【注意喚起】DocuSignを装ったフィッシングメールに注意(実例あり)
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
いつもご覧くださりありがとうございます!
できる限り分かりやすく説明していいます。
最後までお読みいただても5分~10分程度ですのでごゆっくりご覧ください。
前書き
なんか「DocuSign」なんていう電子契約サービスから support アドレス宛にメールが届きました。
リンクからドキュメントを開いて確認するように促すメールのようですが、とても危険な香りがプンプンしますよ。
いったい何がしたいのか詳しく見ていくことにしましょう。
あっと、その前に!
これらのメールは開いただけなら被害に遭うことはありませんので先にお伝えしておきますね!
以下、そのメールです。
※テキストだけコピペしてありますので、性質上文字化け等はご容赦ください。
またリンクのURLは直リンク防止のため文字を一部変更してあります。
メール本文
ここから本文
↓↓↓↓↓↓
件名:[spam] Docusignで完了。
送信者: “Docusign" <support@******.***> ←私のドメイン
こんにちは support@******.***,
ドキュメントファイルのリンクを開いて内容を確認できない場合は、メッセージを受信トレイフォルダに移動してください。..
ドキュメントファイルのリンクを開いて内容を確認できない場合は、メッセージを受信トレイフォルダに移動してください。
以下のリンクをクリックしてドキュメントをご確認ください。
レビュー文書
Received by: support@******.***
本日中に「1742912464_Contract_Agreement2026.docx」という文書をご確認ください。
このメールを共有しないでください:
このメールにはDocuSignへの安全なリンクが含まれています。このメール、リンク、またはアクセスコードを他人に共有しないでください。
別の署名方法:
DocuSign.com にアクセスし、「ドキュメントにアクセス」をクリックして、セキュリティコード「68BD645F39124D44B8B4BF22A7C692BE7」を入力してください。
DocuSign について:
わずか数分で電子的に書類に署名できます。安全で、機密性が高く、法的拘束力があります。
署名に問題がある場合は、「文書への署名方法」をご覧ください。
本文ここまで
※本記事は注意喚起目的で掲載しています
このメールは、フィッシング詐欺(なりすましメール)の可能性が非常に高いですね。
以下の理由から、リンクをクリックしたり、セキュリティコードを入力したりせず、すぐに削除することをお勧めします。
では理由を整理します。
不審・危険なポイント
- 不自然な日本語
「ドキュメントファイルのリンクを開いて内容を確認できない場合は、メッセージを受信トレイフォルダに移動してください」という説明ですが、眉間にしわが寄りそうな書き方でとても不自然です。
これは、メールソフトの迷惑メールフィルタ(リンクを無効化する機能)を回避させようとする典型的な詐欺の手口です。 - 送信元のアドレス
送信者が「support@(私のドメイン)」になっていますが、DocuSignが受信者自身のドメインを使ってメールを送ることは通常ありません。
本物のDocuSign通知は、通常「@docusign.net」や「@docusign.com」系から来るはずです。 - ファイル名が不審
「1742912464_Contract_Agreement2026.docx」という、数字の羅列が含まれるファイル名は、ウイルスを仕込んだファイルによく見られる形式なので危険なファイルの可能性が高いです。
推奨される対応
- リンクをクリックしない
メール内の「レビュー文書」などのリンクは絶対に押さないでください。 - 公式サイトから確認する
もし本当に心当たりのある契約がある場合は、メールのリンクからではなく、ブラウザで直接 DocuSignの公式サイト にアクセスし、公式のマイページから状況を確認してください。
件名の見出しを確認
この件名の見出しには”[spam]”とスタンプが付けられているので迷惑メールの類です。
このスタンプはスパムスタンプと呼ばれるサーバーからの注意喚起で、これが付いている
ものは全て迷惑メールと判断されたもの。
うちのサーバーの場合注意喚起だけですが、例えばGoogleのGmailサーバーの場合だと
否応なしに「迷惑メール」フォルダーに勝手に保存されるような仕組みもあります。
メールのヘッダー情報を確認
では、送信者の素性が分かるメールヘッダーの「Receivedフィールド」から情報を探ってみます。
こちらがこのメールのReceivedフィールドです。
Received: from (私のドメイン) (183179117106.ctinets.com [183.179.117.106])
本来ならここには、送信者のメールアドレスと同じ私のドメインが記載されるはずですがそれとは全く異なる「183179117106.ctinets.com」なんてドメインが記載されていますね。
もうこの時点で偽メール確定!
Received のカッコ内は、送信サーバーが自身で書き込むもので、偽装することはできません。
では、試しにドメイン「183179117106.ctinets.com」に関する詳しい情報を「Grupo」さんで取得してみます。
割り当てているIPアドレスが Received のIPアドレスと合致しているので「183179117106.ctinets.com」が送信者のメールアドレスドメインですね。
このReceivedフィールドの末尾にあるIPアドレスからそのロケーション地を「IP調査兵団」で導き出してみると…..
送信元の正体は
調査結果にある通り、送信元の正体は以下のようになっています。
- 所在: 香港 (HK)
- ネットワーク所有者: 香港ブロードバンドネットワーク (CTINETS.COM)
- 分類: インターネットサービスプロバイダー (ISP)
DocuSignのような世界的な企業が、香港の一般家庭用・個人向け回線(ISP)から、わざわざ私のドメインを名乗ってメールを送ることは物理的にあり得ません。
結論は、ビジネスメール詐欺(BEC)+ DocuSignなりすましメールであると言えます!
リンク先のドメインを確認
さて、本文の「レビュー文書」と書かれた部分に付けられた詐欺サイトへのリンクですがURLは以下の通りです。
【h**ps://hrueo.edgeone.app/】
(直リンク防止のため一部の文字を変更してあります)
ご覧の通りDocuSign のドメインとは異なるものが利用されていますから、このサイトは公式サイトではありません!
このドメインを割当てているIPアドレスを「whois.domaintools.com」さんで取得してみます。
まず1つ目の注目点は「IP Address 43.152.26.58 – 1,888 other sites hosted on this server」です。
ふふ~ん、まずこのドメインを割り当てているIPアドレスは「43.152.26.58」。
で、このIPアドレスは「1,888が同居」しています。
DocuSignや契約書系の正規サービスが他1,800あまりのサイトと同じIPを使うことはまずありません。
次の注目点が「IP Location Singapore – Central Singapore – Singapore – 16 Collyer Quay」
IPアドレスの所有者は、香港ブロードバンドネットワーク (ISP)ですね。
私のドメインを騙っていますが、実際には香港の個人向けインターネット回線から送信されています。
DocuSignのような公的なサービスがこのような経路を使うことはあり得ません。
「IP調査兵団」でこのIPアドレスからそのロケーション地域を調べると、ドイツのフランクフルト付近であることが分かりました。
プロバイダー名やAS名からこのIPアドレスは、中国Alibaba系クラウドのグローバルネットワークが利用されています。
これは世界各地(SG / HK / DE / US など)に拠点あり、ドイツのフランクフルトはその代表を指すだけで犯人の実所在地ではありません。
リンクを辿ってみると、このようなページがどこからもブロックされることなく無防備に放置されていました。
このページは、DocuSignとは一切関係は無く、私のメールアカウントのパスワードを盗み取るための「偽のログイン画面(フィッシングページ)」です。
その理由は以下の通りです。
①DocuSign要素がゼロ
DocuSignのロゴなし
契約書名・差出人・文書IDなし
署名/レビューUIなし
このようにDocuSign要素が一切存在していません。
②表示が「ウェブメール」
ウェブメール
アカウントログインする
これは「support@私のドメイン」を狙っていて 完全にメールアカウント乗っ取り目的です。
絶対にログインしてはいけません!
ログインしてしまうとその情報は取得されてしまい、不正ログインを行われた上でメールアドレスの乗っ取り被害に遭うことになります。
まとめ
これらの調査結果からこのメールは、完全なBEC(ビジネスメール詐欺)と判定いたしました。
恐ろしいことに、今、こうしている間にも大量のフィッシング詐欺メールが発信されたくさんのフィッシング詐欺サイトが作られ消滅していきます。
次から次に新種のメールが届くので常に意識して被害に遭わないようご注意ください。
いつものことながら、誤字・脱字・意味不明がありましたらお許しください(^-^;