【解析】日本郵便「お荷物に関する重要なお知らせ」詐欺メールのIP・ドメイン調査報告

【調査報告】最新の詐欺メール解析レポート
技術ドキュメント:日本郵便を騙るフィッシングインフラの動的解析

 

最近のスパム動向


今回ご紹介するのは「日本郵便」を騙るメールですが、その前に最近のスパムの動向を整理します。2026年現在、物流インフラを装った攻撃は、単純ななりすましから、Google Cloud等の正規インフラを隠れ蓑にする手法へとシフトしています。これにより、従来のドメインブロックを回避し、短期間で大量の標的へリーチする傾向が強まっています。

 

前書き


本レポートは、受信した不審なメールから送信元IP、経路情報、および誘導先ドメインの登録情報を抽出し、その危険性を客観的なデータに基づいて証明するものです。

 

解析対象メール情報

件名:[spam] 「お荷物に関する重要なお知らせ」


※件名に[spam]が含まれている理由は、送信元サーバーのレピュテーション(信頼度)が低く、既に多くの受信環境でスパム判定を受けているためです。

送信者: 日本郵便 <ad-mwbahv@laresia.cn>
受信日時: 2026-02-10 0:48

 


【日本郵政】いつも大変お世話になっております。


重要なお荷物が届きましたが、荷物に不備があり、受取人と連絡が取れませんでした。

お客様がその荷物の受取人であるかどうかを確認したく、ご連絡させていただきました。

そのため、下記をご覧いただき、受取情報をご確認ください。できるだけ早く、再度のご配達を手配いたします。

確認はこちら


お客様にはご不便、ご心配をおかけして申し訳ございませんでした。ご理解いただきますようよろしくお願いいたします。

48時間以内に確認が取れない場合、荷物は返却されますのでご注意ください。


日本郵便輸送株式会社
Copyright (c) JAPAN POST Co.,Ltd. All rights reserved.
メッセージID: yh2overhbmrm6nryxikkfg
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

 

メールの専門解析評価

デザインと印象


本メールは公式ロゴを一切使用せず、テキストのみで構成されています。全体的に「あっさりして素っ気ない感じ」を受けますが、これは公的な事務連絡を装うことで、受信者に「形式的な通知である」という誤認をさせる狙いがあります。

危険なポイントと注意点


送信元アドレス「ad-mwbahv@laresia.cn」は、日本郵便の正規ドメイン(japanpost.jp等)と全く異なります。公式が「.cn(中国ドメイン)」を使用して日本国内向けの通知を行うことはありません。公式サイトでも、このような「身に覚えのないメール」への警戒が強く呼びかけられています。
日本郵便:公式サイトの注意喚起ページ

 

Received(送信者情報)の解析


これは送信に利用したサーバーの生情報であり、カッコ内のIPアドレスは偽装不可能な「信頼できる送信者情報」です。

送信元ドメイン laresia.cn
送信元IPアドレス 101.47.76.103
ホスト名 bc.googleusercontent.com
ホスティング国 Unknown (Google Infrastructure利用)


【専門的補足】 ホスト名に「bc.googleusercontent.com」が含まれています。これは攻撃者がGoogle Cloud Platform(GCP)の計算資源を悪用してメールを送信していることを示唆しています。正規の日本郵便がクラウドインフラからランダムなドメインでメールを送ることはありません。


■ 本レポートの根拠データ(ip-sc.net):
https://ip-sc.net/ja/r/101.47.76.103

 

サイト回線関連情報(リンク先解析)


メール内の「確認はこちら」に設定されていた、誘導先フィッシングサイトの技術データです。

リンク先URL hXXps://bursaneity.rfimu.cn/jaen/potder/(※一部伏字・リンク無効)
リンクドメイン bursaneity.rfimu.cn
IPアドレス 104.21.32.221 (Cloudflare 経由)
ホスティング国 United States (Cloudflare CDN)
ドメイン取得日 2026-02-05(解析時点から5日前)


【URLが危険と判断できるポイント】
ドメイン登録日が極めて最近である理由は、セキュリティソフトやブラウザの「危険サイトリスト」に登録される前に攻撃を完結させ、リストに載る頃にはサイトを放棄して次のドメインへ移行するためです。この「短命ドメイン」の使用はフィッシングサイトの典型的な特徴です。


■ サイト解析詳細リンク(ip-sc.net):
https://ip-sc.net/ja/r/bursaneity.rfimu.cn

 

リンク先サイトの状態


現在、このサイトは稼働中ですが、アクセス環境によっては以下のタイムアウトエラーが表示されます。

詐欺サイトの画像

 

まとめ


今回の事例は、過去の物流詐欺と比較しても、正規クラウドサービスのホスト名を隠れ蓑にするなど、技術的な回避策が目立ちます。ドメイン取得から数日で攻撃を開始するスピード感も脅威です。

不審なメールを受け取った際は、本文内のリンクを決してクリックせず、必ず公式のブックマークやアプリから確認を行ってください。


■ 日本郵便 公式注意喚起:
https://www.post.japanpost.jp/notification/notice/fraud-mail.html

日本郵便,詐欺メールIPアドレス,サイバーセキュリティ,スパムメール,セキュリティレポート,ドメイン調査,なりすましメール,フィッシング詐欺,個人情報漏洩,日本郵便,日本郵政,注意喚起,解析報告,詐欺メール

Posted by heart