【緊急】自社ドメインを乗っ取られた?!「YOU PERVERT, I RECORDED YOU!」セクストーション詐欺が1週間で20通超え、なりすまし送信元の正体を暴く
| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★☆☆☆ (2/5) |
脅迫文面の内容自体は古典的なテンプレートですが、送信元アドレスを実在するドメインに偽装している点が、受信者に「本当に自分のメールが乗っ取られた」と誤解させる強い要因になっています。まずは、実際に届いたメール本文を見てみましょう。
※実際に届いた脅迫メールの画面です(送信者名はマスキング済み)。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
Hello! Unfortunately, there is some bad news for you. Some time ago, your device was infected with my private Trojan, R.A.T. (Remote Administration Tool). If you want to find out more about it, simply use Google. My Trojan allowed me to access your files, accounts, and your camera. Check the sender of this email; I have sent it from your email account. I RECORDED YOU MASTURBATING THROUGH YOUR CAMERA! If you still doubt my serious intentions, it only takes a couple of mouse clicks to share the video of you masturbating with your family, friends, relatives, all email contacts, on social networks, and the darknet. After that, I removed my malware to leave no traces. To ensure you read this email, you will receive it multiple times. All you need is $800 USD in Bitcoin (BTC), transferred to my wallet address. After the transaction is successful, I will proceed to delete everything. You can purchase Bitcoin (BTC) from reputable exchanges here: http://www.coinbase.com - Payment options: Credit/Debit Cards, Bank Transfers, PayPal (in some regions). http://www.binance.com - Payment options: Credit/Debit Cards, Bank Transfers, P2P trading, third-party payment providers, and gift cards. http://www.bitrefill.com - Payment options: Paysafecard, credit/debit cards, crypto, bank transfer, and other gift cards. http://www.crypto.com - Payment options: Credit/Debit Cards, Bank Transfers, Apple Pay, Google Pay, and more. http://www.etoro.com - Payment options: Credit/Debit Cards, Bank Transfers, PayPal. Alternatively, simply Google for other exchanges. Once purchased, you can send the Bitcoin (BTC) directly to my wallet address or use a wallet application such as Atomic Wallet or Exodus Wallet to manage your transactions. My Bitcoin (BTC) wallet address is: 15QWF2UvF3Cj61AzPJrhaC8aCsB7LbsRYe Yes, that's how the wallet address looks. Copy and paste my wallet address; it's case-sensitive. A piece of advice from me: regularly change all your passwords and update your device with the latest security patches.
■ 日本語訳(要旨)
こんにちは。残念なお知らせがあります。少し前に、あなたの端末に私専用のトロイの木馬(R.A.T.=遠隔操作ツール)を感染させました。詳しく知りたければGoogleで調べてください。このトロイの木馬によって、あなたのファイル・アカウント・カメラにアクセスできるようになりました。送信者を確認してください——このメールはあなた自身のアカウントから送っています。あなたがカメラの前でマスターベーションしている様子を録画しました。
まだ私の本気を疑うなら、その動画を家族・友人・親戚・全メール連絡先・SNS・ダークネットに共有するのは、マウスを数回クリックするだけです。録画後、追跡されないようマルウェアは削除済みです。
このメールを必ず読んでもらうため、複数回送信しています。要求は800米ドル相当のビットコイン(BTC)を、私のウォレットアドレスに送金することだけです。送金が完了したら、すべて削除します。
(以下、ビットコインの購入方法として複数の取引所サイトのリンクと、ウォレットアドレスが記載されています。)
最後にひとつ助言を——定期的にすべてのパスワードを変更し、端末を最新のセキュリティパッチで更新してください。
文面自体は2018年頃から世界中で確認されている「セクストーション(性的脅迫)スパム」の典型的なテンプレートです。「トロイの木馬を仕込んだ」「カメラで録画した」という主張に、実際の証拠(映像ファイルや画面写真など)は一切添付されていません。IPA(情報処理推進機構)の調査でも、こうした脅迫メールで実際に映像が存在した事例は確認されていないと報告されています。
ご覧の通り、このメールは何の根拠もない真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ なりすまし送信元の正体(送信ルート解析)
件名:[spam] YOU PERVERT, I RECORDED YOU!
見かけ上の送信元:自社ドメインなりすまし(受信者自身のドメインを偽装)
受信日時:2026年6月25日 18:28頃
SPF(送信元のなりすましを検知する仕組み)認証結果:Softfail(認証失敗=なりすましの強い証拠)
本当の送信元IPアドレス:185.113.37.223
※メールヘッダー詳細は個人情報保護のため非掲載
差出人のメールアドレスは誰でも自由に書き換えることができます。今回のメールは、SPF(送信元ドメインの正当性を検証する仕組み)の認証結果が「Softfail」でした。これは「このIPアドレスからこのドメイン名を名乗って送るのは許可されていません」という、なりすましを示す重要な手がかりです。見た目の送信元が自分自身のドメインだったとしても、実際にそのドメインのサーバーから送られたわけではありません。
■ 攻撃インフラの解析結果
実際の発信元IPアドレス:185.113.37.223
【ip-sc.netで調査結果を見る】
ロケーション:カザフスタン・マンギスタウ州 アクタウ
プロバイダ:Xcom(XCOMMUNICATION-AS)
脅威レベル:高(サイバーアタックの攻撃元として既に登録)
マップ:【Googleマップで表示】
【中継経路に関する注記】:ヘッダー上にはこの他にも複数の中継サーバーの記録がありましたが、その一部には実態と矛盾する組織情報が記載されていました。スパムメールでは経路情報そのものを偽装・捏造するケースが多く、こうした記録は実際の経路を正確に反映していない可能性があります。
※ロケーション情報は調査時点(2026年6月)のものであり、攻撃者のインフラは日々変化する可能性があります。
※IPアドレスの所在地を調べた結果です。
今回の調査で、もう一つ重要な事実が判明しました。この件名のメールが、直近6日間だけで20通近く確認されています。送信元として使われたローカルアドレス(@より前の部分)は複数に分かれており、攻撃者が同じ文面・同じビットコインアドレスのまま、なりすます名前だけを変えてばらまいていることが分かります。
| 受信日 | 件数 | 使われたなりすまし送信者名(一部) |
| 6/21 | 2通 | ko***-1**6、t*m*a**a |
| 6/22 | 5通 | cloud、ko***-1**6、t*m*a**da |
| 6/23 | 3通 | r**2*p52***27、ko***-1**6 |
| 6/24 | 4通 | r**2*p52***27、ko***-1**6、t*m*a**da、cloud |
| 6/25 | 3通 | ko***-1**6、cloud(×2) |
攻撃者にとって、なりすます名前は使い捨てです。どの名前を名乗っていても、実際の発信元はカザフスタンの同一サーバーであることに変わりはありません。(その割に、よくこれだけ毎日違う名前を思いつくものだと、ある意味感心してしまいます(笑)。)
■ 注意点と対処法
- 絶対に支払わない:実際に動画や画像が存在した事例は確認されていません。要求に応じても、攻撃者が約束を守る根拠はどこにもありません。
- 送信元アドレスを過信しない:自分自身のメールアドレスや会社のドメインから届いたように見えても、技術的には誰でも自由に偽装できます。「乗っ取られた」と即断しないでください。
- 本文中のビットコイン購入サイトのリンクは踏まない:リンク先自体は実在する大手取引所ですが、攻撃者のウォレットアドレスに送金してしまえば取り返せません。
- 不安な場合は専門機関に相談:IPA「性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意」でも同種の手口が詳しく解説されています。
なお、この手の「自称ハッカー」からの脅迫メールは今回が初めてではありません。当ブログでも以前、同種の手口を取り上げています。気になる方は合わせてご覧ください。
本レポートの結論
「YOU PERVERT, I RECORDED YOU!」という脅迫メールは、実態のない不特定多数へのばらまき詐欺であり、送信元アドレスの偽装は誰でも行える単純な手口です。1週間で20通という量からも分かるように、こうしたメールは今後も形を変えて届き続けます。身近な人が動揺してお金を払ってしまう前に、この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【注意喚起】経済産業省・資源エネルギー庁「電気・ガス補助金失効通知」は詐欺!SPF認証失敗の不正メールがVポイント詐欺と同じ誘導先を使用 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開!