みなさん、こんにちは。
頼れる街のIT専門家、Heartland-Lab(ハートランドラボ)のセキュリティ分析チームです。 いつも私たちの解析レポートをご覧いただき、ありがとうございます。 最近、私たちの調査窓口に「身に覚えのない配送メールが届いた」というご相談が急増しています。 今回ご紹介するのは、大手配送業者である「佐川急便(さがわきゅうびん)」の偽サイトへ誘導しようとする、大変巧妙で悪質なフィッシングメール(本物を装って個人情報を盗み取る詐欺メール)です。 関連記事についても、ページ末尾に記載のデータベースアーカイブからご覧いただけます。
【実録】佐川急便を騙る「不在通知がない場合の再配達依頼」不審メールの手口を徹底分析!偽サイトへの誘導ポイントを公開
【重要なご注意】
このメールは、開いただけでは直接的な金銭被害(勝手にお金を引き落とされるなど)が発生することはありません。 しかし、今回のメールのように画像が埋め込まれていたり、開通通知(メールを開いたことを攻撃者に知らせる仕組み)が仕込まれていたりする場合、あなたのアドレスが現在使われているという「アドレス生体通知(生きているアドレスであるという証明)」が成立してしまいます。 その結果、今後さらに多くの詐欺メール送信リストに入れられる可能性が高くなりますので、不審なメールは不用意に開かず、すぐに削除することが最善の対策です。
| ▼ 最近のスパム動向と緊急性判定
現在、配送業者を装ったフィッシング詐欺は、年間を通じて非常に高い水準で発生しています。
特にネット通販を頻繁に利用する方が増えているため、「本当に荷物が届いたのかもしれない」と勘違いを狙う手口が主流です。
| 危険度評価 | ★★★★☆ (星4:非常に危険) | | 緊急性 | ★★★★☆ (星4:警戒が必要) | ▼ 受信メールの基本情報 | 件名 | お荷物問い合わせサービス, 不在通知がない場合の再配達依頼。 | | 送信者名 | 佐川急便株式会社 | | メールアドレス | uatyyv1123@qtolvf.info | | 受信日時 | 2026年5月26日 12時05分 |
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
| 【受信メール本文のスクリーンショット】 
| ▼ メール本文の再現 ※受信した実際のメール内容を、間違いを防ぐためにできる限り忠実に再現しています。 | 
───────────────────────────────────────────────── Web再配達受付サービス
ご不在連絡票に記載されている「営業所番号」、「お問い合わせ送り状No.」を入力してください。 営業所番号(半角数字):4001-4894-5212 お問い合わせ送り状No.①(半角数字):1655-5810-0823 ありがとう! ─────────────────────────────────────────────────
佐川急便Webサイトではお客さまのプライバシー保護のため、SSLプロトコルによる暗号化通信に対応しております。 ©1999-2025 Sagawa Express Co.,Ltd. All Rights Reserved.
| ▼ メールデザインの分析と感想
実際のメール画面を見ると、上部には青色で統一された偽の「SAGAWA」ロゴが配置されており、下部には「SSLプロトコル(通信を暗号化して守る仕組み)による暗号化通信に対応」といった、安心感を誘う嘘の文章が書かれています。
全体的にすっきりとした公式らしいデザインを模倣していますが、じっくり見るとおかしな点が浮かび上がります。
最も分かりやすい破綻(はたん)は、本文の最後にある「ありがとう!」という言葉です。
大手企業の公式なビジネスメールにおいて、このようなフランクすぎる結びの言葉が使われることは絶対にありません。
これは、海外の詐欺グループが翻訳ツールを不適切に使用した結果、修正されずに残ってしまった典型的な手口と考えられます。 ▼ メールヘッダー情報の解析(技術分析)
メールがどこから送られてきたのか、隠された通信記録(メールヘッダー)を詳しく解析しました。
なお、ヘッダー情報には受信者側のサーバー固有の情報(プライバシーに関する情報)が含まれるため、セキュリティの観点から実際のスクリーンショットの掲載は控え、重要な情報のみを文字で抽出しています。
| 項目 | 内容 | | Received-SPF | pass (*****.jp: SPF record at qtolvf.info designates 101.47.22.184 as permitted sender) | | 最古のReceived(送信元情報) | from unknown (HELO qtolvf.info) (101.47.22.184) by *****.jp … | 【解説と偽装判定】
送信者のメールアドレスは「uatyyv1123@qtolvf.info」となっており、このドメイン(インターネット上の住所)に紐づく送信元IPアドレス(通信機器の識別番号)は「101.47.22.184」でした。 ヘッダーから抽出した一番古い「Received(経由したサーバーの記録)」に記載されているIPアドレスも「101.47.22.184」で一致しています。
「Received-SPF」の結果は「pass(合格)」となっていますが、これは「佐川急便から正しく届いた」という意味ではありません。
「攻撃者が自前で用意した偽の使い捨てドメイン(qtolvf.info)から、ルール通りに送られてきた」ということを示しているだけです。 つまり、佐川急便の公式ドメイン(sagawa-exp.co.jp)を全く使用していない、完全に無関係な第三者のサーバーから送信された偽物メールであるということです。
▼ 送信元サーバーの物理的な位置情報(ロケーション) ▼ 誘導先(リンク先)サイトの危険性分析
メール本文にある「次の画面へ進む」のボタンには、以下の危険なURLが仕込まれていました。
安全性のため、一部の文字を伏字(星マークや小文字化)にしてリンクを無効化しています。
h**p://meekys.mtffx.cn/gpajp/accunt/lginox/
佐川急便の公式URLは「sagawa-exp.co.jp」から始まりますが、この偽URLは末尾が「.cn(中国の国別ドメイン)」となっており、全く関係がありません。
| 【ウイルスバスター等によるブロック画面 スクリーンショット】 
|
このサイトにアクセスを試みると、セキュリティソフト(ウイルスバスター クラウドなど)が即座に「このWebサイトは、安全ではない可能性があります(脅威の種類:フィッシング)」という真っ赤な警告画面を表示し、接続を遮断します。
これは、過去の被害報告から、このURLが明らかな詐欺サイトであると世界中のセキュリティ機関に登録されているためです。
| 【詐欺サイト(接続結果)のスクリーンショット画像】 
|
現在、さらに接続を進めると「We apologize, but your request has timed out.(申し訳ありませんが、リクエストがタイムアウトしました)」というエラーメッセージが英語で表示される状態(アクセス拒否やサーバー停止)になっています。
ここで注意が必要なのが「クローキング(覆い隠すという意味の不正技術)」の疑いです。
クローキングとは、私たちのようなセキュリティ調査員や自動巡回ロボットがアクセスしたときには「エラー画面」や「存在しないページ」を見せて騙し、一般のスマートフォン利用者がメールから直接タップしたときにだけ「偽のログイン画面」を表示させる、大変ずる賢い仕掛けのことです。
「エラーが出たから消滅したサイトだな」と油断させる手口ですので、画面が動かないからといって安全だとは決して思わないでください。 つまり、画面上はタイムアウトに見えても、裏では特定の条件を狙って個人情報を盗み取ろうと待ち構えている危険な詐欺サイトであるということです。
| リンクドメイン | meekys.mtffx.cn | | ドメインIPアドレス | 156.236.115.143 | | 物理ロケーション |
緯度: 4.5709 / 経度: -74.2973 (コロンビア近郊)
Googleマップで表示 |
ip-sc.net情報
| | 危険判定ポイント | 公式(sagawa-exp.co.jp)と一切無関係な中国ドメイン、かつセキュリティソフトによるフィッシング登録済 | | 現在の稼働状況 | タイムアウトエラー(クローキングおよび一時遮断の可能性あり) | ▼ 被害に遭わないための対処方法
このような偽メールによる被害を防ぐためには、以下のポイントを徹底してください。
- メールのリンクは押さない: 荷物の再配達や確認は、メール内のボタンからではなく、必ず自分が事前に登録した「お気に入り(ブックマーク)」や、スマートフォンの「公式アプリ」から行うようにしてください。
- 公式の警告情報を確認する: 各配送業者では、こうした詐欺被害を防ぐための専用ページを設けています。不審に思ったら、まずは公式のアナウンスを確認しましょう。
最新の公式注意喚起情報は、以下のURLから確認することができます。
■ 佐川急便 公式注意喚起ページ:
https://www2.sagawa-exp.co.jp/whatsnew/detail/721/
▼ まとめ
身近な人が騙されて(だまされて)からでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
ネットの世界には様々な罠が仕掛けられていますが、正しい知識を持っていれば、決して怖いものではありません。
怪しいな、おかしいなと感じたら、いつでも私たちHeartland-Labを頼ってくださいね。
関連する過去の解析事例はこちらから検索できます。 それでは、また次回のレポートでお会いしましょう!
| 
