【公開】あなたのOneDriveが消える？Microsoft 365 サービス停止メールの戦慄

2026年4月30日

【閲覧注意】実録！Microsoft 365 支払い失敗を装う巧妙な詐欺メールを徹底解析

監修：Heartland-Lab（Heartland）

■ 前書きと直近のスパム動向

今回ご紹介するのは「Microsoft 365」を騙るメールですが、関連記事もページ末尾の当サイトアーカイブからご覧頂けます。最近は「支払いの失敗」を口実にして、WordやExcelの機能制限、さらにはOneDrive上のデータ削除という**「実害」をチラつかせて脅迫する**極めて悪質なケースが増えています。

【重要】偽警告画面から安全に脱出する3ステップ

もし誤ってリンクを開いてしまうと後項で紹介するような警告画面が表示されます。
開いただけでは実害はありませんので焦らず以下の方法で画面を閉じてください。

手順	操作内容
1. 呪縛を解く	キーボードの[Esc]キーを長押し（または連打）します。ブラウザの全画面表示が解除され、右上の「×」ボタンが現れます。
2. 強制終了	マウスが効かない場合は[Alt] + [F4]を同時に押します。それでも消えない場合は[Ctrl]+[Alt]+[Del]から「タスクマネージャー」を起動し、ブラウザを終了させてください。
3. 二度と開かない	ブラウザ再起動時に「ページを復元しますか？」と出ても、絶対に「いいえ」を選択してください。（復元すると、再び詐欺画面が全画面で開いてしまいます）

※表示されている電話番号には、何があっても絶対にかけないでください。

◇ ヘッダー詳細解析（Received）

件名	[spam] 【重要】Microsoft 365 支払い失敗に伴うサービス停止のお知らせ
表示送信者	abram@microsoftsupport.com
真の送信元IP	210.134.55.7
経由サーバー	Received: from static.vnpt.vn (unknown [14.164.239.170])

【判定】偽装確定：このメールは真っ赤な偽物です

送信元アドレスは公式を装っていますが、実際の送信経路は日本のレンタルサーバー「KAGOYA」です。ヘッダー内のReceived情報と送信ドメインが一致しておらず、偽装は確定しています。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

【送信元ロケーション詳細】

[ サーバー所在地 ] ベトナム（ハノイ）
北緯: 21°01’40 / 東経: 105°50’02.4 付近

≫ Googleマップでサーバーの所在地を確認する

国内の有名ホスティングサービスが「発信基地」として悪用されています。犯人は自分の身元を隠すために、こうした日本のサーバーを使い捨ての拠点として利用しているのです。

■ メール本文の再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

Microsoft 365 をご利用のお客様
お客様の Microsoft 365 サブスクリプションの更新において、お支払い方法（クレジットカード等）の承認が得られませんでした。

このため、現在お客様のサブスクリプションは「猶予期間」に入っております。本日中に決済情報の更新が行われない場合、以下の制限が即座に適用されます。
■ 予想される影響:
Word / Excel / PowerPoint: 編集・保存機能の制限
OneDrive: 5GBを超えるデータの即時凍結および順次削除
Outlook: メールの送受信停止

▼ お支払い情報の更新はこちら:
hxxps://gawarege.z43.web.core.win***s.net/

■ 誘導先URLの技術解析

誘導先のドメインは「windows.net」です。これはMicrosoft Azureが提供するストレージ用のドメインであり、公式の管理画面（office.com等）ではありません。【リンク先IPアドレス】：20.150.13.111
【リンク先稼働状況】：調査時点では稼働中（詐欺サイト）