【解析】TEPCO未払い請求詐欺メール「支払いの詳細リンクエント」に注意
【調査報告】最新の詐欺メール解析レポート
解析対象:東京電力(TEPCO)を騙るフィッシングメール
Status: High Risk / Phishing Confirmed | ■ 最近のスパム動向
今回ご紹介するのは「東京電力(TEPCO)」を騙るメールですが、その前に最近のスパムの動向を整理します。現在、年度末の電気料金の精算時期や、新生活に伴う契約変更のタイミングを狙った「料金未払い・供給停止」という強い言葉を用いた詐欺が急増しています。特にスマートメーター普及後の「Web検針票」に慣れたユーザーを標的に、公式を装った偽サイトへ誘導する手口が一般的です。
| ■ メールの解析結果
| 件名: | [spam] 【注意】東京電力(TEPCO)未払い料金のお支払い期限のお知らせ 番号:2632390 | | 件名の見出し判定: | 冒頭の[spam]は、受信サーバーのスパムフィルターが配信元の評価やヘッダーの不整合を検知した結果であり、この時点で悪意のあるメールであると断定できます。 | | 送信者: | “【TEPCO】 顧客サービスチーム” <noreply@mail16.tkqgerx.com> | | 受信日時: | 2026-03-17 11:28 | | ■ 送信者に関する詳細情報
送信元ドメイン「mail16.tkqgerx.com」は東京電力の正規ドメイン(tepco.co.jp)とは一切無関係です。これは攻撃者がフィッシング目的で短期取得した「使い捨てドメイン」の典型的な特徴を示しています。
| ■ 本文の再現と技術的指摘
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
TEPCOよりご利用料金のご請求
平素より東京電力エナジーパートナー株式会社のサービスをご利用いただき、誠にありがとうございます。 下記の未払い金額について、期日までにお支払いください。期日を過ぎますと、サービスのご供給を停止させていただきます。 ▼ 支払いの詳細リンクエント(リンク先:https://tree.llc***.com/paflgi1dj/) <未払い金額: 5,931円 (税込) >
支払い期限: 2026-03-17 (延長不可)
【お支払い方法】 【お問い合わせ先】
東京電力エナジーパートナー株式会社 カスタマーサポートセンター
電話番号: 0120-123-456 (受付時間: 平日 9:00〜18:00)
※本メールは、TEPCOにメールアドレスを登録いただいた方へ配信しております。 東京電力エナジーパートナー株式会社
〒100-8560 東京都千代田区内幸町1丁目1番3号 ※本メールに掲載された内容は許可なく転載することを禁じます。
(c) TEPCO Energy Partner, Inc. | | ■ 犯人の目的および専門的見解
【犯人の目的】
受信者を「電気供給停止」という緊急事態を装って心理的に追い込み、偽の決済サイトへ誘導して、クレジットカード番号、有効期限、セキュリティコードを盗み出すことが主目的です。
【専門的評価】
構成は極めてシンプルですが、リンクの文言が「支払いの詳細リンクエント」という明らかに不自然な日本語(「エントリー」の誤表記か機械翻訳の不備)になっています。これは、日本人ではなく海外の犯罪グループがテンプレートを使い回している可能性を強く示唆します。 【署名と電話番号の検証】
本文記載の「0120-123-456」という番号は、東京電力の正規のカスタマーセンター番号ではなく、ダミー、もしくは別の詐欺窓口に繋がるリスクがあります。正規のTEPCO窓口は公式サイトで公開されている番号のみです。
| ■ Received(送信元)インフラ解析
※以下は送信時に利用されたヘッダーに基づく信頼できる解析データです。 | Received ドメイン: | mail16.tkqgerx.com | | 送信IPアドレス: | 155.248.160.29 | | ホスト名: | 29.160.248.155.bc.googleusercontent.com | | ホスティング社: | Google LLC (Google Cloud) | | 設置国: | United States (米国) | | ドメイン登録日: | 2026-03-10 (登録からわずか7日) |
【メール回線関連情報】
ホスト名に含まれる「bc.googleusercontent.com」は、Google Cloudのインフラを利用していることを示します。攻撃者は身元特定を困難にするため、大手クラウドの試用期間や使い捨てアカウントを悪用して送信拠点を構築しています。
→ [解析根拠データ:送信元IP 155.248.160.29 の詳細]
| ■ 誘導先フィッシングサイトの構造解析
| リンク箇所: | ▼ 支払いの詳細リンクエント | | リンク先URL: | https://tree.llc***.com/paflgi1dj/(一部伏字) | | セキュリティ判定: | ウイルスバスター/Google Safe Browsingにより危険サイトとして検知 | | リンク先ドメイン: | tree.llcbm.com | | リンク先IPアドレス: | 104.21.49.205 | | ホスト名: | cloudflare.com (CDN経由) | | 設置国: | United States (米国) | | ドメイン登録日: | 2026-03-12 |
【サイト回線関連情報】
ドメイン登録日が2026-03-12となっており、メール配信のわずか5日前に準備されています。正規のインフラ企業がこのような急造ドメインで決済を求めることはあり得ません。また、Cloudflareを利用して実際のサーバー位置を秘匿している点も、詐欺サイト特有の構成です。
→ [解析根拠データ:誘導先IP 104.21.49.205 の詳細]
| ■ 詐欺サイトの現状と視覚的証拠
現在、当該リンク先は稼働中ですが、アクセス環境によっては以下のエラーを返し、解析を妨害する挙動が見られます。
| Sorry, your request timed out. Please try again or check your internet connection. | (解析時に確認されたエラー画面の再現)
【URLが危険と判断できるポイント】
1. ドメイン名(llcbm.com)が「東京電力」と一文字も掠っていないこと。
2. SSL証明書の発行元や取得日が、メール送信直前の不自然なタイミングであること。
3. 特定のIPアドレス(日本国外)からのみアクセスを待ち構えている意図。
| ■ 総評と推奨される対応
本件は、過去の事例と比較しても「日本語の翻訳精度」が低く、比較的見破りやすい部類に入ります。しかし、デザインを模倣した巧妙なフィッシングサイトへと誘導されるため、決してリンクを踏んではいけません。
【対処法】
・メールを即座に削除する。
・どうしても不安な場合は、メール内のリンクではなく、検索エンジン等から「東京電力」の公式サイトを直接開き、会員ページ(くらしTEPCO web等)から支払い状況を確認する。
| |