【解析】DHL「最後のリマインダー」詐欺メールの送信元IPと偽ドメインを特定
【調査報告】最新の詐欺メール解析レポート
メールの解析結果:DHLを騙るフィッシング詐欺(2026年2月事例) |
■ 最近のスパム動向
今回ご紹介するのは「DHL」を騙るメールですが、その前に最近のスパムの動向を解説します。現在、国際配送を装う手口は「再配達」「住所確認」といった名目で、被害者を巧妙に偽サイトへ誘導するパターンが定着しています。特に、今回の事例のように最新のドメインを使い捨てにする「逃げ足の速い」手法が目立っています。
|
■ 受信インシデント詳細
| 件名 |
[spam] DHL: 最後のリマインダー: アクションが必要です |
| 件名の見出し |
件名に「[spam]」が含まれています。これは、送信元ドメインの信頼性が低い、あるいは過去にスパム送信履歴があるIPから送信されたことをサーバーが検知し、自動付与した警告ラベルです。 |
| 送信者 |
DHL EXPRESS <order.cqcvuqd[at]nfvc.cn> |
| 受信日時 |
2026-02-09 3:31 |
|
■ メールの本文構成
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
| ── DHL ──
お客様各位、
| パッケージ番号 1800947800 はまだ配達待ちです。 |
有効期限の3日前までに下記リンクよりご住所と送料のお支払いをご確認ください。
配送状況の詳細については、次のリンクから直接ご確認ください。
荷物を追跡する
ご理解いただきありがとうございます
これは自動送信メールです。この情報は保証なしで提供されます。誤り、変更、省略、修正、未配達、または過度に長い適応時間から生じる可能性のある直接的または間接的な損害については責任を負いません。
|
|
|
■ 専門家による解析レポート
【メールの感想】
本メールはDHLのブランドカラーを模倣し、フッターの免責事項まで記載することで「公式感」を演出しています。しかし、日本語の言い回し(「適応時間」など)に不自然な直訳感が残っており、機械翻訳を利用した海外からの攻撃である可能性が非常に高いです。
【デザインの特徴】
ロゴを配置し、赤い枠線で荷物番号を強調する手法は、ユーザーに視覚的な焦りを感じさせるための古典的な心理戦術です。
【危険なポイントと対処法】
送信元アドレスの不一致: 表示名はDHLとなっていますが、実際のアドレスは「nfvc.cn」という中国ドメインです。公式(dhl.com)と全く異なるため、この時点で100%詐欺と断定できます。
対処法: メールを開封しただけであれば実害は少ないですが、リンク先で情報を入力してしまった場合は、即座にカード会社への連絡とパスワード変更が必要です。
※DHL公式:不正取引への注意喚起はこちら
|
■ Received(送信元情報)の解析
※これは送信に利用された情報であり、カッコ内のIPアドレスは信頼できる送信者情報です。
| Received情報 |
from unknown (HELO nfvc.cn) (101.47.78.209) |
| 送信元ドメイン |
nfvc.cn(公式と比較し、完全に偽装されています) |
| 送信元IPアドレス |
101.47.78.209 |
| ホスティング・国 |
中国 (China) |
【メール回線関連情報】
解析の根拠データ:https://ip-sc.net/ja/r/101.47.78.209
|
■ リンク誘導先(詐欺サイト)の解析
| リンク箇所 |
「荷物を追跡する」のテキスト部分 |
| リンク先URL |
hXXps://decideosity.ykdyrkye[.]cn/portal_login_exp/getQuoteTab/
※安全のため[.]伏字を含みます。直接リンクはしていません。 |
| セキュリティブロック |
ウイルスバスター:ブロック確認済み |
| サイトの状態 |
We apologize, but your request has timed out.(エラー表示中) |
【詐欺サイトのスクリーンショット】
【リンクドメインの技術詳細】
| ドメイン |
ykdyrkye.cn |
| IPアドレス |
101.47.78.209 |
| ホスト名 |
(送信元と同じサーバーでホストされている可能性が高い) |
| 国 |
China |
| ドメイン登録日 |
2026年2月初旬 |
【ドメイン登録日に関する考察】
このドメインは2026年2月に取得されたばかりの非常に新しいものです。取得から数日でこの詐欺メールが送信されていることから、法執行機関やセキュリティソフトのブラックリストに載る前に、短期間で一気に攻撃を仕掛ける「使い捨て」目的であることは明白です。
【サイト回線関連情報】
取得したIPアドレスの解析:https://ip-sc.net/ja/r/101.47.78.209
|
■ まとめ
過去の事例と比較しても、配送業者を装う手口は巧妙化していますが、送信元ドメインの確認(今回の場合は「.cn」)という基本動作で被害は防げます。リンク先がエラーを表示していても、それは一時的な閉鎖や検知回避の可能性があります。絶対に情報を入力しないでください。
【再確認:DHL公式注意喚起リンク】
DHL:フィッシング詐欺に対する公式ガイド
|
|
