【検証】総務省・年金機構・デジタル庁・Adobe…同じ送信元から名乗りを変えて4通
| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★☆☆☆ (2/5) ※件名・送信者名・偽装ドメインの組み合わせがバラバラで、テンプレートの取り違えが目立つ |
■ 4通の比較一覧
2026年6月22日(月)朝、07:22〜07:30の約8分間に届いた4通です。件名・送信者名・偽装先ドメインはすべて異なりますが、注目していただきたいのは右端の「送信元IP」の列です。
| 件名 | 送信者表示名 | 偽装先ドメイン | SPF結果 | 添付ファイル名 | 受信時刻 | 送信元IP |
| 日本郵便 – 不在配達通知/荷物受け取り確認 | 総務省 行政デジタル推進室 | soumu.go.jp(正規ドメイン偽装) | Fail | 公式通知_164503.html | 07:30:13 | 212.19.23.205 |
| 国税庁より:令和8年度還付金手続きのご案内 | 日本年金機構 給付事業部 | nenkin.go.jp(正規ドメイン偽装) | Fail | 公式通知_724593.html | 07:29:22 | 212.19.23.205 |
| みずほ銀行 – 重要契約書類の電子署名のお願い | Adobe Sign 日本法人 | adobe-sign.jp(独自偽ドメイン) | None | 公式通知_307483.html | 07:28:31 | 212.19.23.205 |
| PayPay銀行 – 不審ログイン検知および本人確認 | マイナンバー総合窓口 デジタル庁連携 | digital.go.jp(正規ドメイン偽装) | Fail | 公式通知_809095.html | 07:22:30 | 212.19.23.205 |
4通すべての送信元IPが完全一致。これは間違いなく同一の攻撃者・同一のキットによる組織的な送信です。家族のLINEグループで「こんな手口がある」と共有してください。
まず注目していただきたいのが、送信元IP「212.19.23.205」の一致です。前回記事で取り上げた「日本郵便/総務省」のメールと全く同じこの数字が、国税庁を装ったメール、みずほ銀行を装ったメール、PayPay銀行を装ったメールにもすべて記録されていました。ホスト名も「host.212-19-23-205.broadband.redcom.ru」で完全一致しており、ロシア・ハバロフスク地方の家庭用ブロードバンド回線(プロバイダー:Redcom-Bb、利用形式:consumer)から、約8分間で性質の異なる4通が次々に送られていたことになります。
■ 送信元の同一性について
※メールヘッダー詳細は個人情報保護のため非掲載。4通すべてのReceivedヘッダーに、同一の中継ルート(dmail03.kagoya.net → fmail21/22.kagoya.net → mas17.kagoya.net)と同一の送信元IP(212.19.23.205)が記録されていることを確認しています。
発信元ロケーション解析(4通共通):
ロシア・ハバロフスク地方・ハバロフスク市
プロバイダー:Redcom-Bb(DSL・個人向け回線)
IPアドレス調査:ip-sc.netで詳細を確認する(脅威レベル「高」、攻撃対象「メール」と判定)
Googleマップ:【位置情報を確認する】
※前回記事「日本郵便・総務省編」と同一の送信元のため、ロケーション情報は前回調査時のものを参照しています。
もう一つ面白いのが、SPF(送信ドメイン認証)の結果に違いが出ている点です。総務省・日本年金機構・デジタル庁を名乗った3通は、本物の政府ドメイン(go.jp)を騙っているため「Fail(認証失敗)」という結果になります。一方Adobe Signを名乗ったメールだけは「None(SPFレコードなし)」という結果でした。これは「adobe-sign.jp」という攻撃者が独自に取得した偽ドメインを使っているためで、そもそもSPFの設定自体が存在しないからです。正規の組織になりすますか、似た名前の偽ドメインを自作するかで、認証結果の出方が変わるという技術的な違いが見えてきます。
■ もう一つの共通パターン:添付ファイル名の法則
4通すべてに「公式通知_」+6桁のランダムな数字+「.html」という共通の命名パターンの添付ファイルが付けられています(164503/724593/307483/809095)。件名や送信者名は使い回しているのに、添付ファイル名だけは律儀に毎回変えているのは、おそらくメールセキュリティソフトの「同一ファイル名のブラックリスト化」を回避するためと考えられます。手口の粗さと、細部だけ妙に丁寧な作り込みのギャップが、この攻撃キットの面白いところです(笑)。
▼ 受信した詐欺メールの一例(本文・送信者・添付ファイル名)
▼ 同日に届いた件名・送信者・受信時刻の一覧(メールボックス表示)
■ 注意点と対処法
- 添付ファイルは絶対に開かない:特にHTML形式の添付ファイルは、開いた瞬間に攻撃が始まる可能性があります。
- 件名と送信者名・本文の組織名が一致しているか確認する:今回のように行政機関と銀行が入れ替わっているような矛盾は、なりすましメールの強力な手がかりになります。
- 「.go.jp」や銀行の正規ドメインでも油断しない:表示上のドメインが本物そっくりでも、SPF認証が失敗していれば偽物です。心当たりのない通知は、メール経由ではなく公式サイトに直接アクセスして確認してください。
- 短時間に複数の組織を名乗るメールが届いたら警戒する:同じ送信元から立て続けに違う組織を名乗るメールが届くのは、組織的な大量配信の特徴です。
■ 関連記事
本レポートの結論
総務省、日本年金機構、デジタル庁、Adobe Signという全く異なる4つの組織を次々に名乗ったメールは、すべて同じロシア・ハバロフスクの家庭用回線から、わずか8分間で送られたものでした。件名・送信者名・偽装ドメインはバラバラなのに、送信元という最も基本的な部分だけは変えられていません。これがなりすましメールの実態です。「公的機関や銀行から来た」という肩書きだけで信用せず、必ず送信元と公式サイトを確認する習慣をつけてください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖