【解析】ETCサービス:料金確認のお願い 詐欺メールの通信元とドメインを特定
【調査報告】最新の詐欺メール解析レポート
メールの解析結果:本レポートは受信したスパムメールのヘッダー解析、および誘導先ドメインの回線情報を技術的視点でまとめたものです。 | 最近のスパム動向と前書き
今回ご紹介するのは「ETC利用照会サービス」を騙るフィッシングメールです。最近のスパム動向として、実在する公共インフラの名を借りて「お支払い手続きが未完了」と急かし、偽のログインサイトへ誘導してクレジットカード情報を盗み取る手口が常套化しています。特に深夜帯に機械的に大量送信されるケースが目立っています。
| | 件名 | [spam]ETCサービス:料金確認のお願い | | 件名の見出し | 件名の冒頭に「[spam]」というタグが付与されています。これはサーバー側のセキュリティ検疫により、内容がスパムであると自動判定されたことを示します。 | | 送信者 | ETC利用照会サービス <order.xqxzmq@shphrif.cn> | | 受信日時 | 2026-02-13 10:31 | メール本文の精密再現 | ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
平素よりETC利用照会サービスをご利用いただき、誠にありがとうございます。
お客様のご利用において、一部のご利用料金に未決済の状態が確認されました。つきましては、以下の内容をご確認のうえ、必要なお手続きをお願いいたします。 ■ ご確認内容
- 対象期間:最新のご利用分
- 状況:お支払い手続きが未完了
- 対応期限:本メール受信後24時間以内
ご利用明細を確認する ※期限を過ぎた場合、システム側で一時的な制限がかかる場合がございます。
NEXCO西日本/ETC利用照会サービスセンター
※本メールは送信専用です。ご返信いただいても対応いたしかねます。 | メールのデザインと感想
構成は非常にあっさりしており、事務的な通知を装っています。署名に「NEXCO西日本」を記載していますが、本文全体のトーンが素っ気なく、利用者の焦りを誘うためだけに「24時間以内」という文言を強調しているのが特徴です。
| 危険なポイントと対処法 【送信アドレスの比較】
公式サイトでは通常「etc-meisai.jp」ドメインが使用されます。今回の送信元「shphrif.cn」は中国ドメインであり、公式とは一切無関係な偽装アドレスです。公式サイトでも「不審なメールへの注意喚起」が強く出されています。 ⇒ 【公式】ETC利用照会サービス 注意喚起ページ | Received(送信者情報)の解析 from unknown (HELO shphrif.cn) (101.47.67.96)
※これは送信に利用された生の情報であり、カッコ内のIPアドレスは信頼できる送信者特定情報です。 | 送信元ドメイン | shphrif.cn | | 送信元IPアドレス | 101.47.67.96 | | ホスト名・サーバー | 101.47.67.96 (Shenzhen Tencent Computer Systems) | | 国名 | China (CN) |
ドメイン登録情報: whois情報を参照したところ、登録日が直近であり、攻撃用の使い捨てドメインと推測されます。
[ip-sc.net] 送信元メール回線詳細レポートを確認 | サイト回線関連情報(誘導先) | リンク箇所: 「ご利用明細を確認する」テキスト部分 リンク先URL: hXXps://lucably[.]awtvtl[.]cn/Rfuncc1013000extfunc/ (※一部伏せ字を含みます) セキュリティ検知: ウイルスバスター等によりブロック確認済み
誘導先ドメイン・回線詳細 | ドメイン | lucably.awtvtl.cn | | IPアドレス | 43.156.30.224 | | ホスト名 | 43.156.30.224 (Tencent Cloud) | | 国名 | Hong Kong (HK) | | ドメイン登録日 | 最近(数日〜数週間以内) |
分析コメント: 登録日が最近である理由は、通報によるサイト閉鎖を見越し、次々と新しいドメインを取得して攻撃を継続するためです。このような短命なドメインは詐欺サイトの典型的な特徴です。
[ip-sc.net] 誘導先サイト回線詳細レポートを確認 | リンク先サイトの状態と画像 【誘導先の現況】
稼働状況:タイムアウト(アクセス不能) ※以下はアクセス時に表示されたエラーページの再現画像です | We apologize, but your request has timed out. Please try again or check your internet connection. For further assistance, contact our support. |
アクセスすると上記のような英語のエラーが表示されます。これは既にサイトが閉鎖されたか、特定の環境以外からのアクセスを拒否している状態です。
| まとめ
今回のETC詐欺メールは、過去の事例と比較しても文面が簡略化されていますが、リンク先は依然として危険な海外ホスティングサーバーを転々としています。
少しでも怪しいと感じたら、メールのリンクは絶対にクリックせず、ブックマークした公式サイトからログインする習慣をつけてください。
⇒ 再度確認:公式サイトの注意喚起ページ | |