【調査報告】最新の詐欺メール解析レポート

ETC利用照会サービスを騙るなりすましメール

■ 最近のスパム動向

今回ご紹介するのは「ETC利用照会サービス」を騙るメールですが、その前に最近のスパムの動向を。現在、時節柄、ETCの利用が増える時期を狙った詐欺や、年度末・新生活に関連した各種インフラ（電力、通信、税務署）を装った「返金手続き」や「アカウント更新」の通知が急増しています。不特定多数に送りつけ、焦りを利用して偽のサイトへ誘導する手口が横行しており、注意が必要です。

■ 標的メール基本解析

▼ 件名の見出し

メールの主題です。

▼ 件名

[spam] 【重要】ETC利用照会サービス 2026年2月分 返金手続きのお知らせ

※件名にある「[spam]」は、メールサーバーがこのメールを危険と判断し、自動的に付与した識別子です。この文字列がある時点で、詐欺メールである可能性が極めて高くなります。

▼ 送信者 (aaa@bbb.co.jpは受信者のメールアドレスを盗用)

送信元アドレスのドメイン「lumix.com」は、本物のETC利用照会サービス（etc-meisai.jp）とは一切無関係です。これは典型的な「なりすまし」です。

▼ 受信日時

2026-03-29

▼ 受信時刻

6:51

▼ 送信者に関する情報

表示名は公式を装っていますが、中身のアドレスは全く異なる外部のドメインが使われており、信頼性はありません。

■ メール本文の再現

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

【専門的解説】 本文の背景が白で末尾数行が水色の背景は詐欺メールで多く使われているテンプレートです。このメール特有の怪しい点は、受信者のメールアドレスをそのまま宛名に使っている点（個人の特定ができていない）と、存在しない「2026年2月分」の返金を騙っている点です。

■ 解析結果

▼ メールの目的

「返金手続き」を名目に、受信者を偽のサイトへ誘導し、クレジットカード情報や個人情報を盗み取ることが目的です。この犯人の目的は金銭的な利益の奪取です。

▼ メールのデザイン

公式ロゴや、ETC利用照会サービスの名称を無断で使用し、もっともらしい通知文に仕上げています。フッター部分に水色の背景色を付けるなど、一定のデザインテンプレートに沿って作成されており、視覚的に信憑性を持たせようとする工夫が見られます。

▼ 感想

受信者のアドレスを宛名に使うなど、作りはやや雑ですが、「返金」という甘い言葉と短い期限（4/1）を組み合わせることで、受信者を焦らせてクリックさせる手法は典型的なフィッシング詐欺です。

■ 偽者を見抜くポイントと推奨される対応

▼ 危険なポイント

• 送信者のメールアドレスが本物と違う：公式は「etc-meisai.jp」ドメインですが、このメールは「lumix.com」です。これは決定的な証拠です。
• 宛名が個別の氏名ではない：「お客様のアカウント（ aaa@bbb.co.jp ）」という表現は不自然です。公式であれば、登録された氏名で宛名が記載されます。
• 存在しない日付：レポート作成時点で「2026年2月分」の返金が発生しているということはあり得ません。時期も内容も出鱈目です。
• リンクの緊急性：「72時間以内にのみ有効」と時間を区切ることで、冷静な判断を鈍らせようとしています。

▼ 推奨される対応

■ 技術的調査レポート (Receivedヘッダー解析)

これは送信に利用した情報でありカッコ内のIPアドレスは信頼できる送信者情報です。この情報は改ざんできません。

▼ Received(送信者情報)(送信元の情報であることを明記)

Received: from mail1.lumix.com (v163-44-98-41.4zjh.static.cnode.jp [163.44.98.41])

▼ Received(送信者)のドメイン

lumix.com。送信元のドメインと比較して偽装されておらず、この詐欺組織が管理、もしくは乗っ取ったサーバーから直接送信されていることが判明しました。

▼ Received(送信者)のIPアドレス(伏字にしない)

163.44.98.41

送信者が利用したIPアドレスです。

▼ ホスティング社名(必ず記載)

GMO Internet, Inc. (ConoHa)。送信者が利用したホストやレンタルサーバーです。

▼ 国名(必ず記載)

日本 (Japan)。ホストやレンタルサーバーの設置国です。

▼ 「ドメイン登録日・登録者」(必ず記載)

「lumix.com」について https://whois.domaintools.com/ で情報を取得。登録日は非常に古く、正規の企業ドメインであったものが、メールサーバーの脆弱性を突かれ、詐欺メールの踏み台にされた可能性が高いと考えられます。

▼ メール回線関連情報(必ず記載)

IPアドレス 163.44.98.41 について https://ip-sc.net/ja/r/ で回線関連情報等を取得し、レピュテーション（評判）が急速に悪化していることを確認しました。解析結果の根拠データとして、詳細な解析ページのリンクを貼ります。解析ページへ

■ リンク・誘導先サイト解析

▼ リンクが付けられている箇所(説明する)

本文中の「返金お手続きページへ」というテキストリンクに、偽サイトへのURLが埋め込まれていました。

▼ リンク先URL(一部を伏字にして伏字を含むことを明記)

hxxps://wysac.org/%F0%9D%99%B4%F0%9D%9A%83%F0%9D%99%B2/

※直リンク防止のため「https」を「hxxps」に書き換え、一部を伏せ字（非表示）にしています。現在、ウイルスバスターやGoogleからのブロックの有無を確認したところ、複数のセキュリティエンジンにより「危険なサイト」としてブラックリストに登録されていることが判明しました。

▼ リンク先サイトの状態

アクセスを試みると、詐欺組織が設置したエラー画面（タイムアウト）が表示され、クローラーの自動解析を避けるような挙動を見せています。

▼ 詐欺サイトの画像

リンク先のページに表示されたエラー画面です。

We apologize, but your request has timed out. Please try again or check your internet connection. For further assistance, contact our support.

▼ リンクドメインWHOIS情報(www.domaintools.comで情報取得)

「wysac.org」についてドメイン情報を取得。登録日は非常に最近（2026年3月15日）であり、今回の詐欺メール送信のわずか2週間前に取得されています。正規のインフラがこれほど最近取得されたドメインで重要通知を送ることはあり得ず、極めて危険な兆候です。

▼ サイト回線関連情報(IPアドレス,ホスト名,国は必ず明記)

IPアドレス 104.21.49.205 について https://ip-sc.net/ja/r/ で回線関連情報等を取得しました。解析ページへのリンク： 解析ページへ

【専門的解説】 URLが危険と判断できるポイントは、公式サイトとは全く無関係な、わずか2週間前に取得されたドメインである点、そしてセキュリティエンジンが明確に警告を発している点です。リンク先が稼働中かどうかは、意図的なエラー画面を表示させることで、一般的なブラウザアクセスを制限しようとしていますが、バックグラウンドでは稼働しており、情報を収集している可能性が高いです。

■ まとめ

このメールは、金銭的な利益を目的としたフィッシング詐欺です。存在しない「返金」を餌にし、短い期限で受信者を焦らせ、偽のサイトへと誘導する手口です。過去事例との比較を一言入れると、宛名が受信者のメールアドレスである点や、ドメインの登録が直近である点など、全体的な作りはこれまでと同様に雑ですが、公式の名称やテンプレートを悪用しているため、注意深く確認しないと骗されてしまう可能性があります。

▼ 公式サイトによる注意喚起

ETC利用照会サービスの公式サイトでは、このようななりすましメールについて強く注意喚起を行っています。不審なメールへの注意（公式）