【危険】『あなたは以下の送信元からセキュリティ保護されたドキュメントを受信しました』は偽物、実例と見分け方

【調査報告】最新の詐欺メール解析レポート

本レポートは、確認された不正メールの構造および誘導先サイトの危険性を技術的に解析したものです。

最近のスパム動向について

昨今、クラウドサービスの普及に乗じ、「暗号化メッセージ」や「セキュアドキュメント」を装う手口が急増しています。特に年度末や組織の改編時期、またはサイバーセキュリティ月間などの時節に合わせ、利用者の「確認しなければならない」という心理的焦燥感を煽る傾向があります。今回の検体も、正規のセキュリティ機能を模倣した巧妙なデザインが特徴です。

メール受信解析データ

※注意：送信者の表示名に「bbb.co.jp」が含まれていますが、実際の送信元アドレスは「americanmaterials.net」ドメインであり、受信者の組織情報を盗用してなりすましている可能性が極めて高い状態です。

送信元（ヘッダー）解析結果

送信元サーバーの情報を精査した結果、正規の「bbb.co.jp」関連サーバーからではなく、海外のホスティングサービス経由で送信されていることが判明しました。

メールのデザインと不審な点

本メールは、Microsoft Purview などの正規のメッセージ暗号化通知を精巧に模倣しています。しかし、以下の点が極めて不自然です。

• 宛名の欠如： 正規の通知であれば、受信者の氏名が明記されるケースが多いですが、本件はメールアドレスのみの記載です。
• 日本語の違和感： 「新しいセキュアメッセージが届いた。」という、丁寧語を欠いた不自然な翻訳調の表現が見られます。

推奨される対応

このようなメールを受信した場合、中央のボタン（このメッセージを読む）を決してクリックしないでください。送信者のメールアドレスが組織の正規ドメインと一致しているか、必ず詳細ヘッダーを確認することが重要です。

誘導先（詐欺サイト）の徹底解析

メール内のリンクをクリックした際の遷移先情報を調査しました。

【重要】ドメイン登録に関する考察：

このドメインは攻撃の直前に取得されています。これは、既存のブラックリスト（ウイルスバスター等）による検知を回避するための「使い捨てドメイン」特有の挙動です。

サイト回線・インフラ詳細情報

本レポートの根拠データとして、以下の外部セキュリティデータベースとの照合結果を引用します。

※外部データベースと連携し、当該IPアドレス（203.0.113.88）が過去にスパム配信やフィッシングサイトのホスティングに使用された履歴をリアルタイムで監視しています。

詐欺サイトの視覚的確認（稼働状況：稼働中）

リンク先では、ビジネスメールシステム「Active! mail」を装った偽のログイン画面が表示されます。

（図：偽装された「Active! mail」ログイン画面の構成）

まとめと対策

今回の事例は、組織内のシステム（Active! mail等）を装い、認証情報を盗み取ろうとする非常に危険なフィッシング詐欺です。

■ 対策のポイント：
1. 送信元の「実アドレス」が組織のものであるか確認する。
2. 外部サイトでログインを求められた際、URLが正規のもの（例：https://mail.bbb.co.jp/…）であるか厳重に確認する。
3. 不審な点がある場合は、情シス部門や公式のサポート窓口へ直接問い合わせる。