【最終通告】未交換ポイント抹消の罠！TEPCOを騙る詐欺メールの正体を暴く——13年前の休眠ドメインを乗っ取った巧妙な手口

2026年6月21日

【最終通告】未交換ポイント抹消の罠！TEPCOを騙る詐欺メールの正体を暴く

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

「未交換ポイントがまもなく失効します」「本通知限り」「次回のご案内はございません」——東京電力の「くらしTEPCOポイント事務局」を名乗るメールが、最終通告という形でポイント交換を急がせてきました。PayPay、Amazon、dポイントなど多彩な交換メニューを並べて信頼性を演出していますが、調査を進めると送信元はGoogle Cloud、誘導先のドメインは10年以上前に登録された休眠ドメインを、わずか3日前に使い回し始めたばかりという実態が見えてきました。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★☆ (4/5)
偽装工作精度	★★★★☆ (4/5)

■ メールヘッダー解析（送信者情報）

件名：[spam] 【TEPCO】【最終通告】未交換ポイント失効のご案内

送信者名：“TEPCOカスタマーサポート”

送信元アドレス：XBGHXJ@tlthpcbb.confirmation.identity2u.com

送信元IP：35.217.116.106（ip-sc.netで確認する）

IPロケーション：アメリカ・ユタ州ソルトレイクシティ（Google Cloud／Google Ireland Limited、利用形式：hosting）

SPF：Pass（client-ip=35.217.116.106）　DKIM：署名あり（d=confirmation.identity2u.com）

受信日時：2026年6月20日 12:51 JST

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

まず率直に申し上げると、このメールの作り込みはかなり丁寧です。「本通知限り」「抹消後の復元は技術的にも運用的にも不可能」といった、後戻りできない感を出す言い回しが随所に配置されていて、慌てて手続きしてしまう人が出るのも無理はないと感じました。ただ、慌てる前に一呼吸置いて確認すべき点がいくつもあります。順番に見ていきましょう。

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

未交換ポイントがまもなく失効します — 最終のご案内
TEPCO最終通告

〇〇 様

平素より東京電力の電気・各種サービスをご利用いただき、誠にありがとうございます。本日は最終通告となる極めて重要なご案内です。

くらしTEPCOポイント事務局より、これまでに複数回のご案内を差し上げてまいりましたが、お客様のアカウントに残る未交換ポイントが、現時点をもっても確認されております。

最終通告：未交換ポイント抹消前の最終案内

本メールは、お客様にお送りする最後のご案内です。本通知以降、未交換ポイントに関するいかなる連絡も行われず、所定の期限をもってポイントはシステム上から完全に抹消されます。抹消後の復元は技術的にも運用的にも不可能であり、当社では一切の責任を負いかねます。

消えゆくポイントを価値あるアイテムに変えるラストチャンスです。以下のボタンから今すぐ交換手続きをお願いいたします。

最終案内 — 本通知限り

今ならまだ間に合います。以下の多彩な交換先から、お好きなアイテムをお選びいただけます。

今ならまだ間に合います。以下の多彩な交換先から、お好きなアイテムをお選びいただけます。

交換可能メニュー一覧
PayPay　Amazon　dポイント　Ponta　nanaco
マネーライトギフトカード　共通ポイント　共通ポイント電子マネー
WAON　Vポイント　JRE POINT　清掃割引　宿泊優待
電子マネー　共通ポイント　JR東日本　割引券　優待券

交換手続きは1分もかからず完了します。これが本当に最後の機会です。今すぐお手続きください。

最後の交換手続きを完了する　本日限り・最終確認ページへ

※本通知は最終のご案内です。次回のご案内はございません。

※未交換ポイント抹消後は、いかなる経路からの復元依頼にもお応えできません。

※すでに交換手続き完了済みのお客様は、本メールを破棄いただけます。

※本メールはシステム自動配信です。ご返信には対応いたしかねます。

東京電力ホールディングス株式会社
くらしTEPCOポイント事務局

© Tokyo Electric Power Company Holdings, Inc. All Rights Reserved.

※メールヘッダー詳細は個人情報保護のため非掲載

交換メニューに「PayPay」「Amazon」「dポイント」「Ponta」「WAON」など実在する有名サービス名をずらりと並べているのも、いかにも本物らしく見せるための工夫です。とはいえ、よく見ると「マネーライトギフトカード」「共通ポイント電子マネー」といった、実在するのかどうか判然としない名称も混ざっています。本物の企業がこんな雑な書き方をするでしょうか？　ここがまず一つ目の引っかかりポイントです（笑）。

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=35.217.116.106; helo=confirmation.identity2u.com; envelope-from=xbghxj@tlthpcbb.confirmation.identity2u.com;
Received: from confirmation.identity2u.com (confirmation.identity2u.com [35.217.116.106]) by dmail03.kagoya.net (Postfix) with ESMTP id 065272DF979;

【偽装判定】：
東京電力の公式ドメインは「tepco.co.jp」です。本メールの送信ドメイン「tlthpcbb.confirmation.identity2u.com」は東京電力とは一切関係のない第三者ドメインであり、SPF・DKIMの認証自体は通過しているものの、これは「identity2u.comというドメインの設定が正しい」ことを証明するだけで、「東京電力からのメールである」ことは何ら保証しません。攻撃者が自分で用意したドメインにSPF/DKIMを正しく設定すれば、認証は問題なく通過してしまいます。

発信元ロケーション解析：
IPアドレス：35.217.116.106（Google Cloud／Google Ireland Limited、AS43515、利用形式：hosting）
ロケーション：アメリカ・ユタ州ソルトレイクシティ
ip-sc.net調査リンク：【調査結果を確認する】
※ロケーション情報は調査時点のものであり、クラウドサービスのため変動する可能性があります。

続いて、実際にボタンをクリックした先がどうなっているのかを見ていきます。今回は面白いことに、PCとスマートフォンで誘導先のドメインが完全に分けられていました。

■ フィッシングサイト詳細解析

誘導先URL（PC・伏せ字）：hxxps://www.bjsz18.com/?eDtySNLq7tu1Uukd9GMlrsDR（一部伏字）

誘導先URL（スマホ・伏せ字）：hxxps://www.nbjwforging.com/home（一部伏字）

リンクドメイン：bjsz18.com（PC）／nbjwforging.com（スマホ）

サイトサーバーIP：172.67.129.12（PC、Cloudflare）／172.67.178.98（スマホ、Cloudflare）
※Cloudflareのリバースプロキシ経由のため、実サーバーのIPは隠蔽されています。
ip-sc.net調査リンク：【PC側を確認する】　【スマホ側を確認する】

ドメイン登録情報（Whois）：
bjsz18.com：2013年11月8日登録（約12.6年前）／レジストラ：Gname.com Pte. Ltd.／更新日：2026年6月18日（記事化の3日前）
nbjwforging.com：2012年11月10日登録（約13.6年前）／レジストラ：Gname.com Pte. Ltd.（同一）／更新日：2026年6月18日（同日）

【サイトの状態】：PC側はファイアウォールにより「アクセス拒否」表示でブロック済み。スマホ側は携帯電話番号の入力を求める画面が現在も表示される状態です。

※解析データに基づき、攻撃者は10年以上前から放置されていた休眠ドメインを、同一レジストラ経由で同日に使い回し始めたことが確認されています。古いドメインは新規取得ドメインよりもセキュリティソフトやメールフィルタの警戒度が低く見られがちなため、フィルター回避を狙ったものと考えられます。

これは正直なところ、今回の解析でもっとも興味深かった点です。普段見かける詐欺サイトの多くは取得して数日〜数週間の新しいドメインですが、今回の2つはどちらも10年以上前から存在していました。それが揃って「更新日：2026年6月18日」、つまりこの記事を書く3日前に同時に動き出している。これはほぼ間違いなく、休眠していたドメインを攻撃者が安く買い取って（あるいは何らかの方法で乗っ取って）、フィッシングキャンペーン用に使い回し始めたパターンです。古いドメインであること自体は無罪ですが、「東京電力の正式サービスがこんな素性のドメインを使うはずがない」という点では、十分に怪しさの裏付けになります。

実際にアクセスを試みると、PC側はファイアウォールに「アクセス拒否」とブロックされる状態でした。一方でスマートフォン側は現在もページが生きており、「ポイント受け取りのご案内」と称して携帯電話番号の入力を求める画面が表示されます。これはPCとスマホでアクセス先を切り分け、より入力の手が早いスマホユーザーを狙い撃ちにする典型的な「クローキング」（閲覧環境によって表示内容を変える手法）です。皆さんはどちらの画面に遭遇したでしょうか？

■ 注意点と対処法

URLをクリックしない：リンク先は情報を盗むための偽サイトです。「本通知限り」という煽り文句に焦って即クリックしないでください。
携帯電話番号は絶対に入力しない：スマホ誘導先では電話番号の入力を求められますが、これを入力すると不正利用やさらなる詐欺の標的にされるリスクがあります。
公式サイトを確認：ポイントの状況は、必ず公式アプリまたはブックマークしてある「くらしTEPCO web」から確認してください。メール内のリンクは使わないでください。
公式注意喚起の参照：当社を装った電気料金支払いを促す不審なメール等について（東京電力エナジーパートナー公式）

本レポートの結論

「未交換ポイントがまもなく失効」「本通知限り」という最終通告を装い、PayPayやAmazonなど実在する有名サービス名を並べて信頼性を演出する手口でした。送信元はGoogle Cloud、誘導先は10年以上前に登録された休眠ドメインを直前に使い回したもので、PCとスマホで表示を切り分けるクローキングまで実装されています。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

LINEで共有する

Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net