【注意喚起】DocuSignを装ったフィッシングメールに注意(実例あり)
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
いつもご覧くださりありがとうございます!
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
前書き
なんか「DocuSign詐欺」なんていう電子契約サービスから support アドレス宛にメールが届きました。
リンクからドキュメントを開いて確認するように促すメールのようですが、とても危険な香りがプンプンしますよ。
いったい何がしたいのか詳しく見ていくことにしましょう。
フィッシング詐欺は、オンラインでの取引やコミュニケーションの増加とともに、ますます巧妙化しています。特に、DocuSignのようなサービスを装った詐欺は、利用者の信頼を悪用しようとする悪質な手口です。このような事例を理解することで、私たちはより警戒心を持って対応できるようになります。
あっと、その前に!
これらのメールは開いただけなら被害に遭うことはありませんので先にお伝えしておきますね!
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
詐欺メールは、実際のサービスのレイアウトや文体に似せることがあります。例えば、メールのデザインやロゴが公式のものであるかのように見えますが、微妙な違いを見抜くことが重要です。これらのメールの内容を詳しく見ると、通常とは異なる内容や不自然な表現が見受けられます。
件名:[spam] Docusignで完了。
送信者: “Docusign" <support@******.***> ←私のドメイン
こんにちは support@******.***,
ドキュメントファイルのリンクを開いて内容を確認できない場合は、メッセージを受信トレイフォルダに移動してください。..
ドキュメントファイルのリンクを開いて内容を確認できない場合は、メッセージを受信トレイフォルダに移動してください。
以下のリンクをクリックしてドキュメントをご確認ください。
レビュー文書
Received by: support@******.***
本日中に「1742912464_Contract_Agreement2026.docx」という文書をご確認ください。
このメールを共有しないでください:
このメールにはDocuSignへの安全なリンクが含まれています。このメール、リンク、またはアクセスコードを他人に共有しないでください。
別の署名方法:
DocuSign.com にアクセスし、「ドキュメントにアクセス」をクリックして、セキュリティコード「68BD645F39124D44B8B4BF22A7C692BE7」を入力してください。
DocuSign について:
わずか数分で電子的に書類に署名できます。安全で、機密性が高く、法的拘束力があります。
署名に問題がある場合は、「文書への署名方法」をご覧ください。
本文ここまで
※本記事は注意喚起目的で掲載しています
このメールは、フィッシング詐欺(なりすましメール)の可能性が非常に高いですね。
以下の理由から、リンクをクリックしたり、セキュリティコードを入力したりせず、すぐに削除することをお勧めします。
では理由を整理します。
また、フィッシングメールに含まれるリンクをクリックすると、悪意のあるウェブサイトに誘導され、個人情報を盗まれる危険性があります。特に、DocuSign関連のメールの場合、急いでリンクを開いてしまうと、知らず知らずのうちに情報を漏らしてしまう可能性があります。
不審・危険なポイント
- 不自然な日本語
「ドキュメントファイルのリンクを開いて内容を確認できない場合は、メッセージを受信トレイフォルダに移動してください」という説明ですが、眉間にしわが寄りそうな書き方でとても不自然です。
これは、メールソフトの迷惑メールフィルタ(リンクを無効化する機能)を回避させようとする典型的な詐欺の手口です。 - 送信元のアドレス
送信者が「support@(私のドメイン)」になっていますが、DocuSignが受信者自身のドメインを使ってメールを送ることは通常ありません。
本物のDocuSign通知は、通常「@docusign.net」や「@docusign.com」系から来るはずです。 - ファイル名が不審
「1742912464_Contract_Agreement2026.docx」という、数字の羅列が含まれるファイル名は、ウイルスを仕込んだファイルによく見られる形式なので危険なファイルの可能性が高いです。
推奨される対応
-
- リンクをクリックしない
メール内の「レビュー文書」などのリンクは絶対に押さないでください。
- リンクをクリックしない
もし不審なメールを受け取った場合は、まずはそのメールの送信者を確認しましょう。正規の送信者であれば、メールアドレスが公式なドメインを使用しているはずです。例えば、DocuSignからのメールであれば、必ず@docusign.comや@docusign.netのようなドメインになります。
- 公式サイトから確認する
もし本当に心当たりのある契約がある場合は、メールのリンクからではなく、ブラウザで直接 DocuSignの公式サイト にアクセスし、公式のマイページから状況を確認してください。
次に、メールの内容を慎重に読み、怪しい点を見つけましょう。例えば、文体が不自然であったり、文法ミスが多かったりする場合は、詐欺の可能性が高いです。良く確認して、怪しい点があれば、絶対にリンクをクリックしないことが推奨されます。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダー情報を確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from (私のドメイン) (183179117106.ctinets.com [183.179.117.106])
本来ならここには、送信者のメールアドレスと同じ私のドメインが記載されるはずですがそれとは全く異なる「183179117106.ctinets.com」なんてドメインが記載されていますね。
もうこの時点で偽メール確定!
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
では、試しにドメイン「183179117106.ctinets.com」に関する詳しい情報を「Grupo」さんで取得してみます。
割り当てているIPアドレスが Received のIPアドレスと合致しているので「183179117106.ctinets.com」が送信者のメールアドレスドメインですね。
また、実際にDocuSignのウェブサイトにアクセスして、取引状況を確認することも大切です。公式サイトに直接アクセスすることで、詐欺メールに誘導されることなく、安全に情報を確認できます。
このReceivedフィールドの末尾にあるIPアドレスからそのロケーション地を「IP調査兵団」で導き出してみると…..
送信元の正体は
調査結果にある通り、送信元の正体は以下のようになっています。
- 所在: 香港 (HK)
- ネットワーク所有者: 香港ブロードバンドネットワーク (CTINETS.COM)
- 分類: インターネットサービスプロバイダー (ISP)
DocuSignのような世界的な企業が、香港の一般家庭用・個人向け回線(ISP)から、わざわざ私のドメインを名乗ってメールを送ることは物理的にあり得ません。
結論は、ビジネスメール詐欺(BEC)+ DocuSignなりすましメールであると言えます!
このように、フィッシング詐欺に対する警戒を怠らないことが重要です。特に、DocuSign詐欺のように普及しているサービスを狙った手口には十分に注意し、万が一被害に遭ってしまった場合には速やかに対応することが求められます。
リンク先のドメインを確認
さて、本文の「レビュー文書」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://hrueo.edgeone.app/】
(直リンク防止のため一部の文字を変更してあります)
ご覧の通りDocuSign のドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません!
このドメインを割当てているIPアドレスを「whois.domaintools.com」さんで取得してみます。
まず1つ目の注目点は「IP Address 43.152.26.58 – 1,888 other sites hosted on this server」です。
ふふ~ん、まずこのドメインを割り当てているIPアドレスは「43.152.26.58」。
で、このIPアドレスは「1,888が同居」しています。
DocuSignや契約書系の正規サービスが他1,800あまりのサイトと同じIPを使うことはまずありません。
次の注目点が「IP Location Singapore – Central Singapore – Singapore – 16 Collyer Quay」
IPアドレスの所有者は、香港ブロードバンドネットワーク (ISP)ですね。
私のドメインを騙っていますが、実際には香港の個人向けインターネット回線から送信されています。
DocuSignのような公的なサービスがこのような経路を使うことはあり得ません。
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、ドイツのフランクフルト付近であることが分かりました。
プロバイダー名やAS名からこのIPアドレスは、中国Alibaba系クラウドのグローバルネットワークが利用されています。
これは世界各地(SG / HK / DE / US など)に拠点あり、ドイツのフランクフルトはその代表を指すだけで犯人の実所在地ではありません。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
このページは、DocuSignとは一切関係は無く、私のメールアカウントのパスワードを盗み取るための「偽のログイン画面(フィッシングページ)」です。
その理由は以下の通りです。
①DocuSign要素がゼロ
DocuSignのロゴなし
契約書名・差出人・文書IDなし
署名/レビューUIなし
このようにDocuSign要素が一切存在していません。
②表示が「ウェブメール」
ウェブメール
アカウントログインする
これは「support@私のドメイン」を狙っていて 完全にメールアカウント乗っ取り目的です。
絶対にログインしてはいけません!
ログインしてしまうとその情報は取得されてしまい、不正ログインを行われた上でメールアドレスの乗っ取り被害に遭うことになります。
まとめ
最後に、フィッシング詐欺の手口や事例を学ぶことで、私たちはより効果的に防御できるようになります。常に最新の情報を追い、怪しいメールが来た際にはすぐに確認し、行動を起こすことが大切です。DocuSign詐欺のようなケースが減ることを願っています。
これらの調査結果からこのメールは、完全なBEC(ビジネスメール詐欺)と判定いたしました。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;
私たちは、フィッシング詐欺の被害を未然に防ぐために、情報を共有し合い、周囲に注意を喚起することが重要です。特に家族や友人に対して、こうした情報を伝えることで、より安全なオンライン環境を築くことができるでしょう。