【調査】ご注文ありがとうございます – Apple AirPods Pro 3 解析

【調査報告】最新の詐欺メール解析レポート

メールの解析結果と対策: 楽天市場を騙る高度な環境判定型フィッシング詐欺

 

最近のスパム動向


今回ご紹介するのは「楽天市場」を騙るメールですが、その前に最近のスパムの動向を解説します。
2026年現在、スパムメールは単なる情報の窃取だけでなく、セキュリティソフトの自動検知を逃れるための「擬態」が極めて巧妙化しています。
特にApple製品(AirPods Pro 3等)のリリースや大型セール時期に合わせ、受信者の焦りを誘発する「覚えのない注文確認」を送付する手法が急増しています。

 

メール基本ヘッダー情報

件名 [spam] ご注文ありがとうございます – Apple AirPods Pro 3
件名の見出し 件名に「[spam]」が含まれる理由は、サーバーがSPF/DKIM等の送信ドメイン認証の失敗や、送信元IPの低評価を検知したためです。
送信者 Dandyストア <cjhlvvl@mail7.bayanyeri.com>
受信日時 2026-02-28 7:14

 

メール本文の解析(再現)

※以下の内容は届いたメールのデザインを忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。リンクは全て物理的に無効化しています。

Rakuten 楽天市場

DANDYストア
ご注文ありがとうございます
Thank you for your order

お客様、
ご注文が確定しました。以下の内容をご確認ください。

注文番号 / ORDER ID
RK-2691411-82212		 注文日 / DATE
2026年2月28日

 

ご注文商品
新品未開封
Apple AirPods Pro 3 MFHP4J/A
カラー:ホワイト / 数量:1		 ¥38,980

 

ご注文詳細を確認する

※実際のボタンリンク先:https://rakuten.co.jp.********.net/ (伏せ字を含む)

 

メールの目的及び解析結果

■ 犯人の目的

本メールの目的は、高額商品の購入確定を偽装してユーザーの不安を煽り、リンク先へ誘導して「楽天ログイン情報」および「クレジットカード決済情報」を窃取することです。

■ 専門的解説と異常点

ロゴやフォントを楽天市場の正規通知に極限まで寄せていますが、決定的な異常点は「送信元アドレス」です。
楽天公式ストアを名乗りつつ、アドレスが `mail7.bayanyeri.com` という全く無関係な海外ドメインになっています。
また、宛名が「お客様」という汎用的な呼びかけになっており、個別のユーザー名を特定できていない点も詐欺の特徴です。

 

Received(送信者情報)の解析

以下のデータは、このメールを実際に送信したインフラの実体です。

送信ドメイン mail7.bayanyeri.com
送信元IPアドレス 34.85.58.182
ホスティング社名 Google Cloud (bc.googleusercontent.com)
設置国 Japan (Tokyo)
ドメイン登録日 https://whois.domaintools.com/ 解析の結果、直近で取得されたドメインであり、攻撃用使い捨てインフラと断定されます。


【送信元の信頼性検証(外部参照)】
カッコ内のIPアドレスは信頼できる送信者情報であることを明記し、以下で解析:
https://ip-sc.net/ja/r/34.85.58.182 (回線関連情報)

 

リンク先サイトの状態と「条件付きリダイレクト」の罠


リンクを押すとなぜだか楽天市場の公式サイトに接続されました。
なぜ、リンクを押しただけで本物の楽天市場に接続されたのか?


これは「環境判定型リダイレクト」と呼ばれる高度な検知回避手法です。犯人のサーバーはアクセスしてきたユーザーが以下の条件に当てはまる場合、**詐欺ページを表示せずに本物のサイトへ転送**します。

  • セキュリティソフトの調査用ロボットであると判定された場合
  • ウイルスバスターやGoogle Safebrowsingですでにブラックリスト化された後のアクセス
  • 犯人が意図しない地域(IPアドレス)からのアクセスのケース


結論: 本物が開いたからといって「安全なメール」だったわけではありません。犯人が「今はこの相手を騙せない」と判断して逃げた跡なのです。

解析ドメインIP 104.21.31.218
ホスティング Cloudflare
稼働状況 稼働中(条件により本物へリダイレクト)


【サイト回線関連情報(解析リンク)】
https://ip-sc.net/ja/r/104.21.31.218

 

危険なポイントと対処法


* 送信元を比較: 本来の楽天メールは `order@mail.rakuten.co.jp` 等から届きます。今回のドメインは完全に偽物です。
* 宛名の確認: 「お客様、」という記載は不自然です。正規の注文確認には必ず登録者のフルネームが入ります。
* 公式サイトでの確認: 不安な場合はメールのリンクを踏まず、検索から公式サイトへ行き「購入履歴」を直接確認してください。


楽天公式サイトによる注意喚起:
【楽天市場】不審なメールへの注意喚起

 

まとめ


今回の事例は、最新デバイスの注文を装う季節性の高いスパムでした。過去事例と比較しても、デザインの完成度が高く、リンク先が状況に応じて本物に切り替わるなど、極めて悪質な「逃げ道」を確保した攻撃です。
見出しに「[spam]」がある場合は、サーバーが発した最後の警告です。絶対に無視せず、速やかに削除することをお勧めします。

解析協力:セキュリティレポート解析チーム

楽天,詐欺メールAirPodsPro3詐欺,サイバー犯罪,スパムメール解析,セキュリティレポート,ネット詐欺対策,フィッシング詐欺,リダイレクトの罠,個人情報保護,楽天偽装メール,送信元IP調査

Posted by heart