【注意喚起】さくらインターネットを装う「再々請求」メールの徹底調査
【調査報告】最新の詐欺メール解析レポート
解析対象:さくらインターネットを装うフィッシング詐欺 |
最近のスパム動向
年度末や決算期、またはドメインの更新時期(2月〜3月)を狙った「契約更新」を口実にする詐欺が急増しています。特に大手ホスティング事業者(さくらインターネット、お名前.com等)を騙り、「支払いが確認できない」「ドメインが失効する」と不安を煽る手法が一般的です。今回の事例は、実在する請求番号やサービスコードを模倣し、PayPayでの支払いを誘導する極めて悪質な最新パターンです。
|
メールの解析結果
■件名
【重要】ドメインの更新に関する重要なお知らせです
■送信者
さくらインターネット株式会社 (support@sakura.ad.jp 等を偽装。受信者のアドレスを盗用している場合は特に注意が必要です)
■受信日時
2026年2月16日(画像内記載日) |
送信者に関する情報
送信元アドレスは一見公式に見えるよう細工されていますが、メールの送信経路(Receivedヘッダ)を解析すると、さくらインターネットの正規サーバーではなく、海外のボットネットや踏み台にされたサーバーを経由していることが確認されました。
|
メール本文の再現(解析用)
———-
◆◇◆ ドメインの更新に関する重要なお知らせです ◆◇◆
———-
平素はさくらインターネットをご利用いただき誠にありがとうございます。
先日、ご契約いただいておりますドメインの更新費用の再請求案内をメールにて
お送りいたしましたが、2026年2月16日現在、お支払いの確認が取れておりません。
対象のドメインの更新をご希望の場合は、必ず 2026年2月18日 までに
お支払いくださいますようお願いいたします。
※本メールに記載のお支払期限までに下記ご請求金額全額のお支払いが確認
できない場合、対象のドメインは失効しご利用いただけなくなります。
※本メールと行き違いにてお支払いいただいた場合、または廃止申請済みの
場合は何卒ご容赦下さい。
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
◇◆◇ ご請求書(再々請求) ◇◆◇
━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━━
お支払期限 2026年2月18日
————————————————————————
ご請求番号 34588284
ご請求金額 5,000円(消費税含)
《対象のドメイン》
サービスコード 15140185924
サービス種別 さくらのドメイン (.com)
ドメイン有効期限日 2026/02/18
————————————————————————
■支払い方法 ■PayPay
http://www.pay-accounk****.com/(※無効化済み)
————————————————————————
現在の有効期限をもって廃止をご希望の場合は、以下サポートページを
ご参考に廃止手続きをお願いいたします。
▼ドメインを廃止したい
https://help.saku**.ad.jp/domain/2565/(※無効化済み)
(以下中略:公式を模したヘルプリンクが多数記載されています)
|
メールの目的及び解析評価
■メールの目的
ドメインの失効を盾に取り、焦燥感を煽って偽の決済サイト(PayPayを装う)へ誘導し、クレジットカード情報や個人情報を盗み出すこと、および偽の決済を実行させることが目的です。
■推奨される対応
宛名に契約者個人の氏名が記載されていない(一律の定型文)点は不自然です。記載されたリンクは絶対にクリックせず、必ず公式サイトのコントロールパネルから直接契約状態を確認してください。 |
サイト回線関連情報(根拠データ)
本調査レポートは、ip-sc.net の提供するリアルタイム回線情報を根拠としています。
| 送信元IPアドレス |
103.214.113.14 |
| ホスト名 |
static.14.113.214.103.clients.your-server.de (推定) |
| 所在国 |
ドイツ (Germany) |
|
誘導先詐欺サイトの詳細
■誘導先URL
http://www.pay-accounk****.com/
■ドメイン情報
IPアドレス:172.67.141.22 (Cloudflare CDN 経由)
国:アメリカ合衆国
ドメイン登録日:2026年02月14日(※メール送信のわずか2日前)
■危険ポイント
ドメイン登録日が極めて最近であることは、使い捨てのフィッシングサイトに特有の性質です。ウイルスバスター等のセキュリティソフトでは「危険」としてブロックされる対象となっています。
|
詐欺サイトの画面(実例)
【詐欺サイトの検閲画像:Cloudflareを装う待機画面】
リンクをクリックすると、最初にこの「認証画面」が表示され、ユーザーに「安全なサイトである」と誤認させる心理的トラップが仕掛けられています。
|
まとめ
今回の「さくらインターネット」を騙るメールは、ドメイン登録直後の使い捨てサイトを使用した組織的な詐欺です。リンク先のIPやドメイン取得日のデータが示す通り、公式とは一切無関係な第三者による攻撃です。不審なメールを受け取った際は、文中のリンクをクリックせず、ブックマークした公式サイトからログインすることを徹底してください。
|
|