判定)」を弾き出しています。 つまり、送信者とお問い合わせ先に書かれているドメインは、受信者(あなたの会社)のドメインを完全に盗用してでっち上げられた偽物の案内だということです。
■ 仕掛けられたリンク先URLと不審なインフラ情報 メール本文にある「■ セキュリティ同期専用ページ」という文字に仕込まれていた、実際のジャンプ先URLを解剖します。 【クリックを誘うリンク箇所と隠されたURL】
・隠されていた実際のURL: h**ps://login.sunwellhotel.com/?ac7UCg9xoGb2&type=ponta
(※安全のため、URLの先頭を伏字に変え、リンクが機能しないよう無効化しています。一部に伏字を含みます) この悪質なドメインについて、割り当てられているサーバーの住所(IPアドレス)を割り出したデータがこちらです。 | リンク先ドメイン | login.sunwellhotel.com | | ドメインのIPアドレス | 104.21.31.206 / 172.67.181.168 | | 物理ロケーション | アメリカ合衆国 カリフォルニア州(United States / California)
緯度・経度:37.7749, -122.4194 (Googleマップで位置を確認)
※ドメインの技術情報の確認用:
awebanalysis /
Whois | | URLが危険なポイント | 実在する無関係なホテル関連と思われるドメインのサーバー、またはCloudflare(クラウドフレア)のネットワークを踏み台にして、不正なプログラム(詐欺のコード)を稼働させています。末尾の「type=ponta」など、他の共通ポイントサービスを狙うコードを使い回している形跡も見られます。 | | 現在の稼働状況 | 稼働中(フィッシングサイトとして危険) | | 【Googleによるアクセスブロック画面 スクショ】 
| 【クローキングによる隠蔽の罠に注意】
現在、このサイトはGoogleのセーフブラウジング機能などにより「危険なサイト」としてブラックリストに登録され、一般のブラウザ(Chromeなど)で踏むと真っ赤な警告画面で遮断されるようになっています。 しかし、社内の監視ネットワークやセキュリティパトロールの自動調査がアクセスした際には、フィッシング詐欺の正体を見破られないよう、意図的に「アクセス拒否 リクエストがブロックされました。後ほどお試しください。」という何気ないシステムエラーページを返す「クローキング(アクセス者の正体に応じて表示を騙し分ける工作)」を行っている可能性が極めて高いです。
だまされた会社の従業員が個人のブラウザからアクセスした時だけ、牙を剥く仕組みになっています。 つまり、「アクセス拒否」の画面が出たからといって、単なるリンク切れや安全なサイトだと誤認してはいけないということです。
■ 最終トラップ:恐怖の「画面ロック型サポート詐欺」 この不正なURLを踏み、クローキングの網をすり抜けて進んでしまうと、ブラウザの画面が突如として「Windowsのシステム警告画面」に切り替わります。 【マイクロソフトサポート詐欺 偽警告画面(大音量警告) スクショ】 | 画面には「Windows Defender 保証管理センター」や「Windows保護センター」というもっともらしい偽のロゴが立ち上がり、「Microsoft Windows 防衛システムからの警告! 悪意のあるトロイの木馬プログラムを検出(識別コード: #DX4K9R2P)」という赤文字のメッセージが大々的に表示されます。 これと同時に、パソコンのスピーカーから「ピー、ピー」と激しい警告音が大音量で鳴り響き、マウスカーソルが消えたり全画面表示が固定されたりして、一見するとパソコン全体が完全にロックされて操作不能になったかのような状態(フリーズの偽装)を作り出します。 そして、パニックになったユーザーに対し、画面の右下や中央に「テクニカルサポート:(0101) 87747-04156(技術サポート窓口)」という嘘の電話番号を提示し、「今すぐここに電話しろ」と激しく要求してくるのです。 つまり、社内ポータルのログインに見せかけて、最終的にはユーザーを恐怖で縛り、海外の詐欺集団へ電話をかけさせるための劇場型サポート詐欺だということです。
■ メール・詐欺画面の注意点と適切な対処方法 - 絶対に画面の電話番号((0101) 87747-04156)に電話しない:
これはマイクロソフトの公式窓口でも、あなたの会社のITサポート部でもありません。電話をかけると、片言の日本語を話す詐欺師に遠隔操作ソフトを入れられ、最終的に数万円〜数十万円の電子マネー(Apple Gift Cardなど)をコンビニで買わされて騙し取られます。 - 大音量の警告音とフリーズは「ブラウザ上のただの演出」:
パソコンはウイルスに感染していませんし、壊れてもいません。ただのインターネット画面(WEBページ)が、全画面表示のコードと音声ファイルのループ再生を使って、あなたを驚かせようと必死に演技しているだけです。 - 落ち着いてブラウザを強制終了する:
キーボードの「Ctrl」+「Alt」+「Delete」キーを同時に押し、表示された画面から「タスクマネージャー」を選択して起動してください。動いているブラウザ(Microsoft EdgeやGoogle Chromeなど)を選んで「タスクを終了」ボタンを押せば、うるさい音も偽の画面も一瞬できれいに消え去ります。 - 常に最新の公式注意喚起を確認する:
本物のマイクロソフトでも、このような「サポート詐欺」の手口に対して強く警戒を呼びかけています。不審な画面に遭遇した際は、あらかじめ公式の解説ページをブックマークしておき、冷静に参照する癖をつけましょう。
🔗 マイクロソフト公式:サポート詐欺対策・不審メールへの注意喚起ページ
■ まとめ 今回の「Microsoft 365 アカウントの緊急同期」を騙るメールは、会社の同僚や上司の信頼を裏切る形で社内サポートを装い、最終的に高額なお金を強奪する「サポート詐欺」へと直結させる最悪の罠でした。 どれだけメール文面が本物らしく見えても、裏側の配信ルート(ヘッダー)を解析すれば、このように海外を踏み台にした偽物であることが一発で判明します。この手口をあらかじめ知っていれば、会社のデスクで突然音が鳴り響いても、クスッと笑ってタスクマネージャーで消し去ることができるはずです。 「会社のパソコンがハッキングされた!」と、同じ職場の仲間や大切な身近な人がパニックになって騙されてしまう前に、この事実を共有してあげてください。
「会社のITサポートを名乗るメールでも、変なリンクを踏んだら大音量で脅される詐欺につながるよ!もし鳴っても絶対に電話しちゃダメだよ!」と、この記事のURLをコピーして、職場のチャットや大切な家族のLINEグループに今すぐ転送して注意喚起してあげてくださいね。 関連する過去の解析事例はこちらから検索できます。
📌 同じ手口の関連記事:
【実録】インフラ系を装い同様の手口で不正サイトへ誘導する「東京電力」を騙る詐欺メールも確認されています→こちら
| | 
