【解析】旭友会を騙る詐欺メール「ご不幸通知」のIP・ドメイン調査報告
【調査報告】最新の詐欺メール解析レポート
解析対象:旭友会を騙る不審なご不幸通知メール(フィッシング) |
最近のスパム動向
現在、特定の組織や団体(親睦会や業界団体)の名を騙り、「ご不幸通知」や「緊急連絡」といった人の心理的な隙を突くスパムメールが急増しています。これらは従来のバラマキ型とは異なり、受信者が所属している可能性が高い特定の組織名を名乗ることで、URLのクリック率を高める巧妙な手法です。
|
前書き
本レポートでは、2026年2月に確認された「旭友会」を装った不審メールを詳細に解析します。本メールは受信者の動揺を誘い、外部のフィッシングサイトへと誘導する典型的な攻撃手法を確認しました。技術的なエビデンスに基づき、その危険性を明らかにします。
|
不審メールの構成要素
| 件名 |
[spam] 【旭友通信0206】ご不幸通知 |
| 件名の見出し |
件名に「[spam]」という文字列が含まれています。これは、受信側のメールサーバーやセキュリティソフトが、送信経路の不整合(なりすまし)やスパム判定アルゴリズムに基づいて自動的に付与した警告ラベルです。この表記がある時点で、正当な組織からのメールではないと断定できます。 |
| 送信者 |
info <wukosmwkpjt@guitarshojo.jp> |
| 受信日時 |
2026-02-06 19:53 |
|
メール本文(再現)
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
旭友会ご不幸通知 令和8年2月6日
詳細は下記URL
https://www.ybrid-ba****-exc.com/
|
|
メールの感想と推奨される対応
今回のメールは、非常にあっさりとした素っ気ない内容で構成されています。具体的な故人の名前や詳細をあえて記載しないことで、「一体誰が亡くなったのか?」という受信者の強い不安感と好奇心を煽り、URLをクリックさせる「心理的トラップ」を仕掛けています。
因みにここに出てくる「旭友会」とは、AGC株式会社(旧 旭硝子)の退職者団体です。
旭友会は、日本を代表する素材メーカーであるAGC株式会社の退職社員によって構成されている親睦団体です。
推奨対応: 本文中のリンクは決してクリックせず、メールを削除してください。また、旭友会の公式サイトにて同様の注意喚起が出ていないか、公式な窓口から直接確認することを強く推奨します。 |
メールのデザインと不審点
このメール特有の怪しい点として、日本の伝統的な通知形式を模倣しながらも、リンク先が「.com」ドメインの不自然な文字列である点が挙げられます。また、送信元のアドレス(guitarshojo.jp)と通知主(旭友会)の間に一切の関連性がなく、第三者のドメインを悪用していることが明白です。
|
Received(送信元) 技術解析レポート
以下のデータは送信者がメールサーバーを経由した際に記録された「生の情報」であり、信頼できるエビデンスです。
| ドメイン |
guitarshojo.jp |
| IPアドレス |
58.158.54.50 |
| ホスト名 |
58x158x54x50.ap58.ftth.ucom.ne.jp |
| 国 |
日本 (Japan) |
| 分析 |
国内の家庭用回線(UCOM)から送信されています。正規の法人組織がこのような回線から一斉通知を送ることはあり得ません。送信者のメールアドレスが本物の組織と乖離していることは、なりすましの決定的な証拠です。 |
【本レポートの根拠データ:送信元回線情報】
|
リンク先サイトの状態と詐取の手口
リンクをクリックすると、段階的に情報が奪取される構造になっています。
【フェーズ1】検証中ページの表示
アクセス直後、「ロボットによる操作ではないことを確認します。」という偽の画面が表示されます。これはCloudflareのセキュリティ機能を模倣しており、セキュリティソフトの自動巡回を妨害しつつ、被害者を「正規のページに向かっている」と誤認させる装置です。
それに漢字が日本の物ではなく中国の漢字ですね!
【フェーズ2】電話番号認証詐欺
検証を通過すると、「携帯電話番号」の入力を求められます。ここで番号を入力すると、SMS(ショートメッセージ)を通じて認証コードが送られ、そのコードをサイトに入力させることで、各種決済サービスやSNSアカウントを完全に乗っ取られる恐れがあります。
|
サイト回線・ドメイン詳細解析
リンク先ドメイン(www.ybrid-ba****-exc.com)の技術的な背景を公開データに基づき解析しました。
| IPアドレス |
172.67.211.235 |
| ホスト名 |
cloudflare.com (CDN経由) |
| 国 |
アメリカ合衆国 (United States) |
| ドメイン取得日 |
2026年1月中旬(本攻撃の直前) |
| 危険判断の根拠 |
ドメインの取得日が攻撃のわずか数週間前であることは、**「使い捨ての詐欺用ドメイン」**である確実な証拠です。長期間運用されている正当な企業ドメインとは性質が根本的に異なります。現在サイトは「稼働中」であり、極めて危険な状態です。 |
【サイト回線解析データ:ip-sc.net取得結果】
|
まとめ
今回の事例は、AGC(旧旭硝子)の退職者組織などを狙った過去のフィッシング事例と構造が酷似しています。攻撃者はCloudflareの名称や「ご不幸」という心理的なフックを巧妙に使い分けています。
不審なメールを受け取った際は、必ず旭友会の公式サイト(https://www.agc-kyuyukai.jp/)等の公式告知を確認し、被害を未然に防いでください。
|
|