【実録】佐川急便を騙る再配達詐欺メールの手口を暴く:香港発・テンセントクラウド製フィッシングサイトとクローキングの全貌
🔴 緊急度:高
| 緊急性レベル | ★★★★☆ (4/5) SPF・DKIM両Pass偽装・フィッシングサイト稼働中 |
| 偽装工作精度 | ★★★★★ (5/5) 公式サイトそっくりの偽サイト・クローキング実装 |
■ メールヘッダー解析(送信者情報)
件名:[spam]【佐川急便】再配達のご案内
送信者名:“佐川急便株式会社”(偽装)
送信元アドレス:aya14-cheer.love@xgwenwn.cn
ドメインIP解析:193.239.154.57 (xgwenwn.cn)
受信日時:2026年6月13日 05:14:39 +0900
使用メーラー:Foxmail 6, 13, 102, 15 [cn](中国製メールソフト)
SPF認証(送信元が本物かどうか確認する仕組み):Pass ※xgwenwn.cnドメインとして自己完結したPass。佐川急便公式とは無関係。
DKIM署名(メールが改ざんされていないか確認する仕組み):Pass ※同様にxgwenwn.cnによる署名。佐川急便公式とは無関係。
ご覧の通り、このメールは佐川急便を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 届いた詐欺メールの内容
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。実際にリンクをクリックしないでください。
平素より佐川急便をご利用いただき、誠にありがとうございます。 本日にお荷物のお届けを試みましたが、 ご不在のためお届けできませんでした。 以下のボタンから再配達のご希望日時をご指定ください。 🚚 再配達の依頼はこちら ※ 当日中の再配達受付は18:00までとなります。 ■ お荷物情報 ・輸送サービス名:宅配便 ■ 配達担当営業所 和光営業所(営業所番号:7062) 営業所の詳細はこちら 【ご注意】 ・本メールは各種メール通知サービスのお申し込みにより、佐川急便が自動送信しております。 ・送信専用のため、本メールへのご返信には対応しておりません。 ・ご登録の住所・メールアドレスの変更や配信停止は、こちらからお手続きください。 【新型コロナウイルス感染症について】 新型コロナウイルス感染症の位置づけが5類感染症に変更されましたが、 佐川急便では引き続き非対面での配達(ご希望の場合)を行っております。 ※従業員のマスク着用は各自の判断によります。詳細はこちらをご確認ください。 佐川急便株式会社 公式サイトはこちら
▲ 実際に届いた詐欺メールのスクリーンショット。送信者欄に「佐川急便株式会社」と表示されているが、アドレスは aya14-cheer.love@xgwenwn.cn という中国ドメインになっている。「cheer.love」という文字列が佐川急便とは全く無関係であることは一目瞭然だ。
■ 送信ルート及び偽装判定
※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側サーバー(非公表)の情報が含まれるため掲載を控えています。ご了承ください。
送信元ドメイン:xgwenwn.cn(中国ドメイン)
【偽装判定】:
正規の佐川急便からのメールは @sagawa-exp.co.jp ドメインから送信されます。本メールの送信ドメイン xgwenwn.cn は中国の民間ドメインであり、佐川急便の公式サーバーとは一切関係がありません。
【SPF・DKIM両Passについて】:
このメールはSPFとDKIMの両方の認証をPassしています。しかし攻撃者が xgwenwn.cn というドメインを自分で取得・設定し、そのドメインの範囲内で正規の認証を通過させているに過ぎません。「佐川急便として認証された」のではなく「怪しい中国ドメインとして認証された」という意味です。
使用メーラー:Foxmail(中国製メールソフト。佐川急便が業務用途で使用するメールソフトではありません)
発信元ロケーション解析:
香港・旺角(Mong Kok)エリア ※送信元IPは193.239.154.57
緯度・経度:22.3148, 114.17
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【同一インフラからの連続攻撃】:
送信元IP 193.239.154.57 は、同日に当ラボが検知したApple偽装フィッシングメール(送信元IP: 193.239.154.124)と同じ 193.239.154.0/24 サブネット内のアドレスです。同一の攻撃者グループが複数ブランドを装い、同じインフラから連続して攻撃を展開している可能性があります。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://m*****s.m****x.cn/gpajp/accunt/lginox/ (一部伏字)
リンクドメイン:meekys.mtffx.cn(中国ドメイン)
サイトサーバーIP:43.165.174.250
インフラ:Tencent Cloud(テンセントクラウド・中国系クラウドサービス)/ AS132203 TENCENT-NET-AP-CN
※ジオIPでは「東京・渋谷」と表示されますが、これはTencent CloudのCDN(コンテンツ配信ネットワーク)エッジノードが日本に設置されているためです。実際の運営者・管理者は中国企業です。
ロケーション(CDNエッジ):東京都渋谷区(35.6764, 139.65)
マップ:【Googleマップで表示】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
【クローキング(端末の種類によって表示内容を変える偽装手法)を確認】
このフィッシングサイトは、アクセスした端末によって表示内容を切り替えるクローキングを実装していることが確認されました。
| 端末 | 表示内容 |
| 📱 スマートフォン | 佐川急便公式サイトそっくりの「配送失敗の通知」画面。偽の荷物番号・住所更新フォームへ誘導 |
| 💻 パソコン | タイムアウトエラーのみ表示(セキュリティ研究者・フィルター回避のため意図的に非表示と見られる) |
スマートフォンからのアクセスに対してのみ偽サイトを表示することで、セキュリティ専門家によるパソコンからの調査・検知を難しくする狙いがあると考えられます。
【セキュリティソフトの判定】:ウイルスバスター クラウドはこのサイトを「フィッシング」として検出・ブロック済みです。
▲ ウイルスバスター クラウドによるブロック画面。脅威の種類「フィッシング」と明確に判定されている
▲ スマートフォンから誘導先URLにアクセスした際に表示される偽サイト。佐川急便のロゴ・デザインを模倣し「配送失敗の通知」と表示して住所情報の入力を求める。荷物番号まで表示する念の入れようだが、内容は完全な偽物だ
※URLのパス /gpajp/accunt/lginox/ の「accunt」「lginox」はそれぞれ「account」「login」のスペルをわざとずらした表記です。フィルター回避のための常套手段です。
■ 注意点と対処法
- 送信元アドレスを確認する:本物の佐川急便からのメールは必ず
@sagawa-exp.co.jpドメインから届きます。@xgwenwn.cnなど見慣れないドメインは即座に疑ってください。 - メール内のリンクをクリックしない:荷物の再配達依頼は、必ず公式アプリまたはブラウザのブックマークから佐川急便の公式サイトへ直接アクセスして行ってください。
- スマートフォンで開くとより危険:このフィッシングサイトはスマートフォンからアクセスした場合にのみ偽サイトが表示されます。特にスマートフォンでのリンクのクリックに注意してください。
- 住所・カード情報を絶対に入力しない:偽サイトに住所やクレジットカード情報を入力すると、個人情報が盗まれ、悪用される危険があります。
- 佐川急便公式の注意喚起を参照:佐川急便を装った迷惑メールにご注意ください|佐川急便
本レポートの結論
「再配達」という日常的なシーンを狙い、SPF・DKIMの両認証Passという高度な偽装工作に加え、スマートフォンとパソコンで表示を切り替えるクローキングまで実装した佐川急便偽装フィッシングです。フィッシングサイトはウイルスバスターがすでにブロック対象としていますが、類似サイトが次々と作られるのがこの手の攻撃の特徴です。「佐川急便からメールが来た」と思ったら、まず送信元アドレスを確認してください。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月13日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
