【危険】support@(自社ドメイン)から届く「アカウントが無効です」メールの正体を暴く
このメールは「利用メールサーバー」を装ったフィッシング詐欺です。
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
- 1. 1. 最近のスパム動向
- 2. 2. 今週のスパム傾向
- 3. 3. 前書き
- 4. 4. 件名
- 5. 5. 件名の見出し
- 6. 6. 送信者, 受信日, 受信時刻
- 7. 7. 本文
- 8. 8. 危険なポイント
- 9. 9. 推奨される対応
- 10. 10. Received (メールのヘッダー情報)
- 11. 11. Receivedのドメイン・IP・回線情報
- 12. 12. リンクが付けられている箇所 / リンク先URL
- 13. 13. ブロックの有無 / サイトの状態
- 14. 14. リンクドメイン調査 (whois)
- 15. 15. URLが危険と判断できるポイント / 稼働状況
- 16. 16. 詐欺サイトの画像
- 17. 17. まとめ
1. 最近のスパム動向
最近のスパムはメール単体で完結せず、リンク先でブラウザを全画面表示にしてフリーズさせる「サポート詐欺(テクニカルサポート詐欺)」へ誘導するケースが激増しています。ユーザーをパニックに陥れ、偽の電話番号へダイヤルさせるのが彼らの常套手段です。
2. 今週のスパム傾向
今週は、組織のアカウント管理を装った文面から、Microsoftの正規ドメイン(windows.net等)を悪用した詐欺サイトへ飛ばす手法が目立っています。大手クラウドサービスの信頼性を盾に、セキュリティフィルターを突破しようとする悪質な試みです。
3. 前書き
またしても親切(お節介)な「アカウント無効」の通知が届きました。Googleのふりをして近寄ってきますが、中身を開ければツッコミどころのオンパレードです。挙句の果てにはMicrosoftの偽警告画面でお出迎え。GoogleとMicrosoftが手を組んで私を脅してくるなんて、よほどの大物になった気分を味わわせてくれますね。
では、詳しく見ていくことにしましょう。
4. 件名
件名:アカウントが無効です
5. 件名の見出し
このメールの件名には [spam] の返答がありませんでした。件名を非常にシンプルにすることで、スパムフィルターのキーワード検知を巧みに回避していると考えられます。
6. 送信者, 受信日, 受信時刻
| 送信者 | support@******.** (利用者のドメイン) |
| 受信日 | 2026-01-28 |
| 受信時刻 | 11:43 |
7. 本文
このページが表示された場合は、お使いの ******.** アカウント全体が無効になっています。理由を確認する(h**ps://nulabewi.z33.web.core.windows.net/ylfcpth5l8jz.html)
1. Chrome などのブラウザで ******.** アカウントにログインします。
2. アカウントが無効になっている場合は、説明が表示されます。プライバシー ポリシー 利用規約。
※セキュリティのため、URLの一部を伏字(h**ps)にし、リンクを無効化しています。
8. 危険なポイント
送信者アドレスが support@******.** と、あたかも自分のドメインから送信されたように装っています。正規のGoogleからの通知であれば、必ず google.com などの公式ドメインから送られます。自社ドメインを偽装して「身内からの警告」を装うのは、警戒心を解かせるための典型的な手口です。
9. 推奨される対応
リンク先へアクセスしてしまった場合、表示される「電話番号」には絶対にかけないでください。ブラウザを閉じられない場合は、Ctrl + Alt + Del を押してタスクマネージャーからブラウザを強制終了しましょう。メールはそのまま破棄して問題ありません。
10. Received (メールのヘッダー情報)
メールの真の送信元を特定するReceivedヘッダーの内容です。
カッコ内の [45.64.176.170] は、受信側サーバーが直接記録した送信元IPアドレスであり、これは偽装できない信頼できる情報です。
11. Receivedのドメイン・IP・回線情報
| ドメイン | online.com.kh |
| IPアドレス | 45.64.176.170 |
| ホスティング/ISP | COGETEL (Online) Ltd. (カンボジア) |
送信ドメインはカンボジアの回線を使用しており、メールアドレスで偽装している「******.**」ドメインとは一切関係がありません。
12. リンクが付けられている箇所 / リンク先URL
「理由を確認する」などのテキストに、以下のURLが仕込まれています。
URL:h**ps://nulabewi.z33.web.core.windows.net/ylfcpth5l8jz.html
※一部を伏字(h**ps)にし、リンクを無効化しています。
13. ブロックの有無 / サイトの状態
● ウイルスバスター: ブロック済み
● サイトの状態: 現在、以下の詐欺サイトの画像のような偽の警告画面が開き、ブラウザの操作を制限しようとする動きが確認されています。
14. リンクドメイン調査 (whois)
| ドメイン | nulabewi.z33.web.core.windows.net |
| IPアドレス | 20.150.1.13 |
| ホスティング社 | Microsoft Corporation (Azure) |
| 国名 | United States (US) |
whois.domaintools.com での調査によると、Microsoft Azureのストレージ機能を悪用してフィッシングサイトを公開していることが分かります。
15. URLが危険と判断できるポイント / 稼働状況
Googleを名乗りながら windows.net (Microsoft) のドメインに誘導する点は、致命的な矛盾です。現在も稼働中ですが、これは個人情報窃取および電話番号への誘導を目的とした詐欺サイトです。
16. 詐欺サイトの画像
クリックで拡大します
サイトの説明:
Windowsの「設定」画面を模倣し、中央に「Windows Defender 保護管理センター」という偽のポップアップを表示しています。赤文字で「トロイの木馬プログラムを検出」と恐怖を煽り、(0101) 51299-66392 というテクニカルサポートへの架電を要求しています。背景がぼかされているのは、ユーザーの焦りを誘い、ポップアップに集中させるための巧妙な心理的トリックです。
17. まとめ
「Googleのアカウント無効」メールから「Microsoftの偽警告サイト」へ飛ばすという、節操のない詐欺リレーでした。正規のセキュリティソフト(Windows Defender)がブラウザの中で電話を要求することはありません。「警告はまず疑う」「電話はかけない」。これを徹底するだけで、被害は確実に防げます。