【危険】「DHL: 最後のリマインダー: アクションが必要です」メールの正体|ロシア・ドイツ経由の詐欺サイトを特定
【調査報告】最新の詐欺メール解析レポート
メールの解析結果と脅威インテリジェンスの集約
|
最近のスパム
現在、国際物流大手のDHLを装い、「配送待ちの荷物がある」と偽ってフィッシングサイトへ誘導するスパムメールが大量に確認されています。不自然な日本語と、公式とは無関係な安価なドメインを使用しているのが特徴です。
|
前書き
本レポートは、受信した不審なメールの技術的構造および、誘導先サーバーの回線情報を詳細に調査したものです。一般ユーザーが騙されやすいポイントを視覚化し、被害を未然に防ぐための資料として構成しています。
件名
| パッケージ番号 1897926700 はまだ配達待ちです。 |
件名の見出しと送信元情報
| 送信者 |
DHL Express <support@dhl-info-parcel.top> |
| 受信日時 |
202X年2月14日 07:19 (JST) |
本文(受信画像を忠実に再現)
|
お客様各位、
| パッケージ番号 1897926700 はまだ配達待ちです。 |
有効期限の3日前までに下記リンクよりご住所と送料のお支払いをご確認ください。
配送状況の詳細については、次のリンクから直接ご確認ください。
荷物を追跡する
ご理解いただきありがとうございます
これは自動送信メールです。この情報は保証なしで提供されます。誤り、変更、省略、修正、未配達、または過度に長い適応時間から生じる可能性のある直接的または間接的な損害については責任を負いません。
|
メールの感想と推奨される対応
一見すると公式のようなロゴとレイアウトですが、送信ドメインが「.top」という安価なものが使われており、信頼性は皆無です。このようなメールを受け取った場合、「何もせず削除する」ことが唯一かつ最善の対応です。
|
メールのデザイン解析
赤色の枠線で強調されたパッケージ番号など、ユーザーの視線を特定の情報に集中させる工夫がなされています。また、下部の免責事項は法的な正当性を装うための典型的な「偽装されたプロフェッショナリズム」の演出です。
危険なポイントと注意点
| ドメインの不一致 |
本物は dhl.com ですが、本メールは dhl-info-parcel.top を使用しています。 |
| 不自然な日本語 |
「適応時間」など、日本語として意味が通じにくい翻訳機特有の表現があります。 |
送信元(Received)の回線情報解析
| 送信IPアドレス |
193.161.193.75 |
| ホスト名 |
vps-75.example-host.net |
| 発信国 |
ロシア (Russian Federation) |
≫ 本レポートの根拠データを確認
リンク関連の解析
| リンク箇所 |
「荷物を追跡する」のテキスト部分 |
| 偽装URL |
htt*://dhl-parcel-check.top/jp/auth/login |
| セキュリティ対策 |
ウイルスバスター等のソフトにより「危険なサイト」としてブロック推奨 |
リンク先ドメインの回線・登録情報
| IPアドレス |
45.137.22.108 |
| ホスト名 |
static.108.22.137.45.clients.your-server.de |
| 国 |
ドイツ (Germany) |
| ドメイン登録日 |
202X年2月11日 |
※ドメイン登録日が数日前である理由:詐欺グループは通報による閉鎖を前提としており、短期間だけ稼働させる「捨てドメイン」を直前に取得するためです。
URLが危険と判断できる根拠
公式のDHLサイトは「dhl.com」の下に階層を作りますが、このサイトは「dhl-parcel-check.top」という、独立した怪しいドメイン名を取得しています。これは企業の運用ルールから大きく逸脱したものです。
詐欺サイトの状態と画像
現在も稼働中ですが、アクセスすると「We apologize, but your request has timed out.」というエラーメッセージが表示されます。これは、特定の環境(日本のIPアドレス等)以外からのアクセスを遮断し、解析を困難にするための偽装工作である可能性が高いです。
|
まとめ
本メールは、技術的解析の結果、100%詐欺であると断定されました。送信元IPはロシア、誘導先サーバーはドイツ、使用ドメインは取得直後の安価なものと、典型的な攻撃インフラの特徴を備えています。不審なメールを受け取った際は、送信ドメインの確認と、情報の一次ソース(公式アプリ等)の確認を習慣づけてください。
|
|