【解析】KAGOYAを騙る「認証トークンの有効期限」詐欺メールの正体とIP調査

【調査報告】最新の詐欺メール解析レポート
文書番号:SEC-RPT-2026-0216 / カテゴリ:フィッシング詐欺(KAGOYA偽装)

 

■ 最近のスパム動向


現在、レンタルサーバー事業者(KAGOYA等)のユーザーを標的にした「セキュリティ通知」を装うスパムが急増しています。特に「未承認デバイスの検知」や「二要素認証の有効期限」といった、利用者の焦りを誘う内容が主流です。これらは「ゼロトラスト」といった最新の用語を混ぜることで、ITリテラシーのある層さえも欺こうとする高度な手口へと進化しています。

 

■ 受信メール解析データ

件名の見出し [spam] 【重要なお知らせ】 aaa 認証トークンの有効期限に関するお知らせ
送信者 KAGOYA アクセス監視担当 <riko.kimura882642@kagoya.net>
受信日時 2026-02-16 15:27

※件名に[spam]と付与されているのは、スパムフィルタが送信元の信頼性の低さを検知したためです。また、送信者アドレスが受信者のドメインを盗用している場合、なりすましの蓋然性が極めて高くなります。

 

▼ 送信者に関する詳細情報


送信者名は「KAGOYA」を名乗っていますが、使用されているドメイン「kagoya.net」は、カゴヤ・ジャパンの主要な公式サイト(kagoya.jp)とは異なります。また、ローカルパートがランダムな数字である点も、正規の監視システムとしては極めて不自然です。

 

■ メール本文の再現


aaa bbb 様

aaa のアクセス監視システムより通知いたします。

不正ログイン防止のため、パスワード変更をお願いいたします。

————————————————————
未承認デバイス接続に関するご確認
————————————————————

お客様の aaa メールアカウントに、過去に登録のない
デバイスからの接続記録が確認されました。

aaa のゼロトラストセキュリティポリシーにより、
未承認デバイスからの接続があった場合、アカウント所有者に
よる確認が義務付けられております。

【接続記録の概要】
対象アカウント: aaa@bbb.co.jp
所属: aaa
未承認接続数: 2件
記録日時: 2026年2月16日 月曜日 06:27
確認期限: 5日以内

お客様ご自身による接続であった場合も、デバイスの
承認手続きが必要です。承認されていないデバイスからの
アクセスは、5日以内以降すべて遮断されます。

┌────────────────────────────────┐
│ │
│ ▼ 接続記録を確認しデバイスを承認する │
│ │
│ https://kagoya-login-cp-kagoya-net.ve●●●l.app/l/aYNkgY… │
│ │
│ ※ アカウントにログイン後、接続履歴を │
│ ご確認のうえ承認操作を行ってください │
│ │
└────────────────────────────────┘

【確認を行わなかった場合の影響】
– 全デバイスからのメールアクセスが一時遮断されます
– aaa の業務システムへの接続が切断されます
– モバイルアプリのプッシュ通知が無効になります
– 再接続には aaa 管理者の個別対応が必要です

ご自身の接続でない場合は、確認画面内の
「不正アクセスを報告」よりお知らせください。

————————————————————
aaa アクセス監視センター
担当: KAGOYA アクセス監視担当
報告窓口: riko.kimura882642@kagoya.net
監視ログID: mloskon52fevlk
記録日時: 2026年2月16日 月曜日 06:27
————————————————————

aaa は、お客様のメール環境の安全を最優先に運用しております。

※本通知は aaa の監視システムが
aaa様 ( aaa@bbb.co.jp ) 宛てに
自動発行したセキュリティ報告です。
※ご不明な点がございましたら aaa の窓口までお知らせください。
配信停止: https://kagoya-login-cp-kagoya-net.ve●●●l.app/unsub=…

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

 

■ 専門家による解析コメント


【デザインの評価】
全体的にテキスト主体の、非常に「素っ気ない」構成です。しかし、罫線や枠組み(┌┘等)を巧みに使い、システムの自動通知としての「公式らしさ」を演出しています。

【不自然な点】
最も不自然なのは「宛名」です。正規の通知であれば、登録されている本名が記載されますが、本メールではメールアドレスの一部(aaa bbb)が機械的に引用されています。また、緊急性を煽る「5日以内に遮断」という表現は、典型的な詐欺のテンプレートです。

 

■ 危険なポイントと対処法


1. 送信ドメインの不一致:送信者アドレスがカゴヤの正規ドメイン(kagoya.jp)ではありません。
2. 誘導先の不透明性:本文内のURLが「.vercel.app」という無料ホスティングサービスに向いています。大手プロバイダがこのようなドメインでログインを促すことはありません。
3. 偽の警告内容:公式サイトを確認したところ、現在このような「未承認デバイス検知」による自動遮断のキャンペーンは行われていません。

【対処法】:リンクは絶対に踏まず、メールを即座に破棄してください。既に情報を入力した場合は、直ちに本物の公式サイトからパスワードを変更し、サポートへ連絡してください。

 

■ メール回線関連情報(送信元解析)

Received情報 from localhost (unknown [34.84.165.100])
送信元IPアドレス 34.84.165.100
ホスト名 100.165.84.34.bc.googleusercontent.com
ホスティング社名 Google Cloud (Google LLC)
国名 日本(Japan)
ドメイン登録日 1998-01-21 (google.com)

※カッコ内のIPアドレスは、このメールを配信するために直接利用されたサーバーの情報です。「bc.googleusercontent.com」が含まれることから、攻撃者がGoogle Cloudのインフラを悪用して送信したことが裏付けられます。

詳細解析データ: https://ip-sc.net/ja/r/34.84.165.100

 

■ リンク関連および誘導先の状態

リンク配置箇所 本文中央「接続記録を確認しデバイスを承認する」枠内
リンク先URL https://kagoya-login-cp-kagoya-net.ve●●●l.app/l/aYNkgY…
直書きURL https://kagyaa.com/se●●e-kagoya
ブロック状態 ウイルスバスター、Google Safe Browsingにより危険サイトとしてブロック確認
サイトの稼働状況 稼働中(フィッシング詐欺ページ)

 

▼ サイト回線関連情報(誘導先ドメイン解析)

対象ドメイン kagyaa.com
IPアドレス 76.76.21.21
ホスト名 76-76-21-21.vercel-dns.com
ホスティング社名 Vercel, Inc.
国名 アメリカ合衆国(USA)
ドメイン登録日 2026-02-12

※ドメイン登録日が受信日のわずか数日前です。これは、特定のキャンペーンを仕掛けるために直前に取得された「使い捨てドメイン」であることを示しており、URLが危険であると判断できる決定的なポイントです。

詳細解析データ: https://ip-sc.net/ja/r/76.76.21.21

 

■ 誘導先フィッシングサイトの画像

【偽のActive!mailログインページ】

※実際のウェブメール「Active!mail」のログイン画面を精巧に模倣しており、アカウント名とパスワードを盗み取る構造になっています。過去の事例と比較しても、視覚的な違和感が非常に少なくなっています。

 

■ まとめと最終警告


今回のケースは、カゴヤの正規サービスを装い、ユーザーの焦燥感を煽る典型的なフィッシング詐欺です。ドメインの取得日や送信元サーバーの解析結果から、計画的な攻撃であることが判明しました。

身に覚えのない「デバイス承認」のメールは、絶対に信用しないでください。公式サイトでも同様のフィッシング詐欺に対する注意喚起が行われています。
カゴヤ公式:フィッシング詐欺への注意喚起を確認する

詐欺メール,カゴヤ・ジャパンActivemail,kagoya,アクセス監視担当,かごや,スパムメール,セキュリティレポート,ゼロトラスト,デバイス承認,なりすまし,ネット犯罪,フィッシング詐欺,ログイン詐欺,個人情報流出,注意喚起,認証トークン

Posted by heart