【警告】食べログ公式を騙るW杯抽選キャンペーン詐欺メール!偽アプリインストール誘導の手口を解析

HL-META: date=2026-06-28 | brand=食べログ(株式会社カカクコム・なりすまし) | sender_geo=アメリカ合衆国(SendGrid踏み台) | site_geo=香港・九龍 | spf=pass | dkim=不明 | cloaking=不明

【警告】食べログ公式を騙るW杯抽選キャンペーン詐欺メール!偽アプリインストール誘導の手口を解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

食べログ会員を名乗り、「ワールドカップ応援キャンペーン」と称した抽選当選メールが出回っています。専用の抽選コードを入力させる導線から、最終的には不正なアプリのインストールへ誘導される手口でした。送信ルートと誘導先サーバーを技術的に解析します。

※重要:HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル ★★★☆☆ (3/5)
偽装工作精度 ★★★★☆ (4/5)

2026年6月、サッカーワールドカップの開幕に合わせて「食べログ」を名乗る抽選キャンペーンメールが確認されました。実在する食べログのロゴと配色を模倣し、「専用抽選コード」を特設ページに入力するよう誘導する内容です。まずは届いたメールの画面をご覧ください。

※実際に届いたメールの画面です。tabelogのロゴと配色を模倣しています。

■ メールヘッダー解析(送信者情報)

件名:残りわずか!条件クリアで豪華賞品が必ずもらえるキャンペーン実施中

送信者名:“食べログ抽選会”

送信元アドレス:tabelog_ORKFHDIW@zh-leyu-h5.com

送信元IP解析:149.72.130.130(アメリカ合衆国/メール配信サービス「SendGrid」のIPレンジ)

受信日時:2026年6月28日(日)2時20分頃

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。


tabelog

\総額〇万ポイントが当たる/
W杯応援キャンペーン 🌍

無料で参加できる!ハズレなしの大抽選会

※本メールは、食べログ会員の皆様へ配信しております。

いつも食べログをご利用いただき、誠にありがとうございます。
食べログ運営事務局でございます。

いよいよ世界中が熱狂する「ワールドカップ」が開幕いたします!🌍🔥

食べログでは、日本代表、そして世界の熱い戦いを応援する皆様のために、観戦がさらに楽しくなる【期間限定】の特別キャンペーンをご用意いたしました。

特設ページで下記の「専用抽選コード」を入力するだけ!どなたでも【完全無料】でご参加いただける大抽選会を本日より開催いたします。

🎁 W杯開催記念!大抽選会 🎁
■開催期間:
2026年6月26日(金)~7月31日(金)23:59まで

■豪華景品ラインナップ:
💎特賞:食べログ限定10,000pt(10,000名様)
💎1等:Amazonギフトカード5,000円分(100,000名様)
💎2等:飲食代1,000円OFFクーポン(200,000名様)
⭐参加賞:もれなく全員に100ptプレゼント!

\お客様専用の抽選コード/
WC-456933
※特設ページにて上記のコードをご入力ください。
※コードの有効期限:2026年7月31日23:59まで
【無料】抽選コードを入力する▶(クリック不可)
※クリックすると特設ページへ遷移します。

🌍大画面で楽しむ!
「スポーツ観戦ができるお店」特集

日本代表戦の当日は大変な混雑が予想されます。
熱狂の特等席を確保するために、
ぜひお早めの「ネット予約」をご活用ください!
エリア別・観戦可能なお店を探す(クリック不可)

皆様のワールドカップ観戦が、素晴らしい思い出となりますように。今宵も食べログで、最高のグルメ体験をお楽しみください。

今後とも食べログをよろしくお願い申し上げます。

■発行・運営:株式会社カカクコム(食べログ運営事務局)
〒150-0022 東京都渋谷区恵比寿南3丁目5番7号 デジタルゲートビル

お問い合わせ・ヘルプ|メール配信設定(配信停止)
© Kakaku.com, Inc. All Rights Reserved.

文面は一見丁寧に作り込まれていますが、よく見ると違和感があります。本物の食べログがキャンペーン告知でこれほど絵文字(🌍🎁⭐🔥)を多用することはまずありません。また「ハズレなし」「完全無料」「参加賞で全員に100pt」という、誰でも当たる演出は、典型的な懸賞商法・フィッシングの定番パターンです(笑えるくらい王道です)。

■ 送信ルート及び偽装判定

送信ルート解析:
本メールはメール配信代行サービス「SendGrid」を経由して配信されています。受信者側のメールサーバーで認証された送信元IPアドレスは149.72.130.130で、これはSendGridが管理するIPレンジに属します。SPF認証は形式上「Pass」と判定されていますが、これは送信元ドメインzh-leyu-h5.com自体がSendGrid経由での送信を許可する設定になっているためであり、食べログ公式とは一切関係ありません。

【偽装判定】:
正規の食べログからのメールは「tabelog.com」ドメインから送信されます。本メールの送信ドメイン「zh-leyu-h5.com」は無関係な第三者ドメインであり、食べログ・株式会社カカクコムの公式サーバーとは一切関係がありません。

発信元ロケーション解析:
149.72.130.130:アメリカ合衆国(SendGridのサーバー、攻撃者自身の所在地ではなく踏み台として利用された配信基盤)

「専用抽選コードを入力する」ボタンをクリックすると、以下のような特設ページに誘導されます。一見すると本物のキャンペーンサイトのような作りですが、実際には不正なアプリのインストールを促すページでした。

※スマートフォンから開くと、アプリのインストールを促す画面に変わります。

■ フィッシングサイト詳細解析

誘導先URL(伏せ字):hxxps://www.tabelog.appiuaben.com/

リンクドメイン:appiuaben.com

ドメイン登録情報:2025年12月26日登録、2026年6月22日に直近更新。レジストラはGname.com Pte. Ltd.で、登録者情報はプライバシー保護サービスにより匿名化されています。

サイトサーバーIP:38.76.161.222

ロケーション:香港・九龍(Kowloon)周辺
IPロケーション詳細:【ip-sc.netで確認する】

【サイトの状態】:「専用抽選コード」入力後の特設ページでは、「キャンペーンアプリ」と称したiOS/Android双方へのアプリインストールが促されます。インストール手順を説明する動画まで用意された、作り込みの進んだ誘導ページでした。本記事の調査では、安全のため実際のアプリのダウンロード・インストールは行っておらず、感染リスクのある手順の先までは検証していません。

※解析データに基づき、攻撃者は誘導先ドメインのサブドメインに「tabelog」を含めることで、一見すると公式サイトの一部であるかのように見せかけていることが確認されています。ロケーション情報は調査時点(2026年6月)のものであり、日々変化する可能性があります。

■ 注意点と対処法

  1. 専用抽選コードや当選通知のURLは絶対にクリックしない:リンク先は不正アプリのインストールへ誘導するための偽サイトです。
  2. 送信元ドメインを必ず確認:食べログが利用する正規ドメインは「tabelog.com」です。それ以外のドメインから届いたメールはすべて偽物と判断してください。
  3. 案内されたアプリは絶対にインストールしない:公式アプリは必ずApp Store・Google Playの公式ストアから検索してインストールしてください。メール経由のリンクからインストールを促す案内は危険信号です。
  4. 「ハズレなし」「完全無料」を過度に強調する案内に注意:これらの文言は受信者の警戒心を解くための典型的な手口です。
  5. 不審に思った場合は公式へ確認:受け取ったメールやサイトが本物か判断に迷う場合は、公式のお問い合わせフォームから食べログに直接確認してください。

本レポートの結論

「食べログ」を名乗るW杯応援キャンペーン抽選メールは、SendGridという正規の配信サービスを踏み台にして送信された詐欺メールです。誘導先は香港にホスティングされた偽キャンペーンサイトで、最終的には不正なアプリのインストールを促す内容でした。単なる情報入力型のフィッシングよりも一歩進んだ、端末そのものを危険にさらす手口です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。

調査日:2026年6月28日
本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net

      🛡️ Heartland 管理者が推奨する「究極の対策セット」  

          ① 【最強の物理防壁】YubiKey 5 NFC  🔑

パスワードが盗まれても、物理的な「鍵」がない限りログインさせない究極の対策です。

Amazonで詳細を見る

          ② 【定番の安心】ウイルスバスター クラウド 3年版  🛡️

巧妙な詐欺サイトを自動で検知・ブロック。手間をかけずに守りたい方に最適です。

Amazonで詳細を見る