偽Appleから届く「サブスクリプションの更新について」のIP・ドメイン解析結果
【調査報告】最新の詐欺メール解析レポート ■ 最近のスパム動向
新年度が始まる4月、サブスクリプションサービスの更新時期を狙ったフィッシング詐欺が急増しています。特に「無料体験の終了」や「自動更新」を騙る手法は、ユーザーの焦りを誘い、冷静な判断を奪う極めて悪質なものです。
| 1. 受信メールの基本情報 | 件名 | [spam] サブスクリプションの更新について | | 件名注記 | サーバーのスパムフィルタにより「[spam]」が付与されています。これは、送信元ドメインの信頼性が低い、あるいは過去の迷惑メール送信記録と合致したためです。 | | 送信者 | “Apple” <noreply@mail38.pphgyl.com> | | 受信日時 | 2026-04-07 23:35 | 2. 送信者に関する解析
送信元表示名は「Apple」ですが、アドレスのドメインは「mail38.pphgyl.com」となっており、公式サイト(apple.com)とは一切関係がありません。典型的ななりすまし手法です。
| 3. メール本文の再現(解析用)
【ご確認下さい】Apple Fitness+ 無料体験終了のお知らせ(4月8日期限)
Apple Fitness+ サブスクリプション更新のご案内 お客様の Apple ID 宛て
日頃よりAppleサービスをご愛顧いただき、誠にありがとうございます。 お客様にご利用いただいております Apple Fitness+ 3ヶ月間のお試し体験 につきまして、2026年4月8日 をもちまして終了となります。
お試し期間終了後は、月額プランへの自動更新が行われる予定です。
━━━━━━
■ 現在ご契約中の内容
━━━━━━
サービス名:Apple Fitness+
体験終了日:2026年4月8日
自動更新後のプラン:月額メンバーシップ(自動更新)
更新料金(税込):980円/月
お支払い方法:ご登録中の支払い方法が適用されます
━━━━━━
■ 自動更新を解除される場合
━━━━━━
自動更新をご希望されない場合は、2026年4月8日の24時間前までに、下記リンクよりキャンセル手続きを完了してください。 ▼ サブスクリプションを管理する
https://www.apple.com/jp/subsc●●●●●/
※ログイン後、「サブスクリプション」メニューからお手続きをお願いいたします
━━━━━━
■ ご確認いただきたい事項
━━━━━━
自動更新をご希望の場合は、特に操作は必要ございません
キャンセル手続き後も、4月7日までは通常どおりご利用いただけます
ご不明な点がございましたら、Appleサポートまでお問い合わせください
━━━━━━
Apple Japan
〒106-6140 東京都港区六本木6-10-1 六本木ヒルズ森タワー 本メールは、Apple Fitness+ のお試し期間終了が近いお客様にお送りしております。
購読管理ページでは、すべてのサブスクリプションの確認および管理が可能です。 Copyright © 2026 Apple Inc. All rights reserved.
https://www.apple.co●/ gmNjnNVV | ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 4. 解析結果と危険性 ■ メール送信の目的
本メールの目的は、Apple IDのログイン情報(メールアドレス・パスワード)およびクレジットカード情報の窃取です。期限を「明日(4月8日)」と設定することで受信者を慌てさせ、偽のログインサイトへ誘導するフィッシング詐欺です。
■ デザインと特徴
公式を装ったロゴや住所、著作権表記を使用していますが、末尾に「gmNjnNVV」といった意味不明な文字列が存在します。これはスパムフィルタを回避するためのランダム文字列、あるいは個別の受信者を識別するためのトラッキングコードです。
■ 決定的な矛盾点
Appleからの正式な案内であれば、宛名には登録者の「フルネーム」が記載されます。「お客様の Apple ID 宛て」という曖昧な表現は、不特定多数に送り付けている証拠です。
| 【技術検証】送信元インフラ解析 | Received | from mail38.pphgyl.com (mail38.pphgyl.com [35.200.114.141]) | | 解析情報 | 上記IPアドレス[35.200.114.141]は、信頼できる送信経路情報として記録されています。 | | IPアドレス | 35.200.114.141 | | ホスト名 | 141.114.200.35.bc.googleusercontent.com | | ホスティング | Google Cloud Platform (GCP) | | 国名 | Japan (Tokyo) | | ドメイン登録 | pphgyl.com (Whois情報: 2026年3月頃取得) | | 根拠データ | https://ip-sc.net/ja/r/35.200.114.141 | ※bc.googleusercontent.comはGoogleのクラウド利用者へ割り当てられるホスト名です。犯人はGCPを悪用してメールを配信しています。 【潜入調査】リンク先詐欺サイトの正体 ■ 偽装された誘導先
本文内の「apple.com」を騙るURLは、実際には以下の詐欺サイトへリダイレクトされます。
URL:https://kqzrpsulomwl.t●p/jp (一部伏字)
現在、Googleセーフブラウジングおよびウイルスバスター等のセキュリティソフトによりブロック対象となっています。
| リンク先ドメイン・回線情報 | ドメイン | kqzrpsulomwl.top | | IPアドレス | 172.67.142.147 | | ホスト名 | cloudflare.com (Proxy保護) | | 国名 | United States | | ドメイン登録日 | 2026-03-25 (取得からわずか数週間) | | サイト状態 | 稼働中(フィッシングサイト展開) | | 解析詳細 | https://ip-sc.net/ja/r/172.67.142.147 | ※ドメイン登録日が非常に新しいのは、使い捨ての攻撃用ドメインである典型的な証拠です。登録から間もないドメインは信頼性が皆無です。 詐欺サイトの外観 デザインは最新のApple公式サイトを完全にコピーしており、非常に見分けがつきにくくなっています。しかし、アドレスバーのドメインが「apple.com」ではないことで偽物と判別可能です。 5. 注意点と対処方法
1. リンクを絶対にクリックしない: 公式サイトを確認する場合は、メールのリンクではなく、検索エンジンや公式アプリからアクセスしてください。
2. メールアドレスを確認する: 「@apple.com」以外のドメインから届く案内はすべて偽物と判断して間違いありません。
3. 宛名の有無: Appleは登録者の名前を知っています。「お客様」といった一般名称で始まるメールは警戒してください。
公式の注意喚起情報:
フィッシングメール、偽のサポート電話、その他の詐欺を避ける – Apple サポート | ■ まとめ
本件は「Apple Fitness+」の更新をネタに、4月の新生活シーズンを狙った悪質な詐欺です。過去の事例と比較しても、誘導先のサイト構成が非常に本物に近いレベルまで洗練されています。不審なメールは即座に削除し、身に覚えのない請求については正規のAppleサポートを通じて確認を行うよう徹底してください。
| |
