【危険】DHL重要なお知らせは詐欺!リンク先IPとドメイン登録日の異常性を徹底検証
【調査報告】最新の詐欺メール解析レポート
■ 最近のスパム動向
今回ご紹介するのは「DHL」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年現在、物流業者を装い「関税」や「再配達料」の名目で少額決済を迫り、クレジットカード情報を盗み出す手口が定着しています。特に、正規サイトのドメインをもじった偽装アドレスや、改ざんされた一般サイトのURLを悪用するケースが目立っています。
|
前書き
本レポートでは、受信者の不安を煽り、偽の決済画面へ誘導する巧妙なフィッシングメールの内部構造を、通信ログおよびドメイン解析に基づき明らかにします。
| 件名 |
[spam] 【重要】DHL情報の更新と請求処理に関する重要なお知らせ |
| ※件名に「[spam]」とあるのは、サーバー側で既に迷惑メールとしてマーキングされているためです。絶対に信頼しないでください。 |
| 送信者 |
“DHL Express sansetubi.jpcustomer1-ac" <MISSING_MAILBOX> |
| 受信日時 |
2026-02-05 02:11 |
■ メールのデザイン(再現)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
お客様各位,お荷物は配達待ちの状態です。お支払いの確認(1.99ドル)をしてください。
どうすればよいですか?
以下のリンクより、オンライン認証を72時間以内に完了してください。期限が過ぎると無効になります。
敬具,
DHL Team. |
|
|
■ 危険なポイントと注意点
【送信元アドレスの偽装】
送信者名に「DHL」と入っていますが、実際のアドレスには「sansetubi.jpcustomer1-ac」といった無関係な文字列が使われています。本物のDHLは自社ドメイン(dhl.com 等)以外からこのような通知を送ることはありません。【対処法】
身に覚えのない請求や、公式サイト以外での少額決済要求はすべて無視してください。公式の注意喚起は以下のリンクから確認できます。
≫ DHL公式:フィッシング詐欺に関する注意喚起
|
■ メール回線関連情報(送信元)
以下の「Received」ヘッダーは送信に利用された生の情報であり、カッコ内のIPアドレスは信頼できる送信者特定情報です。
| 項目 |
解析結果 |
| 送信元ドメイン |
internetfix.secure-line.net |
| 送信元IPアドレス |
59.120.40.253 |
| ホスト名(サーバー) |
59-120-40-253.hinet-ip.hinet.net |
| 設置国 |
台湾 (Taiwan) |
≫ 本レポートの根拠データ:送信元IP解析 (ip-sc.net)
■ サイト回線関連情報(リンク先)
リンク箇所:「配送状況を確認する」
誘導URL:hxxps://kitchen-tr[.]ru/wp-content/plugins/nbhrgxk/u/app/
※直リンク防止のため「.」を「[.]」に、また「https」を「hxxps」に書き換えています。安全判定:Googleおよびウイルスバスター等で既に「危険なサイト」としてブロック対象となっています。 |
| ドメイン詳細 |
データ内容 |
| 対象ドメイン |
kitchen-tr.ru |
| IPアドレス |
185.129.100.141 |
| ホスティング会社 |
Beget LLC |
| 設置国 |
ロシア (Russia) |
| ドメイン取得日 |
2025年後半~2026年初頭(最近) |
■ 独自解析コメント:
このドメインの登録日が極めて最近である理由は、攻撃者がセキュリティフィルター(ブラックリスト)に登録されることを避けるため、**「短期間で使い捨てるための新ドメイン」**を次々と取得しているからです。登録から日が浅いドメインは、それだけで詐欺サイトである可能性が非常に高いと判断できます。
≫ サイト回線詳細情報を確認する (ip-sc.net)
詐欺サイトの稼働状態
稼働状況:現在も稼働中(非常に重く、開くまでに時間がかかります)
|
■ まとめ
過去の事例と比較しても、今回のメールは「配送状況の確認」を餌にロシアドメインの急造サイトへ誘導する、極めて典型的なフィッシング詐欺です。URLの中に「plugins」などの文字列が含まれる場合、正規のサイトではなく、WordPressなどの脆弱性を突いて乗っ取られたサイトである可能性も高いです。不審なメールを受け取ったら、まずは公式サイトを確認する癖をつけましょう。
≫ DHL公式サイト:詐欺への注意喚起を再確認する
|
|