【手口公開】「【TEPCO】ご利用料金の支払期日迫る」は偽物!フィッシングサイトの危険性を徹底調査
【最近のスパム動向】
近年、電気やガスなどの「生活インフラ(暮らしに欠かせない基盤)」の供給停止をチラつかせて不安を煽るフィッシング詐欺(偽サイトで情報を盗む手口)が急増しています。今回ご紹介するのは「東京電力(TEPCO)」を騙るメールですが、電力会社以外にもガス会社やクレジットカード会社などを装った類似の詐欺メールが多数確認されています。関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。
【実録】「【TEPCO】ご利用料金の支払期日迫る」メールを徹底分析!不審な住所文字化けと偽の安全認証に隠されたフィッシング手口を公開
みなさん、こんにちは。街の頼れるIT専門家「Heartland」です。
今回は、私のもとに届いた非常に巧妙で、かつ少しおかしなメールについてお話しします。
東京電力を装い、「料金が未納だから電気を止めるかもしれない」と脅してくるメッセージです。
このようなメールは、開いた(メールの中身を表示した)だけでは、すぐに金銭的な被害に遭うわけではありません。しかし、画像が自動で読み込まれる設定になっていたり、「開封通知(メールが開かれたことを送信元に伝える仕組み)」が組み込まれていたりすると、あなたのメールアドレスが「現在も使われている生きたアドレスである」ということが犯人側に知られてしまいます(アドレス生体通知)。その結果、今後さらに多くの詐欺メールの送信リスト(ターゲット名簿)に入れられてしまう危険性があります。
大切なご家族が同じような恐怖心から騙されてしまわないよう、どのような部分を見分ければよいのか、専門家の視点から優しく、そして隅々まで手抜きなしでじっくりと解説していきますね。
■ 受信メールの基本情報
| 項目 | 解析データ |
|---|---|
| 緊急性(危険度) | ★★★★☆ (星4つ) |
| 件名 (Subject) | [spam] 【TEPCO】ご利用料金の支払期日迫る 番号:14685547 |
| 送信者名 | “TEPCO【料金サポートチーム】” |
| メールアドレス | otter@otter.jiashitou.com |
| 受信日 | 2026年5月26日 |
| 受信時刻 | 11時50分 |
※件名の頭に付いている「[spam]」という文字は、受信側のメールサーバーが「これは迷惑メール(詐欺や広告などの望まれないメール)の可能性が非常に高いですよ」と自動的に判断して付与してくれた警告印です。これがあるだけで、通常の公式通知ではないことが一目でわかります。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 届いたメール本文の徹底検証
※以下は、受信した実際の迷惑メールから文字やレイアウトをできる限り忠実に再現したものです。
【重要】ご利用料金のご請求について
お客様には日頃よりご愛顧賜り、誠にありがとうございます。
この度、下記の通り、2026年4月分のご利用料金が未納となっております。至急お支払いいただきますようお願い申し上げます。
お支払期限を過ぎますと、サービスの供給を一時的に停止させていただくことがあり
ますので、期日内にお支払いいただくようご注意ください。
<未払い金額:5,931円(税込)>
支払期限:2026-05-26(期限後のお支払はお受けできません)
▼ ご利用料金のお支払いはこちら
※ 本メールは、TEPCOエナジーパートナー株式会社にご登録のメールアドレス宛に送信しております。
東京電力エナジーパートナー株式会社
〒100-8560 東京都千代田区内幸町???:ぢ丁目1番3号
※ 本メールの内容は無断で転載することを禁じます。
(c) TEPCO Energy Partner, Inc.
◎ 専門家が見た第一印象と違和感
全体のデザインをパッと見た印象は、罫線(区切り線)の使い方やフォントの配置など、一見すると本物の案内のように整えられています。
しかし、メールの目的は「未払いの電気料金(5,931円)がある」と嘘をつき、期日を「メールが届いたその日(2026-05-26)」に設定して、受信者を大慌てでリンク先にクリックさせようとすることです(行動を急がせる心理的な脅し)。
最も致命的なボロが出ているのは、一番下の住所部分です。「内幸町???:ぢ丁目」という、あり得ない文字化け(文字コードの変換エラーによる表示不良)が発生しています。これは海外のシステムを使って日本の文字を無理に配置した際によく見られる特徴です。日本の大手企業がこのような重大な誤字を放置して公式メールを配信することは、まず考えられません。
つまり、「形式はそれっぽく取り繕っているけれど、足元に海外の詐欺グループ特有の雑な欠陥がそのまま残っている」ということです。
■ 通信経路(メールヘッダー)の技術的解析
※なお、今回解析した実際のメールヘッダーのスクリーンショットには、受信者側の固有のサーバー情報やプライバシーが含まれているため、画像の掲載は控えさせていただきます。代わりに、最も重要な手がかりとなる認証結果と、時系列で一番古い(送信元に一番近い)中継データのみを厳密に抽出して解説します。
| ヘッダー抽出項目 | 解析値と専門家の解説 |
|---|---|
| Received-SPF | Pass (identity=mailfrom; client-ip=144.24.37.10; helo=otter.jiashitou.com; envelope-from=otter@otter.jiashitou.com) ※受信者サーバー名は伏字(***.net)に変更済 |
| 最古のReceived (送信元の初期経路) | from smtp.event-broadcast.org ([207.104.185.37]) by otter.jiashitou.com (SpamTitan SMTP) with ESMTPSA for <***@***.jp>; Tue, 26 May 2026 11:48:27 +0900 ※受信者のアドレス・ドメインは伏字(***)に変更済 |
◎ 送信元アドレスのドメインIPと中継経路の照合(偽装判定)
メールの表示送信元アドレスは otter@otter.jiashitou.com でした。このドメイン(jiashitou.com)の本来のネットワーク住所である「IPアドレス(インターネット上の背番号)」を調査すると、SPF認証を行っているサーバーのIP「144.24.37.10」と一致します。そのため、ドメイン認証自体の仕組み(SPF)としては「Pass(なりすましを検知せず通過)」となっています。
しかし、時系列を遡って一番最初の通信経路(Received)を見ると、このメールは「smtp.event-broadcast.org [207.104.185.37]」という全く別のサーバーから、認証用サーバー(SpamTitanという中継システム)に向けて発信されていることがわかりました。
| サーバー名 / 役割 | IPアドレス | ロケーション(位置情報) |
|---|---|---|
| smtp.event-broadcast.org (一番古い発信元) | 207.104.185.37 | アメリカ合衆国 オハイオ州 コロンバス 緯度: 40.0169 / 経度: -83.0232 [Googleマップで確認] |
| otter.jiashitou.com (SPF認証・中継システム) | 144.24.37.10 | 日本 国内(ホスティングサービス経由) 緯度: 35.6895 / 経度: 139.6917 [Googleマップで確認] |
東京電力エナジーパートナーの公式ドメインは tepco.co.jp です。それに対し、今回のメールはアメリカや国内のまったく無関係なレンタルサーバーを複数踏み台(中継地点)にして送信されています。
つまり、「認証の仕組みをすり抜けるために無関係な海外ドメインを取得し、そこから経路を複雑にして送信された、明らかななりすましメールであるということです」。
■ 誘導先フィッシングサイトの危険性と挙動
メール本文内のリンク「▼ ご利用料金のお支払いはこちら」に埋め込まれていたURLの解析結果です。安全のため、一部を伏字(*マーク)にして、直接アクセスできないように無効化(リンクを切る措置)を行っています。
解析対象URL:h**ps://merchistonelite.com/s*a*c*
| サイト状態判定項目 | 調査結果データ |
|---|---|
| リンクドメイン | merchistonelite.com |
| ドメインIPアドレス | 104.21.32.181 |
| ロケーション情報 | Cloudflare(コンテンツ配信網提供会社)のグローバルネットワーク経由 米国 カリフォルニア州 サンフランシスコ 緯度: 37.7749 / 経度: -122.4194 [Googleマップで確認] ※詳細な詳細経路追跡用の情報:https://ip-sc.net/ja/r/104.21.32.181 |
| サイトの稼働状況 | 稼働中(フィッシング罠としてアクティブ) |
◎ 危険と判断できるポイントと「クローキング」の手口
このURLをクリックすると、まず最初に「サイトへの接続が安全かどうか確認しています。2個の盾アイコンを選択してください」といった、もっともらしい画面(セキュリティチェックのフリをした画面)が表示されます。
これは「クローキング(二面性を持たせる偽装行為)」と呼ばれる、非常に悪質な防御手法の一種です。クローキングとは、アクセスしてきた相手が「セキュリティ会社の自動調査ロボット」なのか「一般の人間(騙したいターゲット)」なのかを判別し、見せる画面をガラリと変える手口のことです。自動調査ロボットには「アクセス拒否:リクエストがブロックされました」といったダミーのエラー画面を見せて詐欺サイトの正体を隠し、一般の人間がクリックした時だけ本物の詐欺画面へ進ませるように仕組まれています。
今回の盾アイコンをタップさせる認証画面も、調査ロボットの自動進入を防ぎ、フィッシングサイトの寿命を延ばすために犯人が設置したものです。決して「このサイトが安全だから表示されている」わけではありません。
すでに優秀なセキュリティソフト(ウイルスバスターなど)は、この裏側の挙動を見抜き、「このWebサイトは、安全ではない可能性があります(脅威の種類:フィッシング)」ときちんと警告ブロックを発生させています。
つまり、「セキュリティチェックの画面に見えるもの自体が、実は自分たちの悪事(詐欺サイト)を長生きさせるための目隠し(クローキングの壁)であるということです」。
このクローキングの壁やセキュリティ警告を無理に突破してしまうと、最終的に「くらしTEPCO web」のロゴを盗用した、極めて精巧な偽の請求照会ページへと引きずり込まれます。
そこでは、まず最初の網として「電話番号」の入力を求められます。これを入力してしまうと、続いてクレジットカード番号や、本物の会員サイトへのログインID、パスワードを全て盗み取られることになり、甚大な金銭的被害へと直結してしまいます。
■ 私たちが今すぐ取るべき対処方法
- メールの中のリンク(ボタンやURL)は絶対に触らない: どんなに支払いを急かされても、メールに書かれたリンクから手続きに進んではいけません。
- 公式のブックマーク(お気に入り)やアプリから確認する: 電気料金の支払い状況が本当に気になるときは、自分で事前に登録してある本物の「くらしTEPCO web」のページを開くか、スマートフォンの公式アプリを起動してログインし、おしらせ欄などを確認してください。
- 万が一入力してしまった場合の緊急対応: もし電話番号やクレジットカード情報を偽サイトに入力してしまった場合は、すぐにクレジットカード会社へ連絡してカードの利用を止めてもらい、電力会社の相談窓口へパスワード変更の連絡を行ってください。
■ まとめ
今回の詐欺メールは、偽のセキュリティ画面を挟んだり、本物の文面を真似ていたりと手が込んでいましたが、よく見ると住所に文字化けがあるなど、怪しい痕跡が残っていました。日頃から「URLをクリックさせるメールは、まず一度疑ってみる」という習慣をつけることで、大切な資産と個人情報を守ることができます。
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
関連する過去の解析事例はこちらから検索できます。
【コンテンツ監修:Heartland-Lab】
