【調査報告】ETC利用照会サービスを騙る詐欺メールを解析

今回ご紹介するのは「ETC利用照会サービス」を騙るメールですが、その前に最近のスパムの動向を解説します。4月は新生活に伴いETC利用が増える時期であり、そこを突いた「アカウント更新」を装う手口が活発化しています。特に「[spam]」フラグが立っているにもかかわらず、本文の巧妙さでクリックさせてしまうケースが目立っており、本レポートではその「逃げ足の速い」サイト構造を詳しく解説します。

ETC利用照会サービス

お客様各位

平素よりETC利用照会サービスをご利用いただき、誠にありがとうございます。
━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 登録継続のご確認について
━━━━━━━━━━━━━━━━━━━━━━━━━━
お客様のユーザーIDにつきまして、長期間ログインがない状態が続いております。
2026年4月15日 までにログインいただけない場合、ユーザーIDの登録が自動的に解約（登録取消し）となります。
※本サービスは、120日間ご利用がない場合に自動的に登録取消しとなりますが、その前にご確認のお知らせを送信しております。
━━━━━━━━━━━━━━━━━━━━━━━━━━
■ 登録継続方法
━━━━━━━━━━━━━━━━━━━━━━━━━━
登録を継続するには、下記公式サイトよりログインをお願いいたします。

▼ ETC利用照会サービス ログイン
h**ps://www.e*c-m*isai.jp/update/

※ログイン後、登録は自動的に継続されます
━━━━━━━━━━━━━━━━━━━━━━━━━━
ETC利用照会サービス事務局
h**ps://www.e*c-m*isai.jp/
ukheA8es

【犯人の目的】
ETC利用者の個人情報およびクレジットカード情報の窃取が目的です。公式サイトを装ったログイン画面で、すべての認証情報を入力させるよう設計されています。

【専門的解説：署名の不備】
画像を確認すると、署名欄に事務局の電話番号や住所が一切記載されていません。本来のETC利用照会サービス事務局であれば、正確な連絡先が明記されるはずです。このように「連絡先を隠す」のは、犯人の特定を遅らせるための典型的な手法です。

これは送信に利用された情報であり、カッコ内のIPアドレスは解析の根拠となる信頼できる送信者情報です。

→ ip-sc.net でこの送信元の詳細解析を見る

実際の誘導先URL： h**ps://pianofella.com/click/fgtfsthtrg
リダイレクト挙動： 解析時、Googleのトップページ（google.com）に強制転送されました。

【なぜGoogleに飛ばされるのか？】
これは犯人がセキュリティ会社のクローラーや調査員による解析を避けるために設定した**「クローキング（Cloaking）」**という手法です。特定のアクセス環境以外からのアクセスを検知すると、無害なサイト（Google等）に転送することで、詐欺サイトを「生存」させ続けようとしています。

【ドメイン取得日に関するコメント】
2026年4月1日に取得されたばかりのドメインです。これほど最近の取得日なのは、通報されてもすぐに捨てられる「攻撃用ドメイン」であるためです。

→ ip-sc.net でリンク先の詳細解析を見る

・送信者アドレスが「mail32.topanju.com」と、公式サイトとは無関係。
・リンク先ドメインが「pianofella.com」と無関係。
・ドメイン取得日が受信日のわずか数日前。
・「Googleに飛ばされる」という不自然なリダイレクト挙動。