【調査報告】無印良品「5,000円ポイント」詐欺、2通同時着弾——Google Cloud発・PCアクセス拒否の二重クローキング

HL-META: date=2026-06-23 | brand=無印良品(MUJIなりすまし) | sender_geo=米国(Google Cloud Platform) | site_geo=中国・重慶/南アフリカ・プレトリア | spf=pass | dkim=pass | cloaking=yes

【調査報告】無印良品「5,000円ポイント」詐欺、2通同時着弾

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

無印良品(MUJI)の「特別ご優待」「5,000円分のショッピングポイント」を騙るフィッシングメールが、文面と差出人ドメインを変えて2通同時に届きました。いずれもGoogle Cloud Platformの正規IPから送信され、誘導先はパソコンからのアクセスを拒否し、スマートフォンでアクセスした場合だけ携帯電話番号を求める偽サイトを表示する仕組みになっています。Heartland-Labが手口を解析します。

※重要:このメールのリンクは絶対にクリックしないでください。携帯電話番号を入力すると、SMS認証を装った次の詐取段階に進む可能性があります。

緊急性レベル ★★★★☆ (4/5) 携帯電話番号の詐取+クローキングによる解析回避
偽装工作精度 ★★★★☆ (4/5) SPF/DKIM両Pass・2パターン同時配信・PCアクセス拒否

今回確認したのは、「特別ご優待のご案内」(無印良品ショッピングポイント5,000円分)と、「5,000円分のショッピングポイントを受取」という2通です。文面・差出人ドメインは異なるものの、提示される特典額(5,000円分)や受取期限(2026年7月31日)は完全に一致しており、同じ攻撃グループが複数のテンプレートを使い分けて、ほぼ同時刻に配信していると考えられます。

※実際に届いた1通目のメールです。「限られた方々に特別ご優待」という常套文句が使われています。

※実際に届いた2通目のメールです。1通目とは文面が異なりますが、特典額・受取期限は同じです。

ご覧の通り、これらのメールは無印良品を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

■ メールヘッダー解析(送信者情報)

メール1件名:[spam] 【無印良品】特別ご優待のご案内

メール1送信者:“MUJI net store” IXEPHH@odpcojtn.reply.qhzv888.com

メール2件名:[spam] 【MUJI】5,000円分のショッピングポイントを受取

メール2送信者:“MUJI Customer Support” SUTRZI@covrjvlh.support-center.pywtnez.com

※メールヘッダー詳細は個人情報保護のため非掲載

両メールともSPF・DKIMともに正規の認証として通っています。しかしこれは攻撃者自身がGoogle Cloud Platform上に契約した送信用サーバーの認証が通っているだけであり、無印良品の正規メールであることを意味しません。「認証済み=本物」と思い込むのは禁物です。

■ 送信ルート及び偽装判定

メール1送信元IP:35.212.176.150(Google LLC/Google Cloud Platform)

メール1ロケーション:米国・オレゴン州
IP情報:ip-sc.netで確認する

メール2送信元IP:34.108.113.4(Google LLC/Google Cloud Platform)

メール2ロケーション:米国・ロサンゼルス
IP情報:ip-sc.netで確認する

【偽装判定】:正規の無印良品からのメールはmuji.netまたはmuji.com関連の自社ドメインから送信されます。本メールの送信ドメイン「qhzv888.com」「pywtnez.com」はいずれも無印良品とは一切関係がない、攻撃者が取得した使い捨てドメインです。

※PC用URLにアクセスすると、両メールとも「アクセス拒否」と表示され、偽サイトの内容は確認できません。

■ フィッシングサイト詳細解析——PCとスマホで対応が変わるクローキング

メール1誘導先(伏せ字):hxxps://www.kjyuuk[.]com/?QaZZ7uC1IhwHTNTBiLEg56VT

メール1誘導先IP:219.153.32.26(Chongqing Telecom)/ロケーション:中国・重慶市
IP情報:ip-sc.netで確認する

メール2誘導先(伏せ字):hxxps://www.sdykai[.]com/?Rbq7YxKnqpVZOw90k2vmBeuK

メール2誘導先IP:160.124.104.79(Posix Systems)/ロケーション:南アフリカ・プレトリア
IP情報:ip-sc.netで確認する

【PCからアクセスした場合】:両方のURLとも「アクセス拒否」と表示され、内容が一切確認できません。

【スマホからアクセスした場合】:両方とも同一の誘導先(kdekxy.com/home)にリダイレクトされ、「代金券受取」というタイトルの画面が表示されます。「ご入力いただいた電話番号に、認証コードをお送りします」として携帯電話番号の入力を求める作りです。

※文面・差出人ドメイン・誘導先サーバーの拠点(中国/南アフリカ)はそれぞれ異なるのに、スマホでアクセスした際の最終的な着地点(kdekxy.com)は完全に一致していました。入り口は複数用意して摘発リスクを分散させつつ、最終的に個人情報を集める「出口」は一本化しているという、効率的な分業構造がうかがえます。

※スマホ用URLでアクセスした場合に表示される画面です。両方のメールとも最終的に同じこの画面に行き着きます。

■ 注意点と対処法

  1. URLをクリックしない:リンク先は携帯電話番号を盗むための偽サイトです。
  2. 携帯電話番号を入力しない:入力するとSMS認証を装った次の詐取段階に進みます。
  3. 無印良品の公式サイト・アプリで確認:ポイント残高や優待情報は、メール内のリンクではなく公式アプリ「MUJI passport」や公式サイトから確認してください。
  4. 「PCで拒否された=安全」と思わない:スマートフォンでは偽の入力フォームが表示されます。
  5. 公式お知らせの参照:無印良品 公式お知らせページ

本レポートの結論

無印良品の「5,000円分ポイント」を騙る2通のフィッシングメールは、文面・差出人ドメイン・誘導先サーバーの拠点までそれぞれ異なるものの、特典額や受取期限、そして最終的にスマートフォンで行き着く偽サイトの内容まで一致していました。複数の入り口を用意しつつ、最終的な個人情報の収集先は一本化するという効率的な分業体制がうかがえます。パソコンでアクセスが拒否されても安心せず、メールはそのまま削除し、このページを家族のLINEグループで共有してあげてください。

Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る

無印良品,詐欺メールGoogle Cloud Platform,MUJI,クローキング,サイバーセキュリティ,スパムメール,なりすまし,フィッシング詐欺,個人情報保護,注意喚起,無印良品,詐欺メール,迷惑メール

Posted by heart