【スパム解析】注文書と会社概要 – 巧妙な韓国企業偽装に注意

このメールは「海外取引先」を装ったフィッシング詐欺およびマルウェア配布メールです。
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対に添付ファイルを開いたり、返信したりしないでください。

最近のスパム動向

2026年に入り、AIを用いたより自然なビジネスメールの偽装が急増しています。特に「注文書（Purchase Order）」や「見積依頼」を装い、ウイルスを仕込んだOffice文書やPDFファイルを送りつける手口は、B2B（企業間取引）を狙った攻撃の定番となっています。

今週のスパム傾向

今週は、新年早々の挨拶を交えつつ、あたかも継続的な取引があるかのように装う「やり取り型」のスパムが目立ちます。今回のように、具体的な社名（Bada Tek Co., Ltd.など）や担当者名を名乗ることで、受信者の警戒心を解こうとするのが特徴です。

はじめに：新年早々、身に覚えのない「お得意様」

新年あけましておめでとうございます、なんて丁寧な挨拶から始まる今回のメール。
「新しい注文書を添付しました」とのことですが、そもそもこの会社と取引した記憶、皆さんはありますか？
「以前の価格で～」なんて言われると、「あれ？安くしてくれるの？」と一瞬手が止まるかもしれませんが、その「指」こそが攻撃者の狙いです。
見知らぬ韓国企業（を騙る何か）からの、お年玉ならぬ「ウイルス入り文書」を、詳しく見ていくことにしましょう。

メール基本情報

受信メールの全文

なぜスパムと判断したか

件名の冒頭に [spam] と記載されています。
これは、メールサーバーが「送信元サーバーの信頼性が低い」「送信ドメイン認証（SPF/DKIM等）に失敗している」「本文がスパムの特徴と一致する」といった理由から、自動的に「危険なメール」としてマーキングしたものです。

危険なポイント：送信元情報の不一致

署名では韓国の会社（Bada Tek Co., Ltd. / 国番号+82）を名乗っていますが、実際の送信メールアドレスは export6@temak.gr です。
「.gr」はギリシャのドメインであり、韓国の会社がギリシャのよく分からないドメインから注文書を送ってくること自体が、極めて不自然です。典型的な「乗っ取られたメールアカウント」または「偽装アドレス」と言えます。

セキュリティソフトの判定

添付されている .docx ファイルは、ウイルスバスター等のセキュリティソフトにより、悪意のあるマクロが含まれたマルウェア（ダウンローダー等）としてブロックされる可能性が非常に高いです。
ファイルを開いた瞬間に、外部のサーバーから別のウイルスをダウンロードさせ、PCを乗っ取られる危険があります。

推奨される対応

1. 添付ファイルは絶対に開かない。
2. メールに返信しない（返信することで「有効なアドレス」として認識され、攻撃が激化します）。
3. 速やかにメールを削除する。

送信元サーバー情報

※whois.domaintools.com 等の解析結果に基づく

Received情報（メールヘッダー）

以下は、このメールがどのサーバーを経由してきたかを示す、信頼できる送信経路情報です。

解析結果：
送信IPアドレス 143.20.185.63 は、ドメイン temak.gr の正規の送信サーバーを装っていますが、中身は米国のクラウドサーバーです。
韓国企業の署名がありながら、ギリシャのドメインを使い、米国のサーバーから送信されているという「支離滅裂な経路」が確認できました。