【公開】「アカウントで異常なアクティビティ」は嘘！偽警告で脅す悪質メールの調査結果

2026年5月21日

TECHNICAL SECURITY REPORT // HEARTLAND-LAB
【自爆型なりすまし】自社コンプラ違反を騙る脅迫メールからMSサポート詐欺へのちぐはぐな誘導動線をテクニカル分析
公開日: 2026年05月21日 | 執筆・監修: Heartland

近年、組織の心理的隙を突くサイバーインシデントおよびフィッシング戦術は巧妙化の一途を辿っています。今回当ラボで検知・確保した検体は、一見すると「組織内のコンプライアンス違反やハラスメントに関する外部法律事務所からの警告」という、受信者が最も動揺しやすいシチュエーションを精巧に作り出した標的型を模したバラマキ型メールです。

しかし、その技術的背景および着地点を詳細に動的・静的解析した結果、攻撃者のシステム的な自動化の限界による「致命的な文章の自己破綻」および「入り口（コンプラ恐喝）と出口（マイクロソフトサポート詐欺）の深刻なロジック乖離」が浮き彫りとなりました。

本レポートでは、ITリテラシーに不安を持つシニア層や一般従業員がこれに直面した際の心理的パニックのメカニズムを踏まえ、技術的・心理的双方の視点から手抜きなく長尺で徹底解説いたします。

1. 脅威のファーストコンタクト：偽装メールの構造分析

攻撃の第一段階として送りつけられる電子メールは、受信者に「即時行動しなければ深刻な法的責任や社会的地位の失墜を招く」と錯覚させる心理的トラップ（ソーシャルエンジニアリング）が満載されています。まずは、実際に観測されたメールの全体像を視覚的に確認します。

【スクリーンショット：不審メール本文画面】

※受信したメーラーにおける件名・送信者・本文全体の画像

【メール本文の再現】

件名： [spam] アカウントで異常なアクティビティが検出されたか、またはお客様の資格情報が危険にさらされていると判断しました。
送信者： rgroup12498@■■■■■■.jp

コンプライアンス（法令遵守）および企業信用を保護するための重要な通知です。

今週、外部の法律事務所（または顧客窓口）より、弊社■■■■■■.jpの業務に関して「ハラスメントまたは守秘義務違反」に関する具体的な指摘があり、その調査報告書の中にお客様の名義、あるいは関与を示唆するデータが検知されました。心当たりがない場合は、すぐに指摘内容（タイムスタンプ）を確認し、無実の証明、または経緯報告を行う必要があります。

同姓同名の別人の案件である場合や、既に法務部と共有済みの案件であれば問題ありませんが、不審な場合はなりすましや事実誤認の可能性もあるため、下記URLのヘルプページの指示に従い、詳細を確認してください。

？コンプライアンス事実確認・保護ページ

—————————————-
■■■■■■.jp 法務・コンプライアンス室
※本メールは自動送信専用です。

■ Heartland-Labの眼：システム自動挿入が招いた「日本語崩壊」のパロディ
このメールテキストを冷静に一読して極めて滑稽なのは、主語と述語の関係性が完全に崩壊している点です。攻撃者は、標的のアドレスリストからドメイン（■■■■■■.jp）を機械的に引っこ抜き、テンプレート内の変数（[domain]）に流し込む自動生成プログラムを使用しています。

その結果、受信者（■■■■■■.jpの組織人間）に対して、「弊社■■■■■■.jpの業務に関して」と名乗りつつ、署名が「■■■■■■.jp 法務・コンプライアンス室」となっています。つまり、身内の法務部が、自社の人間に対して「お前のコンプラ違反の調査報告書があるから、無実を証明しろ」と外様のような態度で脅してきているわけです。自社ドメインを騙るばかりに、「お前は一体どこの会社の人間なんだ？」という致命的な矛盾を露呈しており、少しでも社内統制を知る人間が見れば瞬時に「フィッシング」であると看破できるお粗末さです。

2. メールヘッダーの forensic 解析：電文が証明する完全な偽装

メーラー上に表示される「送信元：rgroup12498@■■■■■■.jp」という表記は、ただの飾り（Fromヘッダーの偽装）に過ぎません。メールが世界を旅してきた足跡である「メールヘッダー（SMTP電文）」から、重要なセキュリティ判定箇所（Received-SPF）と、最も古い最初の上り口（Received）の2点のみを抽出し、客観的証拠を提示します。

【抽出された重要ヘッダー情報】

Received-SPF: Softfail (domain owner discourages use of this host) identity=mailfrom; client-ip=125.162.245.65; helo=[125.162.245.65]; envelope-from=rgroup12498@■■■■■■.jp; receiver=rgroup12498@■■■■■■.jp

Received (最古のパケット経由地): from [IPv6:::ffff:125.162.245.65] (unknown [125.162.245.65]) by dmail04.■■■■■■.net (Postfix) with ESMTP id 6EEE142454AE for <rgroup12498@■■■■■■.jp>; Thu, 21 May 2026 10:05:47 +0900 (JST)

■ 技術的解説：Softfailが意味する「不法侵入者の足跡」
1. Received-SPFの「Softfail」判定：
受信側のホスティングサーバー（■■■■■■.net）は、メールが届いた際に「送信元ドメイン（■■■■■■.jp）のDNSサーバー」に登録されているSPFレコード（正規の送信サーバーIPリスト）を照会しました。その結果、このメールを実際に投げつけてきたIPアドレス125.162.245.65は、「正規のリストに載っていない、全く無関係の不審なホストである」とシステムが自動判定したため、Softfailのフラグが立っています。これが「なりすまし」の動かぬ証拠です。

2. Received（最古のスタンプ）が示す発信源：
タイムスタンプを時系列で遡ると、最も古い経由地として125.162.245.65というIPアドレスが記録されています。このホストから受信側の中継サーバーdmail04.■■■■■■.netに対してコネクションが張られ、偽装されたメールが流し込まれたことが分かります。攻撃者は正規のメール送信ルートを一切通っておらず、外部の乗っ取られたボットネットや踏み台サーバーを経由して強引にパケットを送りつけているのです。

3. 中継地点の防壁：Google セーフブラウジングによる自動遮断

メール本文内の「コンプライアンス事実確認・保護ページ」というハイパーリンク（伏字化URL）をクリックした際、モダンなブラウザ（Google Chromeなど）を利用している場合、直接詐欺サイトに繋がる前に強力なセキュリティフィルターが発動します。

【スクリーンショット：Google セーフブラウジング赤色警告画面】

※「危険なサイト」「最近フィッシングが検出されました」と表示されるブラウザ側のブロック画面

■ 防御壁の機能：ブラックリストデータベースの即時反映
この赤い画面は、Googleが管理するフィッシング・不正サイトのブラックリストデータベースに、該当の誘導先URLが既に登録されていることを示しています。ブラウザはWebページをレンダリングする前に通信をインターセプトし、ユーザーに対して「これ以上進むと危険である」という最終警告を発します。一般的なユーザーであれば、この強烈な視覚的警告によって踏み止まることができますが、パニック状態にある人間は「詳細を非表示」から「この安全でないサイトにアクセスする」のリンクを無理やり踏んで突破してしまうケースがあり、過信は禁物です。

4. 最終着地点：支離滅裂な「マイクロソフトサポート詐欺」

セキュリティ警告をすり抜けた、あるいは無視して進んだユーザーが最終的にたどり着くのが、今回の攻撃の「本丸」である以下の画面です。

【スクリーンショット：偽マイクロソフト警告画面（サポート詐欺）】

※Windows Defenderを装い、「トロイの木馬検出」「(0101) 80825-80290」等の連絡先がポップアップする画面

■ 驚愕の破綻：法律論から突然のウイルス騒ぎへ
入り口のメールでは「ハラスメントの調査」「無実の証明」という知的かつドメスティックな社内政治の脅しをかけておきながら、URLの先に待っているのは「Microsoft Windows 防護システムからの警告！」「悪意のあるトロイの木馬プログラムを検出」という、180度方向性の異なるお馴染みの「テクニカルサポート詐欺」です。この脈絡の無さは、犯罪業界における「トラフィックの転送（分業ビジネス）」の歪みが原因です。

メール送信担当（A班）は、とにかくURLを踏ませれば契約完了であり、そのアクセスを転送する先の詐欺インフラ（B班）は、その時一番稼働率の良い「汎用型MSサポート詐欺画面」を使い回しているため、このようなちぐはぐな動線が生まれます。

5. 心理的パニックの防犯学：高齢者や不慣れな従業員を優しく諭す処方箋

我々ITリテラシーを持つ人間からすれば「お粗末なコメディ」に見えるこの動線も、知識のない高齢者や、日頃から「何かトラブルを起こしたらどうしよう」と怯えている真面目なシニア従業員にとっては、**人生最大のパニックを誘発する凶器**に変貌します。

① 強い言葉（コンプラ、法律）で理性を奪う
「守秘義務違反」といった強い法的単語により、「自分が何かしてしまったのかも」という罪悪感と恐怖で頭が真っ白になります。

② 視覚・聴覚のハイジャック
最終ページでは、ブラウザが「F11キー」を押されたのと同等の全画面表示になり、タスクバーや×ボタンが消滅します。さらに多くの場合、大音量のサイレンや合成音声で「PCがブロックされました」とまくしたてられます。シニア層はこれらを「PCが爆発・故障する」と直感的に誤認します。

③ 偽の救命綱（マイクロソフト公式ロゴと電話番号）
パニックの極限状態に陥った被害者の目の前に、信頼できる「Microsoft」のロゴと「テクニカルサポート：(0101) 80825-80290」が差し出されます。恐怖を極大化させた後に偽の安心を与えることで、被害者は自ら進んで詐欺師に電話をかけ、遠隔操作ソフトを導入させられ、電子マネーを毟り取られる負の連鎖（劇場型詐欺）へ嵌め込まれていくのです。

【当ラボが推奨する、身近な人への「諭し方」お守り】

もし周囲のシニアやスタッフがこの手の画面に遭遇して相談してきたら、決して叱責せず、以下の手順で優しく包み込んであげてください。

1. 「全肯定して抱きしめる」
「こんなに音が鳴ったらびっくりして当然だよ。でも、慌てて電話せずに私に言ってくれて本当に偉かった！もう100%安全だから安心してね」と、まずは脳内のアドレナリンを下げさせます。

2. 「お化け屋敷の例え話で構造を伝える」
「これね、パソコンの中に本物の泥棒が入ってきたわけじゃなくて、画面の中で大きな音を鳴らして驚かせる『お化け屋敷の仕掛けの絵』が表示されてるだけなんだよ。だから、放っておいてもパソコンは壊れないから大丈夫」と、仕組みを噛み砕きます。

3. 「世界一シンプルな『電源長押し』の呪文を授ける」
「もしまた変な音が鳴って画面が動かなくなったら、あれこれ悩まずに、【パソコンの電源ボタンを真っ暗になるまでずーっと長押し】して強制終了してね。お化け屋敷の電気をブチッと切るのと同じだから、それだけで完全に退治できるよ」と、迷わない単一行動だけを記憶に植え付けます。

“””

# Output directly as requested
print(“HTML_GENERATED_SUCCESSFULLY”)
with open(“heartland_report.html”, “w”, encoding=”utf-8″) as f:
f.write(html_content)