【特集】デジタル庁・日本郵便・楽天銀行 ― 同一インフラから撃たれた「名乗り変え」フィッシング波状攻撃の正体

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ 3通の比較(メールヘッダー解析)
| 件名(表示ブランド) | 表示送信者 | SPF判定 | 受信時刻 |
| デジタル庁・マイナンバー本人確認 | デジタル庁 本人確認サービス | Fail | 11:42 |
| デジタル庁・マイナンバー提出期限 | 日本郵便株式会社 配達サービス部 | Softfail | 11:45 |
| 【至急】マイナンバー更新手続き | 楽天銀行 法人・個人認証部 | Fail | 12:13 |
※メールヘッダー詳細は個人情報保護のため非掲載
ご覧の通り、これらはすべて公的機関・金融機関を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※1通目、デジタル庁を騙るメールです。
※2通目、日本郵便を騙るメールです。件名はデジタル庁ですが、送信者表示は日本郵便になっています。
※3通目、楽天銀行を騙るメールです。
■ 送信ルート及び偽装判定
【偽装判定】:
日本郵便・楽天銀行の例では、表示上のFromアドレスが実在の正規ドメイン(japanpost.jp、rakuten-bank.co.jp)とほぼ同じ形になっていましたが、SPF認証はいずれも失敗しています。ドメインの見た目だけでは判別できない、精度の高いなりすましです。
3通に共通する実際の接続元IPアドレス:212.19.23.205
逆引きホスト名:host-212-19-23-205.broadband.redcom.ru(ロシアの回線事業者)
ロケーション:ロシア連邦
詳細:ip-sc.netで確認する
共通するHELO名:main.lan(家庭用ルーターによく使われる内部ホスト名で、実態とは無関係な使い回し)
同一のIPアドレス・同一のHELO名から、ブランド名だけを次々と変えて短時間に大量配信していることが確認できました。まさに「名乗り変え」の量産キャンペーンです。
💡ここで!
添付の「公式通知」HTMLファイルの正体
このキャンペーンでは、メール本文に直接リンクを貼るのではなく、「公式通知.html」という添付ファイルを開かせる形式が使われていました。中身は本物そっくりの通知書を装ったパスワード入力フォームで、実際には入力した内容がメッセージアプリ経由で攻撃者へその場で転送される仕組みになっていました。さらに、わざと数回「パスワードが違います」と表示して入力させ、複数のパスワード候補を収集した後、最後に本物の公式サイトへ転送する念の入れようです。添付ファイルという形式は、メールソフトのリンクスキャン機能を回避しやすいという特徴があります。
※添付の「公式通知」ファイルを開くと表示される、パスワード入力を求める偽画面です。
※画面には金色の縁取りで「公印 OFFICIAL SEAL」という印影や、赤字で「受理済 PROCESSED」という透かし文字まで用意されており、見た目の作り込みには余念がありません。一方で、宛名は「Enter 様」「Food 様」「Kir 様」など、システムのテスト用に使われるような単語がそのまま宛名になっており、本物の顧客リストとはとても思えない粗さも同居しています(笑)。
■ 注意点と対処法
- メールの添付ファイルや本文中のリンクからパスワードを入力しないでください。公的機関・金融機関がこの形式で本人確認を求めることはありません。
- 差出人表示を鵜呑みにしない:表示上のアドレスが本物のドメインと一致していても、それだけでは真偽の判断材料になりません。
- マイナンバー関連の確認は公式窓口・公式サイトから:メール中のリンクや添付ファイルではなく、マイナンバー総合フリーダイヤル(0120-95-0178)や各機関の公式サイトをご利用ください。
- 公式注意喚起の参照:デジタル庁公式「マイナポータルを騙った詐欺メール及び偽サイトに関する注意喚起」
本レポートの結論
デジタル庁・日本郵便・楽天銀行を次々と騙るフィッシングメールは、すべて同一のロシア発インフラから、ブランド名だけを変えて短時間に大量配信されたものでした。表示ドメインが本物と一致していても、SPF認証は軒並み失敗しており、添付ファイル形式のパスワード窃取フォームまで用意された、手の込んだキャンペーンです。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















