【解析】【重要】領収書メールは詐欺！iCloud 12TBの嘘を見抜く

2026年3月10日

1. 【調査報告】最新の詐欺メール解析レポート

【調査報告】最新の詐欺メール解析レポート

今回ご紹介するのは「Apple」を騙るフィッシングメールですが、その前に最近のスパムの動向を整理します。
2026年に入り、サブスクリプションサービスの「自動更新」を装った領収書メールが非常に増えています。特に年度末に向けて、身に覚えのない高額請求を見せることでユーザーをパニックに陥れ、「解約しなければ」という心理を逆手に取って偽サイトへ誘導する手口が目立ちます。

■ メール基本情報（解析結果）

件名：	[spam] 【重要】領収書
件名の見出し：	spam判定あり（メールサーバーが迷惑メールと自動認識した証拠です）
送信者：	アイクラウド写真 <noreply@mx76.xxxdown.com>
受信日時：	2026-03-09 19:23

送信者に関する情報：
送信ドメイン「xxxdown.com」はApple公式とは全く無関係です。
送信者名が「アイクラウド写真」と全角スペース混じりのカタカナ表記である点も、正規のAppleからの通知としては非常に不自然です。

領収書

ご利用店名 Apple Store	日付 2026年3月9日
ご注文番号 MQSRTYUOJP	書類番号 441272481853

iCloud

価格

iCloud+: 12 TB ストレージプラン

月額
更新：2026年3月9日

JPY 8,560

合計 JPY 8,560

【解約をご希望】

■ この更新注文が作成されている状態では、お客様からの解約申請がない場合、同一条件にて契約は延長されます。
■ 更新をご希望されない場合は、必ず解約の申請をおこなってください。

契約の解約

※本レポート用にデザインを再現していますが、本物の詐欺メールとは細部が異なる場合があります。リンク先は hxxps://gallusi[.]com/ddj92so/（伏字あり）です。

■ 犯人の目的と専門的見解

犯人の目的：
このメールの目的は、Apple ID（メールアドレス、パスワード）を盗み出し、さらには解約手続きを装ってクレジットカード情報や個人情報を入力させ、金銭を搾取することです。

専門的な怪しい点：
・Apple公式では「12TB」というストレージプランは一般提供されていません（2026年時点）。
・「この更新注文が作成されている状態では」という言い回しは、典型的な自動翻訳の不自然な日本語です。
・本物の領収書には必ず登録されている「本名の宛名」が記載されますが、本メールには一切ありません。

■ メール回線関連情報（送信元の技術データ）

Receivedヘッダに基づき、送信経路を特定しました。

送信元ホスト	mail.91c808f.softbank.jp
送信元IPアドレス	194.153.140.242
ホスティング会社	SoftBank Corp.
国名	Japan (日本)
ドメイン登録日	softbank.jp 自体は大手キャリアですが、ホスト名がランダム生成されており、乗っ取られたか偽装されています。

[ 解析根拠データ：ip-sc.net ]

■ 誘導先詐欺サイトの解析

リンク先URL：hxxps://gallusi[.]com/ddj92so/（安全のため伏字を含んでいます）
ウイルスバスターによるブロック：あり

リンク先サイトの状態：

Sorry, your request timed out. Please try again or check your internet connection.

※現在、このページはタイムアウトエラーを表示し、活動を停止しているか調査を回避しています。

リンクドメインWhois・回線情報
ドメイン	gallusi.com
IPアドレス	104.21.31.221
ホスティング会社	Cloudflare, Inc.
国名	United States (アメリカ合衆国)
ドメイン登録日	最近登録されました。詐欺サイトは足がつくのを防ぐため、攻撃の直前にドメインを取得するのが定石です。