【実録】「トロイの木馬検出」の恐怖。Microsoftを騙る偽アラートの巧妙な罠を公開
【実録】[spam] 【緊急告知】Microsoftセキュリティアラート:システム整合性の不一致とトロイの木馬の検出について 解析レポート
■ 【重要】この画面が表示された際の直ちに行うべき対処法
偽の警告画面(サポート詐欺)を消す方法:キーボードの「Esc」キーを3秒間長押ししてください。全画面表示が解除されます。画面右上の「×」ボタンをクリックしてブラウザを閉じます。閉じられない場合は、「Ctrl」+「Alt」+「Delete」を同時に押し、「タスクマネージャー」からブラウザを選択して「タスクの終了」を実行してください。 ※表示されている電話番号には絶対にかけないでください。電話をかけなければ被害は発生しません。 | ■ 最近のスパムメール動向:Microsoftを騙る「インフラ悪用型」の急増
今回ご紹介するのは「Microsoft」を騙るメールですが、その前に最近の動向を解説します。ここ一ヶ月、本サイト(spam-mail)でも報告が相次いでいるのが、「正規のクラウドサービス(AzureやGoogle Cloud)を隠れ蓑にした攻撃」です。犯人は自前のサーバーを使わず、信頼性の高いドメイン(windows.netなど)に詐欺ページを設置することで、セキュリティフィルターを突破しようとしています。また、時節柄、新生活や年度更新に伴う「アカウント情報の確認」を装う手口が非常に活発化しています。 | | 解析対象メール:基本データ | | 件名 | [spam] 【緊急告知】Microsoftセキュリティアラート:システム整合性の不一致とトロイの木馬の検出について | | 判定理由 | 冒頭の [spam] は、サーバーが送信元の不審な挙動(なりすまし)を検知し、自動付与した警告ラベルです。 | | 送信者 | account-security-noreply@accountprotection.microsoft.com | | 受信日時 | 2026-04-22 13:04 | このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。 ■ メール本文の忠実な再現(解析用) | Microsoft セキュリティ チーム お客様の PC で重大なセキュリティ上の問題が検出されました。 システム整合性の不一致により、以下の脅威がアクティブになっています: 検出された脅威: Trojan.Spyware.Win32.Zbot 感染源: 不明なネットワークからの不正アクセス この問題を放置すると、Windows ライセンスが停止され、個人情報が外部へ流出する恐れがあります。直ちにシステムの修復を実行してください。 ※この通知は 24 時間以内に対応が必要です。 Microsoft Corporation 東京都港区港南 2-16-3 品川グランドセントラルタワー | ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 ■ 専門家による解析:犯人の目的と不自然な点
【犯人の目的】「サポート詐欺」による金銭奪取と遠隔操作ソフトの導入です。偽の感染警告でパニックに陥らせ、偽のサポート窓口(電話)へ誘導することが最終目的です。【署名と電話番号の検証】メール末尾の住所「品川グランドセントラルタワー」は日本マイクロソフトの実在する住所ですが、このメールには「公式な電話番号」や「部署名」の記載が一切ありません。通常、緊急のセキュリティ通知であれば、公式サポートへのリンクや確認手順が明記されます。文字ばかりでロゴが不自然に配置されている点も、テンプレートを流用した典型的な詐欺メールの特徴です。 | ■ 送信元(Receivedヘッダー)の技術的根拠 | 送信元ルート情報 | | Received | from 105-235-225-15.malabo.guineanet.net (105.235.225.15) | | 判定 | 送信者メールアドレスドメインと異なるため偽装発覚! | 送信者のドメインは microsoft.com を装っていますが、実際の送信元IP 105.235.225.15 はアフリカの「赤道ギニア」に割り当てられたものです。公式サーバーとは無関係な第三者のサーバーが「隠れ蓑」として利用されています。 | メール回線関連情報(ip-sc.net 取得データ) | | IPアドレスとロケーション | 105.235.225.15
| | ホスト名 | 105-235-225-15.malabo.guineanet.net | | 国名 | 赤道ギニア (Equatorial Guinea) | | ホスティング社 | GETESA | ▶ [本レポートの根拠] ip-sc.net による送信元解析 ■ 誘導先詐欺サイト(偽警告ページ)の解析 | リンク先URL | hxxps://velirogu[.]z19[.]web[.]core[.]windows[.]net/rr69rqgnnh4p[.]html (※伏せ字を含みます。物理リンクは無効化済み) | | 稼働状況 | 現在も稼働中。ウイルスバスター等でのブロックが追い付いていません。 | ■ サイト回線関連情報(ip-sc.net 取得データ) | サイトIPアドレス | 20.150.11.0(Azure Edge):大阪府大阪市(以下のローケーションマップ参照) | | ホスト名 | velirogu.z19.web.core.windows.net | | 国名 | アメリカ合衆国 (United States) | | ホスティング社 | Microsoft Corporation (Azure) | | 取得日・登録日 | 2026-04-20(最近) 攻撃キャンペーンに合わせて、数日前に作成された「使い捨て」のサブドメインです。 | ▶ [本レポートの根拠] 詐欺サイト側の解析データ
IPアドレスから導き出したローケーションマップ
大阪府大阪市
■ 詐欺サイトの全貌(閲覧注意) 
※Windows Defenderを模した偽の警告音が鳴る仕組みになっています。 | ■ まとめ:恐怖を煽る手口に屈しないでください
このメールは、あなたのPCが実際に感染していることを示すものではなく、単なる「犯行予告」に近い脅しです。過去の事例(公式:フィッシング詐欺への注意喚起)と比較しても、Microsoftの正規ドメインを一部利用する手口は非常に危険です。「身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。」 | |
🛡️ Heartland 管理者が推奨する「究極の対策セット」
① 【最強の物理防壁】YubiKey 5 NFC 🔑
パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。
Amazonで詳細を見る
② 【定番の安心】ウイルスバスター クラウド 3年版 🛡️
巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。
Amazonで詳細を見る
