【注意】「アカウントメンテナンスのお知らせ」は詐欺か?aol.com発信のスパムを徹底調査
【調査報告】最新の詐欺メール解析レポート
本レポートはメールの解析結果と通信経路を技術的に検証したものです
|
1. 最近のスパム動向と前書き
今回ご紹介するのは「Webメールサービス」を騙るフィッシングメールですが、その前に最近のスパムの動向を解説します。昨今、企業のDX化に伴い、ブラウザ上でメールを確認する「Active!mail」などのWebメールサービスが広く普及しています。攻撃者はこれに目を付け、組織の管理者を装って「メンテナンス」や「アカウント更新」という名目でログイン情報を盗み取る手口を急増させています。
|
2. 検知されたメールの基本構成
| 件名 |
[spam] お客様のアカウントに関する重要なお知らせ |
| 件名の見出し |
見出しに「[spam]」が含まれています。これは受信サーバーのスパムフィルターが、送信元の信頼性や本文の特徴から、本メールを既に危険と判定した証拠です。 |
| 送信者 |
“Mail Service" <bussiebussie6@aol.com> |
| 受信日時 |
2026-02-13 11:21 |
|
3. メール本文の再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
アカウントメンテナンスのお知らせ
お客様のメールアカウントは、現在メンテナンス更新の対象となっております。
引き続き安全かつ正常にご利用いただくため、アカウント情報のご確認をお願いいたします。
お手数ですが、下記のボタンよりお手続きをお願いいたします。
期限(2026年2月13日)までにお手続きが完了していない場合、一部機能がご利用いただけなくなる可能性がございます。
M メールボックス管理チーム
© 2026 無断転載禁止 |
|
4. メールの解析結果と危険なポイント
■ メールの感想とデザイン
デザインは非常にシンプルで素っ気ないものです。これは過度な装飾による違和感(偽物感)を消すため、あえて事務的なシステム通知を模倣していると考えられます。しかし、フッターに「2026 無断転載禁止」とある一方で、差出人の組織名が「M メールボックス管理チーム」と曖昧である点は、典型的な詐欺メールの特徴です。
■ 危険なポイントと対処法
【送信者比較】 本来のシステム通知であれば、利用しているプロバイダーや自社の独自ドメインから送られますが、このメールは aol.com という海外のフリーメールを利用しています。これは絶対にあり得ない構成です。このようなメールを受信した際は、まず送信者の「@」以降を確認してください。
|
5. Received解析(送信元サーバー情報)
これはメール送信に利用された物理的な情報であり、カッコ内のIPアドレスは信頼できる送信者情報です。
| 送信元(Received) |
from sonic313-44.consmr.mail.bf2.yahoo.com (74.6.133.218) |
| 送信元ドメイン |
yahoo.com(送信元ドメインと比較し、正規のYahoo!インフラが悪用されている可能性があります) |
| 送信者のIPアドレス |
74.6.133.218 |
| ホスティング/ホスト名 |
sonic313-44.consmr.mail.bf2.yahoo.com |
| 設置国 |
アメリカ合衆国 (United States) |
※ bc.googleusercontent.com 等が含まれる場合、Google Cloud Platform 等のクラウドサービスが踏み台にされているケースがありますが、本件はYahoo系インフラ経由です。
≫ ip-sc.netでメール回線関連情報を解析する
|
6. 誘導先URLと詐欺サイトの解析
■ リンク関連情報
| リンク設置箇所 |
「メールボックスを管理する」ボタン |
| 誘導URL |
hxxps[:]//qrco[.]de/bgbkF4(※伏字を含むため直接は繋がりません) |
| セキュリティブロック |
ウイルスバスターやGoogleセーフブラウジング等のブロックを回避するために短縮URLが利用されています。 |
| サイトの現況 |
稼働中:Active!mailを装った偽のログインページ(weebly.com傘下)へ誘導されます。 |
■ サイト回線・ドメイン関連情報
| ドメイン(短縮元) |
qrco.de |
| IPアドレス |
104.26.11.196 |
| ホスト名 / 国 |
Cloudflare, Inc. / アメリカ合衆国 |
| ドメイン登録日 |
直近で取得・更新 |
【解析コメント】 ドメイン登録日が最近である理由は、攻撃者が通報によるサイト閉鎖を見越して、次々と新しいドメインを取得・破棄を繰り返しているためです。これはフィッシングサイトの決定的な特徴の一つです。
≫ https://ip-sc.net/ja/r/104.26.11.196 で詳細解析を確認
|
7. 誘導先の詐欺サイト(偽ログイン画面)
URLをクリックすると表示される画面です。「Active!mail」のロゴを盗用し、利用者に安心感を与えてパスワードを入力させようとしています。URLが「weebly.com」ドメインになっている点に注目してください。
|
8. まとめと対策
過去の事例と比較しても、本件は「フリーメールからの送信」「短縮URLの利用」「無料ホームページ作成サービスの悪用」という、低コストで構築された詐欺スキームです。
【注意点と対処方法】
* 送信元のメールアドレスが組織の正規ドメインか確認する。
* ログインを促すメールは、ブックマークした正規サイトからアクセスし直す。
* 不審な点があれば、所属組織のシステム管理者へ連絡してください。
≫ 公式サイトによる最新の注意喚起はこちら
|
|