【実録】自社ドメイン宛「22件の保留メッセージ」通知は偽メール——米環境保護庁(EPA)のドメインを不正使用、ウクライナ発の巧妙な手口を解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート
今回ご紹介するのは、なんと当サイト運営ドメイン自身を名指しで騙ってきたフィッシングメールです。「保留メッセージが22件たまっている」と不安を煽り、差出人には米国の政府機関である環境保護庁(EPA)の公式ドメインが不正使用されていました。送信元・誘導先の技術解析結果とあわせてご紹介します。
※重要:メール本文には「検証プロンプトをスキップしたことによる損失は自己責任」という趣旨の一文が含まれており、読者に心理的なプレッシャーをかけて冷静な判断を鈍らせる典型的な手口です。焦って本文中のリンクを開かないでください。
| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★☆☆☆ (2/5) |
■ 調査レポート:概要
件名:[spam]「◯◯.jp have 22 pending messages」(◯◯部分は当サイト運営ドメイン名のため伏字にしています)
差出人表示:“Administrator Update for [◯◯.jp]” <picardi.rick@epamail.epa.gov>
送信元アドレス:picardi.rick@epamail.epa.gov(米国環境保護庁=EPAの公式ドメインですが、後述のSPF認証結果からEPAとは無関係と判定)
送信元IP(Received-SPF解析):77.83.39.16(SPF認証:Fail=正規の認証記録なし)
IPアドレスの国:ウクライナ
※メールヘッダー詳細(宛先・Message-ID等)は個人情報保護のため非掲載
この記事で取り上げるメールは詐欺(フィッシング)メールです。本文中のリンクは絶対にクリックしないでください。

実際に届いたメールの画面(差出人・宛先の一部はマスキング済み)
ご覧の通り、このメールは当サイト運営ドメインのメールボックス管理者を装った真っ赤な偽物です。それにしても、日本の一介のブログドメインの「保留メッセージ通知」を、よりによって米国環境保護庁(EPA)のドメインから送ってくるとは、一体どういう組み合わせなのでしょうか。おそらく攻撃者が使っているスパム配信キットに、たまたま登録されていた「使い回し用の実在ドメインリスト」の中から、EPAのものが選ばれてしまっただけと見られます。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
Administrator Update ◯◯.jp Your Account is set to expire Soon. (○◯@◯◯.jp) ACTION REQUIRED TO KEEP YOUR ACCOUNT ACTIVE. We advise you to take the time now to keep your mail box password and avoid login interruptions or account lockouts. [Keep My Password] Note: You are liable for any loss due to skipped validation prompts. Thank you, ◯◯.jp Support Team 2026
■ 英文の日本語訳
| Your Account is set to expire Soon. | お客様のアカウントはまもなく期限切れになります。 |
| ACTION REQUIRED TO KEEP YOUR ACCOUNT ACTIVE. | アカウントを有効に保つには対応が必要です。 |
| We advise you to take the time now to keep your mail box password and avoid login interruptions or account lockouts. | メールボックスのパスワードを維持し、ログイン中断やアカウントロックアウトを回避するため、今すぐご対応いただくことをお勧めします。 |
| Keep My Password(ボタン) | パスワードを維持する |
| Note: You are liable for any loss due to skipped validation prompts. | 注:検証プロンプトをスキップしたことによる損失は、お客様の責任となります。 |
| Please wait / Updating: …mails … | しばらくお待ちください/更新中:〇〇のメール… |
| Authentication failed… | 認証に失敗しました… |
| Enter Password / Remember Me / Login | パスワードを入力/ログイン情報を記憶する/ログイン |
■ 送信ルート及び偽装判定
【偽装判定】:差出人アドレスに実在する米国政府機関(EPA)のドメインが使われていますが、EPAが日本のドメイン管理者宛にメールボックスの期限切れ通知を送ることは当然ありません。SPF認証も明確にFailと判定されており、正規のEPAサーバーからの送信でないことが裏付けられています。
送信インフラの正体:Received-SPFのclient-ip値から、送信元IPアドレスは77.83.39.16であることが判明しました。国別データベースで調べたところ、送信元はウクライナと判定されています。海外の踏み台サーバーやボットネットの一部からの発信と見られ、正規のメール配信網とは無関係です。
💡 ここで!用語解説
SPF(Sender Policy Framework):送信元サーバーが「そのドメインの正式な送信担当者」として登録されているかを確認する仕組みです。今回のようにFail(失敗)と判定された場合、そのドメインの管理者が許可していないサーバーから送られてきたことを意味します。
差出人アドレスの詐称:メールの「差出人」欄に表示されるアドレスは、送信者が自由に書き換えられる部分です。実在する組織の本物のドメインが書かれていても、その組織から実際に送信された証明にはなりません。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://drop32.edgeone[.]dev/f4e5ad36-...(URL末尾には受信者を識別するための符号化された文字列が付与されていましたが、本記事では該当箇所を非掲載としています)
リンクドメイン:drop32.edgeone.dev
サーバーIP(DNS解決結果):43.174.246.29
ロケーション:シンガポール(Aceville Pte.ltd. / AS139341、hosting用途のIPアドレスと確認)

アクセス直後に表示される「Please wait」の待機画面
リンクをクリックすると、まず「更新中です、少々お待ちください」という趣旨の待機画面が表示されます。これは本物のシステム処理を装う演出で、実際には裏側で偽ログイン画面への切り替え準備をしているだけです。

続いて表示される偽ログイン画面。メールアドレス欄があらかじめ入力されている
誘導URLの末尾にはBase64という方式でエンコードされたメールアドレスの文字列が埋め込まれており、偽サイト側の仕組みがこれを自動的に読み取ってログイン画面のメールアドレス欄に入力する仕掛けになっていました。これにより被害者に「自分専用のページだ」と錯覚させ、警戒心を解こうとする狙いがあります。さらに、あえて一度「Authentication failed(認証に失敗しました)」と表示することで、「パスワードを間違えたのかな」と思わせ、複数回パスワードを入力させようとする、地味に悪質な仕掛けも確認されました。
■ 注意点と対処法
- URLをクリックしない:「保留メッセージ」「対応が必要」等の文言があっても、メール内のリンクは開かないでください。
- 差出人表示だけで信用しない:実在する組織のドメインが表示されていても、それだけでは正規のメールである証明にはなりません。
- 公式ページから直接確認:メールボックスの状態を確認したい場合は、日頃ブックマークしている正規のログインページから直接アクセスしてください。
- 誤って情報を入力してしまった場合:直ちにメールアカウントのパスワードを変更してください。
本レポートの結論
「保留メッセージ22件」という業務上見過ごせない不安を煽る一方、差出人には無関係な米国政府機関のドメインが使われ、SPF認証も明確にFailという、認証面では非常に粗い偽装でした。誘導先の偽サイトでは、メールアドレスの自動入力や偽の認証失敗表示など、心理的に被害者を誘導する細かい工夫も確認されています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















