【実録解析】マイナンバーカード×偽Windows警告の複合詐欺が恐ろしすぎる

🚨 最近のスパム動向

2026年5月現在、公的機関を装った詐欺メールが急増しています。特にデジタル庁・マイナポータルを騙り、マイナンバーカードの電子証明書更新を口実に個人情報を窃取しようとする手口が多発。さらに本件は、偽のWindows Defender警告画面へ誘導し、偽サポート電話番号へ連絡させる「複合型詐欺」という極めて悪質な手法を採用しています。公的機関がメールで電子証明書更新を促すことはなく、Windows Defenderが電話番号を表示することも絶対にありません。

📢 重要な前書き

このメールは開いただけでは直接的被害はないものの、画像付き・開封通知付きの場合はアドレス生存確認が行われ、今後詐欺メール送信リストに追加される可能性があります。また、記載されたURLをクリックした場合は偽サイトへ誘導され、個人情報入力やマルウェア感染、さらに偽サポートへの電話による高額請求被害に遭う危険性が極めて高いため、絶対にリンクをクリックしないでください。

⚠️ 緊急性評価

★★★★★（5/5）非常に危険

【最高レベルの警戒が必要】
✓ 公的機関（デジタル庁）の偽装
✓ マイナンバーカード関連の緊急性演出
✓ Windows Defender偽警告への二段階誘導
✓ 偽サポート電話番号による金銭詐取
✓ メキシコ経由の国際犯罪組織の可能性
✓ Azure上の偽サイト（削除困難）
家族・高齢者への即座の注意喚起が必須です。

📧 メール件名

件名：【マイナポータル】電子証明書の有効期限が近づいています

👤 送信者情報

送信者名：表示なし
メールアドレス：notice@myna.go.jp
ドメイン：myna.go.jp
IPアドレス：186.96.22.149 [地図で確認]
位置情報：メキシコシティ近郊（緯度19.4326, 経度-99.1332）
ISP：Totalplay（メキシコの通信事業者）
Received-SPF：softfail（認証失敗）
IPv偽装判定：IPv4アドレスだが、逆引きホスト名fixed-186-96-22-149.totalplay.netと整合性あり（ただし正規送信元ではない）

【重大な偽装】本物のmyna.go.jpドメインはデジタル庁が管理する政府ドメインですが、このメールの実際の送信元はメキシコのTotalplayネットワークです。Received-SPFが「softfail」となっているのは、送信元IPが正規のデジタル庁サーバーではないことを示しています。犯罪者は「From」アドレスを偽装しているだけで、実際の通信経路を見れば一目瞭然です。本物のデジタル庁からのメールは、必ず日本国内の政府系データセンターから送信され、SPF認証も「pass」となります。メキシコ経由という点から、国際的な詐欺グループによる組織的犯行の可能性が極めて高いと判断されます。

📅 受信日時

受信日時：2026年5月5日 21:57（太平洋夏時間 GMT-7）
日本時間換算：2026年5月6日 13:57

深夜帯（北米時間）に送信されており、自動送信システムによる大量配信と推測されます。日本の平日昼間に受信するタイミングは、受信者が慌てて対応してしまう心理を狙った計算されたものです。

📄 メール本文

【実際に届いたメール画像】

🎯 メールの目的・感想・デザイン

【犯行目的】
このメールは二段階詐欺スキームを採用した極めて悪質な複合型詐欺です：

第一段階：マイナポータル偽装
デジタル庁の公式メールを装い、「電子証明書の期限切れ」という実在する手続きを悪用して受信者を不安にさせ、偽サイトへ誘導。マイナンバーカード情報・個人情報・暗証番号を入力させる。

第二段階：Windows Defender偽警告
リンクをクリックすると偽のセキュリティ警告画面が表示され、「トロイの木馬検出」という恐怖を煽る文言で偽サポート電話番号(0101) 50150-11324へ連絡させる。電話すると遠隔操作ソフトのインストールを指示され、最終的には数万円〜数十万円の「セキュリティ対策費用」を請求される。

【デザイン分析】
前半のマイナポータル部分は比較的自然な日本語ですが、後半のWindows Defender画面は明らかに機械翻訳の不自然な日本語（「申止」「継続」など）が混在しています。「domain owner discourages use of this host」という英文が突然挿入されているのも不自然で、おそらく別の詐欺テンプレートを組み合わせた痕跡です。電話番号が何度も繰り返し表示されているのは、パニック状態の被害者に連絡させるための典型的な心理誘導手法です。

【Heartland-Lab 所感】
公的機関とMicrosoft製品の二重偽装という、これまでにない高度な複合型詐欺です。マイナンバーカード普及に伴い、電子証明書更新を理解していない高齢者層が特に狙われています。また、Windows Defender警告画面の再現度が高く、ITリテラシーの低い方は本物と区別できない可能性があります。絶対に電話をかけてはいけません。本物のMicrosoftは警告画面に電話番号を表示することは絶対にありません。

⚠️ 注意点と対処法

【絶対にやってはいけないこと】
❌ メール内のリンクをクリックする
❌ 電話番号(0101) 50150-11324に連絡する
❌ 個人情報・マイナンバー・暗証番号を入力する
❌ 指示された遠隔操作ソフトをインストールする
❌ クレジットカード情報や銀行口座情報を伝える

【正しい対処法】
✅ このメールは即座に削除する
✅ マイナンバーカードの電子証明書更新は必ず公式サイトhttps://myna.go.jp/からアクセスするか、市区町村窓口で行う
✅ Windows Defenderの警告は画面右下の通知領域から確認する（ブラウザ画面には表示されない）
✅ Microsoftの公式サポートは0120-54-2244（日本国内フリーダイヤル）
✅ 既に電話してしまった場合は、クレジットカード会社・銀行に連絡して取引停止を依頼
✅ 最寄りの警察署または警察相談専用電話 #9110 に相談
✅ 国民生活センター消費者ホットライン188（いやや！）に相談

【家族への注意喚起】
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

そのまま使えるLINEボタン：

🌐 サイト回線関連情報

送信経路：

Received: from fixed-186-96-22-149.totalplay.net (fixed-186-96-22-149.totalplay.net [186.96.22.149])

【送信元サーバー分析】
送信元ホストfixed-186-96-22-149.totalplay.netは、メキシコの大手ISP「Totalplay」が提供する固定IPアドレスです。IPアドレス186.96.22.149はメキシコシティ近郊に位置し、地図上の位置（北緯19.4326度、西経99.1332度）から判断すると、民間の通信回線を悪用した送信と推測されます。

【重大な偽装】「From」アドレスはnotice@myna.go.jp（デジタル庁の正規ドメイン）ですが、実際の送信元はメキシコの通信網です。Received-SPFが「softfail」となっているのは、このIPアドレスがデジタル庁の正規送信サーバーとして登録されていないことを証明しています。

正規のデジタル庁メールは必ず日本国内の政府系データセンター（例：さくらインターネット石狩DC、NTTコミュニケーションズ等）から送信され、SPF認証も「pass」となります。メキシコ経由という時点で100%詐欺確定です。

【IP調査リンク】
送信元IPの詳細情報： https://ip-sc.net/ja/r/186.96.22.149
※Heartland-Lab推奨のIP調査サービス（広告なし・高速表示）

誘導先URLのドメイン・IP情報は次のセクションで詳しく解析します。

⚠️ 詐欺サイト

【実際のリンク先画像】

【検索エンジン対策用テキスト再現】

マイナポータルをご利用いただきありがとうございます。お客様のマイナンバーカードに搭載されている電子証明書の有効期限が近づいています。有効期限が切れると、オンラインでの各種申請やコンビニでの証明書交付サービスがご利用いただけなくなります。更新の手続きや詳細については、以下のリンクよりマイナポータルにログインしてご確認ください。※本メールはシステムにより自動送信です。返信は受け付けておりません

domain owner discourages use of this host

Windows-Defender – 重要なセキュリティ通知

Windows Defender 保護管理センター

診断中
診断スケジュール
結果一覧

Microsoft Windows 防護システムからの警告！
悪意のあるトロイの木馬プログラムを検出
(識別コード: #DX4K9R2P)

この端末へのアクセスは安全上の理由により制限されています。

テクニカルサポート: (0101) 50150-11324

カット
戻る

ネット上の危険から守られています
本製品は、PCのパフォーマンスを守ります。上位版へのアップグレード

技術サポートへ連絡 (0101) 50150-11324

申止
継続

デバイスのパフォーマンスと正常性
デバイスの状態を報告します。

Windows 保護センター テクニカルサポート: (0101) 50150-11324

Microsoft
テクニカルサポート:
(0101) 50150-11324
(技術サポート窓口)

危険なサイト アクセスしようとしたサイトでは、攻撃者がユーザーを騙してソフトウェアをインストールさせたり、パスワード、電話番号、クレジットカード番号などの個人情報を開示させたりする可能性があります。安全なページに戻ることを強くおすすめします。この警告の詳細 保護強化機能をオンにすると、Chromeの最高レベルのセキュリティで保護できます。詳細 セキュリティで保護されたページに戻る

🔗 誘導先URL解析

誘導先URL：

hxxps://viyicufe.z14.web[.]core[.] windows.net /ykq8d1nrtaiz.html

※セキュリティのため一部を伏せ字にしています。絶対にアクセスしないでください

【ドメイン分析】
このURLはMicrosoft Azureの静的Webサイトホスティング機能を悪用しています。z14.web.core.windows.netはAzure Blob Storageの公式ドメインであり、一見すると「Microsoftの正規サービス」に見えるため、多くのセキュリティソフトがブロックできません。

サブドメイン：viyicufe（ランダムな文字列、犯罪者が作成したストレージアカウント名）
ファイル名：ykq8d1nrtaiz.html（追跡回避用のランダム文字列）

【IPアドレス情報】
Azureの静的Webサイトは複数のCDNサーバーで配信されるため、IPアドレスは動的に変化しますが、代表的なものは以下の通りです：

– 20.150.0.0/16（Azure West US 2）
– 13.77.0.0/16（Azure West US）

位置情報：アメリカ合衆国 ワシントン州（地図で確認：北緯47.6062度、西経122.3321度）

【なぜAzureが悪用されるのか】
✓ 無料または低コストで大量のアカウント作成が可能
✓ Microsoftブランドの信頼性を悪用できる
✓ HTTPSが標準で有効（鍵マークが表示される）
✓ 削除要請にはMicrosoftへの正式な通報手続きが必要で、即座に閉鎖されにくい

【危険ポイント】
🚨 URLが「windows.net」を含むため、Windows公式と誤認しやすい
🚨 HTTPSで暗号化されているため、ブラウザが安全と