「【重要・総務部】歩行中の交通違反に関する事実確認のお願い」は詐欺!警察と総務部を騙るBEC型サポート詐欺メールの手口を解説
🔴 緊急度:高
| 緊急性レベル | ★★★★☆(4/5) |
| 偽装工作精度 | ★★★★☆(4/5)警察+社内総務部の二重威圧+ワードサラダ+Azure悪用 |
■ メールヘッダー解析(送信者情報)
件名:【重要・総務部】近隣警察署からの指摘に基づく「歩行中の交通違反」に関する事実確認のお願い
送信者名:soumu(総務部・労務管理チームを装った表示名)
送信元アドレス:soumu@[非公表].jp
送信元IP:106.215.176.134(インド系IP)
受信日時:2026年6月8日(月)16:49:04 +0900
SPF認証:Softfail(送信元として非推奨のサーバーから送信されたことを示す。怪しいと判定)
DKIM署名:なし(メールの改ざん防止署名が存在しない)
⚠️ 注意:月曜日の業務時間中(16:49)という絶妙な時間帯に届いており、受信者が「本当に総務部からかもしれない」と思いやすいタイミングを狙っています。
▲ 実際に届いた詐欺メール。「警察から通報があり、勤怠データと照合した結果あなたが対象者の可能性が高い」という威圧的な文面で受信者を追い詰める。回答期限は翌日12:00。
このメールは警察・総務部を装った詐欺です。どんなに怖くても、リンクをクリックしても電話をかけても絶対にいけません。この解析結果を職場や家族のグループに転送して注意喚起してください。
詐欺メール本文(忠実再現)
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
社員の皆様へ お疲れ様です。総務部・労務管理チームです。 本日午前、管轄の警察署より、弊社オフィス周辺の交差点において「通勤時間帯に弊社の社員バッジ (または入館証)を着用した人物が、信号無視および危険な道路横断を行っていた」との通報・厳重注意を受けました。 警察側から提供された「違反発生日時」および「該当者の特徴」を社内の勤怠データ(打刻時間)と照合した結果、 あなたが対象者である可能性が高いと判断されました。 歩行者の信号無視は公的な違法行為であり、会社の社会的信用に関わる重大な問題です。 大変お手数ですが、以下のリンクより警察から提出された「報告書(日時・違反場所・特徴)」をご確認いただき、 ご自身の行動に相違ないか至急ご回答をお願いいたします。 ?交通違反に関する事実確認・回答ページ(※リンク無効化済み) ※回答期限:明日 12:00まで ※本件は、社内就業規則に基づき、事実確認が必須となっております。ご協力をお願いいたします。
ワードサラダ(フィルター回避工作)の検出
■ HTMLソース内に仕込まれた「ワードサラダ」
メール本文のHTMLソースには、日本語テキストをHTMLエンティティ(数値文字参照)に変換した文字列が大量に埋め込まれていました。これは「ワードサラダ」と呼ばれる回避手法で、ブラウザ上では普通の日本語として表示されますが、メールサーバーや一部のスパムフィルター(迷惑メール検知機能)はエンティティ文字列のまま解析するため、フィルターをすり抜けやすくなります。
▲ メールのHTMLソースに仕込まれたワードサラダ。「社員の…」のような文字列が羅列されているが、ブラウザで表示すると普通の日本語文章になる。スパムフィルターを欺くための工作。
送信ルート及び偽装判定
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダー(メールがどのサーバーを経由してきたかの通過記録)の全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。
Receivedヘッダー解析(サーバー通過証明):
Received: from [106.215.176.134] (unknown [106.215.176.134]) by 受信者側サーバー(非公表) with ESMTP
【偽装判定】:
送信元アドレスはいかにも社内総務部らしい表示名になっていますが、実際の送信サーバーIPは106.215.176.134(インド系IP)であり、日本の社内ネットワークとはまったく無関係です。SPF認証がSoftfailとなっており、正規の送信元ではないことが証明されています。
送信元IP:106.215.176.134(インド)
Googleマップ:【位置情報を確認する(インド・ニューデリー付近)】
詐欺サイト詳細解析
▲ 誘導先に表示される偽Windows Defender警告画面。「悪意のある木馬プログラムを検出(識別コード:#DX4K9R2P)」という偽の警告と架空の電話番号「0101-84448-62853」が表示される。先日解析したChromium 0-day詐欺サイトとまったく同じ画面・同じ電話番号であり、同一グループによる犯行であることは明らかです。
■ 詐欺サイト詳細解析
誘導先URL(伏せ字):hxxps://necumaref.z28.web.core.windows[.]net/(一部伏せ字)
ドメインの種類:Microsoft Azure Static Web Apps(マイクロソフトが提供する正規クラウドサービス)を悪用。windows.net はMicrosoftの正規ドメインであるため、一見すると安全なサイトに見えるが、「necumaref」は攻撃者が自由に設定したサブドメイン(ドメイン名の前の部分)であり、Microsoftとは無関係。
サイトIP:20.60.13.228(Microsoft Azure / 米国)
Googleマップ:【位置情報を確認する(米国・カリフォルニア州)】
表示される偽電話番号:0101-84448-62853(架空のテクニカルサポート番号。絶対にかけないこと)
🔗 同一グループ確認:偽Windows Defender画面のデザイン・識別コード(#DX4K9R2P)・架空電話番号(0101-84448-62853)・Azure Static Web Appsの悪用手法が、当ラボが同日解析した「Chromiumブラウザ脆弱性詐欺メール」と完全に一致。同一の詐欺グループが複数のBEC型メールを使い分けて攻撃を行っていることが確認されました。
注意点と対処法
■ このようなメールが届いた場合の対処法
- リンクをクリックしない:どんなに怖い内容でも、メール内のリンクはクリックしないでください。URLが「windows.net」などMicrosoftのドメインに見えても偽サイトの可能性があります。
- 電話番号に電話しない:画面に表示された電話番号は架空です。本物の警察やMicrosoftがウェブページに電話番号を表示して「今すぐ電話を」と促すことはありません。
- 社内の正規ルートで確認する:「総務部からのメール」と思ったら、リンクをクリックせず、直接総務部に電話や社内チャットで確認してください。
- 警察を装う脅しに動じない:本物の警察が会社を通じてメールで事実確認を求めることはありません。このような内容のメールは詐欺と判断して問題ありません。
- 既に電話してしまった場合:すぐに電話を切り、リモートアクセスソフトをインストールした場合はPCをネットワークから切断して専門家に相談してください。
■ 関連記事
同一グループによる別の手口のBEC型サポート詐欺メールも同日確認されています。あわせてご覧ください。
本レポートの結論
本件は「警察から通報があった」「勤怠データと照合した」という二重の威圧で受信者を心理的に追い詰め、Microsoftの正規クラウドサービス(Azure)を悪用した偽サイトへ誘導するBEC型サポート詐欺です。同日確認されたChromiumブラウザ脆弱性詐欺メールと同一グループによる犯行であり、複数の手口のメールを使い分けて無差別に攻撃を行っていることが確認されました。本物の警察が会社を通じてメールで事実確認を求めることはありません。怖くても冷静に、リンクのクリックも電話もしないでください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、職場や家族のグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月8日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
