【解析】NHK「視聴者還元キャンペーン」も同一犯!中国の連番IPで運用される詐欺インフラの全貌
| 緊急性レベル | ★★★★★ (5/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam]【NHK】放送サービス記念 視聴者還元キャンペーン
送信者表示名:“NHK受信料の窓口”
送信元アドレス:HPPPDV@frhgobku.messages.webpage-leisuapp.com
送信元IP解析:35.212.175.56(Google Cloud Platform上のサーバー)
SPF判定:Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、NHKの正規メールであることの証明にはなりません)
受信日時:2026年06月24日(水)13時17分頃
ご覧の通り、このメールはNHKを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。「NHK BROADCASTING SERVICE」という英語表記を見出しに使い、公式組織らしさを演出しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
NHK BROADCASTING SERVICE 放送サービス記念 視聴者還元キャンペーン ○○○○ 様 拝啓 平素よりNHKの放送をご視聴いただき、厚く御礼申し上げます。 NHKは、公共放送としての使命を果たすべく、日々放送サービスの充実に努めております。このたび、放送サービスにおける重要な節目を記念いたしまして、視聴者の皆様への感謝を込めた還元キャンペーンを実施する運びとなりました。 視聴者還元キャンペーンについて 本キャンペーンは、NHKの放送サービスを日頃よりご支援いただいている視聴者の皆様に、感謝の意を表するものでございます。対象の皆様には、下記のギフト券をご用意いたしました。 5,000円分 ギフト券(全国提携店舗・オンライン利用可) 受取りには下記のボタンよりお進みいただき、画面の案内に従ってお手続きください。お手続きは短時間で完了いたします。 【 キャンペーン詳細を確認する 】 ※本キャンペーンは期間限定で実施しております。お早めにご確認ください。 ※詳細はリンク先にてご案内しております。 ※本メールは自動送信されています。 ※本メールは○○○○様宛にお送りしております。 ※お心当たりのない場合は、お手数ですが破棄してくださいますようお願い申し上げます。
前回ご紹介した「謝礼」型のメールが個人向けの聴取調査を理由にしていたのに対し、今回は「放送サービスにおける重要な節目を記念」という、より大規模なキャンペーンを装っています。「期間限定」「お早めに」という煽り文句は、内容が変わっても詐欺メールに共通する典型的な手口です。本文中の宛名部分が伏字になっている点も、不特定多数に同じ文面を一斉送信している証拠です。
■ 送信ルート及び偽装判定
送信元の正体:送信元として記載されているメールアドレスのドメイン(@より後ろ)は「frhgobku.messages.webpage-leisuapp.com」。NHKが利用する正規ドメインは「nhk.jp」「nhk.or.jp」であり、このドメインは一切関係がありません。
送信元サーバーの解析:メールヘッダーを解析した結果、実際の送信元IPアドレスは35.212.175.56。このIPアドレスはGoogle Cloud Platform(グーグルのクラウドサービス)に割り当てられた範囲のものでした。前回ご紹介した謝礼型のメールは国内サーバーが使われていましたが、今回は海外の大手クラウドサービスを踏み台にしている点が異なります。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
■ フィッシングサイト詳細解析
誘導先(PC):hxxps://login.gxxhyxy[.]com/?1ZFo9ewJRbavkQVPh99cv4iS
誘導先(スマートフォン):hxxps://www.fdpmij[.]com/home(直リンク防止のため一部表記を変更しています)
※パソコンからアクセスすると、ファイアウォールによってこのように即座にブロックされます。
同一犯と判定した最大の根拠:スマートフォン用の誘導先URLを確認したところ、fdpmij.com/homeという、前回ご紹介した「謝礼」型メールの誘導先と完全に同一のURLであることが判明しました。異なる件名・異なる送信者を名乗る2通のメールが、最終的に同じスマートフォン向け偽サイトへ着地する構造になっています。
※スマートフォンでアクセスすると、前回ご紹介した「謝礼」型メールと全く同じ、NHK ONEのロゴを使った受取画面が表示されます。
PC用誘導先の調査:PC用ドメイン「gxxhyxy.com」のサーバーIPアドレスは219.153.32.22で、中国 重慶市のChongqing Telecomが管理するデータセンターに割り当てられています。さらに重要なのは、このドメインの登録者であるレジストラ(July Name Limited)、登録日(2025年7月5日)、ネームサーバー(Cloudflare)が、前回ご紹介したPC用ドメイン「mifenglj.com」とほぼ完全に一致していることです。さらにIPアドレスを比較すると、前回の219.153.32.28に対し今回は219.153.32.22と、わずか6番違いの隣接アドレスでした。
PC用誘導先サーバーIPアドレスの詳細情報(ip-sc.net)
これは、同一の攻撃者(または同一の詐欺キット提供者)が、同じ時期にまとめて複数のドメインを取得し、同じデータセンターの連番IPアドレス群に割り当てて運用していることを強く示しています。件名や送信者名を変えながら、裏側では同じインフラを使い回している実態が見えてきました。
※解析データに基づき、攻撃者は中国・米国にまたがる複数サーバーをまとめて準備し、複数の件名パターンで同時に運用していることが確認されています。ロケーション情報は調査時点(2026年6月)のものであり、日々変化する可能性があります。
■ 注意点と対処法
- URLをクリックしない:リンク先は情報を盗むための精巧な偽サイトです。件名や送信者名が違っても、裏側で同じ攻撃者が運用している可能性があります。
- NHKが個別にメールを送ることはない:NHKから受信料等に関する各種手続きの案内をする場合、必ず「NHK受信料の窓口」のホームページに案内する形をとり、外部の不審なサイトへ直接誘導することはありません。
- 「謝礼」「キャンペーン」等の見返り型メールに注意:NHKを名乗り、ギフト券や還元金を引き合いに個人情報の入力を求めるメールは、文言が変わっても同種の詐欺である可能性が高いです。
- 公式注意喚起の参照:NHK受信料の窓口「不審なメール・フィッシングメールが届きました」
本レポートの結論
「放送サービス記念 視聴者還元キャンペーン」という名目で届く今回のメールは、当サイトが先日報告した「謝礼」型のNHK詐欺メールと同一犯による別パターンと考えられます。スマートフォン用誘導先URLの完全一致、PC用誘導先の隣接IPアドレスという2つの根拠から、攻撃者が複数の件名パターンを使い分けながら同じインフラを運用している実態が見えてきました。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【注意喚起】経済産業省・資源エネルギー庁「電気・ガス補助金失効通知」は詐欺!SPF認証失敗の不正メールがVポイント詐欺と同じ誘導先を使用 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開!