| Heartland-Lab セキュリティ緊急レポート | | 【閲覧注意】「TEPCO ご利用料金の未払いにつき」実録公開!開いただけで迫る恐怖のリスト化、巧妙な詐欺サイトの裏側を暴く! こんにちは!みんなの安全を守るために日々怪しいメールと戦っている、Heartland-Lab(ハートランドラボ)のセキュリティアナリストです!
今日も僕の元に、とっても巧妙で危ないメールが飛び込んできたので、みんなに一番にシェアしにきました! 今回ご紹介するのは、みんなの生活に欠かせない電気の会社「東京電力(TEPCO)」を騙る(かたる:偽ること)悪質なフィッシングメール(本物のサイトにそっくりな偽物で騙す詐欺)です。
最初に結論からお伝えしますが、こういったメールは「開いただけ」では、すぐにクレジットカードからお金を抜かれるような直接的な被害はありません。
でも、油断しちゃダメですよ! 今回はありませんでしたが、メールの中に「開通通知(相手がメールを読んだことを確認する仕組み)」が仕込まれていたりする場合もあり、あなたがメールを開いた瞬間に、犯人側に「このメールアドレスは現在使われています!」という生体通知(生きているアドレスだという情報)が自動で送られてしまう可能性があるんです。
そうなると、あなたのメールアドレスが「騙しやすいカモのリスト(詐欺メール送信対象リスト)」に入れられてしまい、今後さらに大量の詐欺メールが届くようになってしまいます!
だからこそ、怪しいメールを見つけたら、まずは落ち着いて僕たちの解析結果を読んで、しっかり対策していきましょうね!
■ 最近のスパム(迷惑メール)動向レポート さて、個別の解析に入る前に、ここ1ヶ月のスパムメールの全体的な動きを僕たちのデータベースアーカイブから巡回・集計した統計としてお話ししますね。
現在、世の中に出回っている詐欺メールの多くは、電気やガスといった「生活インフラ系」、そして「大手クレジットカード会社」や「通販サイト」を騙るものが全体の約8割を占めています。 特に今月は、季節の変わり目や請求金額が変動するタイミングをピンポイントで狙ったインフラ系の詐欺が急増しているんです。
犯人たちは、みんなが「えっ、電気が止まっちゃうの!?」と焦る心理を悪質に利用しています。
さらに特徴的なのは、メールの送信元を偽装する技術がどんどん高度になっていて、一見しただけではプロでも見破るのが難しいレベルになってきていることです。
でも大丈夫、僕がその見破り方をこれから分かりやすく教えますからね!
■ 今回の不審なメール基本情報 まずは、届いたメールの見た目と、隠された基本データからチェックしていきましょう! | 項目 | 詳細データ | | 緊急性・危険度 | ★4 (非常に危険) | | 件名(サブジェクト) | [spam] 【重要】 TEPCO ご利用料金の未払いにつき 番号:28179052 | | 送信者名(From表示名) | “TEPCO 【支払い管理部門】” | | 送信元メールアドレス | gnu@gnu.leepmart.com | | 受信日時 | 2026年5月25日 14:54:04 (+0900) | 【お兄さんのワンポイント解説!】
件名の頭に「[spam]」という文字が付いていますよね?
これは、あなたの使っているメールサーバーのセキュリティ機能が「このメールは十中八九、迷惑メール(スパム)だよ!」と事前に検知して、自動で警告のスタンプを押してくれた証拠なんです。
この文字が件名に入っていたら、その時点で中身を疑って、絶対にリンクを押さないようにしてくださいね! そして、送信者のメールアドレスを見てください。
「TEPCO」と名乗っているのに、アドレスのドメイン(@より後ろの部分)が「gnu.leepmart.com」という、東京電力とは全く関係のない外国の怪しい通販サイトのような名前になっていますよね。
つまり、「名前だけ東京電力の制服を着て、中身は全くの赤の他人」ということです。 | 【メール本文のスクリーンショット】 
| ※実際のメール画面を撮影したものです 実際のメールの見た目は、上のスクショエリアにある通り、非常にシンプルで、文字のバランスも本物っぽく見せています。
スクショを見た感じ、いかにも公式から届いた「未払い通知」のように見えますが、よく見るとフォント(文字の形)や一部の記号の使い方が少し不自然で、どことなく機械的に作られた冷たい印象を受けますね。 みんなが騙されないように、メールの本文をここにできる限り忠実に再現しておきますね!(念のため言っておきますが、これは僕が解析のために正確に書き起こしたレプリカですよ!) | 【重要】ご利用料金のご請求について お客様には日頃よりご愛顧賜り、誠にありがとうございます。
この度、下記の通り、2026年4月分のご利用料金が未納となっております。至急お支払いいただきますようお願い申し上げます。 お支払期限を過ぎますと、サービスの供給を一時的に停止させていただくことがありますので、期日内にお支払いいただくようご注意ください。 <未払い金額:5,931円(税込)> 支払期限:2026-05-25(期限後のお支払いはお受けできません) ▼ ご利用料金のお支払いはこちら
※ 本メールは、TEPCOエナジーパートナー株式会社にご登録のメールアドレス宛に送信しております。
東京電力エナジーパートナー株式会社
〒100-8560 東京都千代田区内幸町1丁目1番3号
※ 本メールの内容は無断で転載することを禁じます。
(c) TEPCO Energy Partner, Inc. | ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ メールヘッダーから暴く犯人の足跡(技術解析) ここからは、メールの裏側に隠された「ヘッダー情報(メールの送り状のようなもの)」をプロの目で解析していきます!
※なお、メールヘッダーの全体スクリーンショットには、受信者側の詳細なサーバー情報やプライバシーに関わる大切な情報が含まれているため、ここでは掲載を控え、安全のためにテキストとして抽出した中身だけを公開しますね。 今回、犯人の足跡を特定するために、時系列(時間の流れ)で見て一番古い(=犯人が最初にメールを送り出した)Receivedヘッダーと、送信ドメイン認証の認証結果であるReceived-SPFヘッダーを抽出しました。
プライバシー保護のため、受信者自身のアドレスや関係するサーバー名は伏字(*)にしています。 【抽出したReceivedヘッダー(最古)】
Received: from gnu.leepmart.com (unknown [92.4.84.137]) by dm*il01.******.net... Mon, 25 May 2026 14:54:05 +0900 【抽出したReceived-SPFヘッダー】
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=92.4.84.137; helo=gnu.leepmart.com; メールの送信元ドメインとIPアドレスの検証結果 | 確認項目 | データ・解析結果 | | 送信元ドメインのIPアドレス | 92.4.84.137 | | 最古のReceivedに刻まれたIP | 92.4.84.137 | | 偽装判定 | 一致(ドメイン認証通過型の罠) | | 発信ロケーション(位置情報) | ルーマニア (Romania)
緯度・経度: 44.4323, 26.1063
【ip-sc.netでIP詳細調べる】
【Googleマップで位置を確認】 | 【つまりどういうこと?(お兄さんの噛み砕き解説)】
つまり、「犯人は自分の用意した偽ドメイン(gnu.leepmart.com)を使い、ルーマニアにあるサーバーから、正真正銘そのサーバーのIPアドレス(92.4.84.137)を使って堂々とメールを送ってきた」ということです! 今回のメールは、送信ドメイン認証(SPF:メールの送信元が詐欺じゃないか確認する技術)をあえて「Pass(合格)」するように犯人が最初から仕組んでいます。
セキュリティソフトに「これは偽装メールじゃないよ、正規のルートで送られたメールだよ」と誤認させるための、とてもずる賢いテクニック(ドメイン認証通過型フィッシング)を使っているわけですね。
東京電力とは何の関係もないルーマニアから電気が止まるメールが来るなんて、100%詐欺だと断言できます!
■ 誘導先フィッシングサイトの徹底検証 次に、メール本文にある「▼ ご利用料金のお支払いはこちら」というリンクを、安全な特殊環境で徹底調査しました!
※みんなは絶対に真似して押しちゃダメですよ! 【メール内に仕込まれていた危険なリンク】
メール内の文字列:▼ ご利用料金のお支払いはこちら
実際の飛び先URL(一部伏字):h**ps://hunyuanyiqi.com/search
(※安全のため一部を伏字に変更し、リンクを無効化しています) | 【「人間確認」パズル画面のスクリーンショット】 
| ※自動検知を逃れるための偽装画面です 驚異の隠蔽工作「クローキング」の疑いとは? このURLをクリックすると、すぐに東京電力の画面には行かず、上のスクショエリアにあるような「サイトへの接続が安全かどうか確認しています」という、セキュリティ用の「人間確認(パズルを解かせる画面)」が表示されます。
実はこれ、いまセキュリティ業界で大問題になっている「クローキング(防御を騙す技術)」という極めて凶悪な手法の疑いがあります! クローキングとは、アクセスしてきた相手が「Googleやウイルスバスターなどのセキュリティ会社の調査ロボット(クローラー)」だと分かると、わざと「アクセス拒否 リクエストがブロックされました。後ほどお試しください。」という真っ白な偽のエラーページを見せて、詐欺サイトであることを隠す技術です。
一方で、アクセスしてきたのが「一般のユーザー(人間)」だと判断すると、パズルを解かせてから本物の詐欺サイト(フィッシング画面)へ案内するんです。
これにより、セキュリティ会社に「このURLは安全なエラーページだな」と勘違いさせ、ブラックリストへの登録を遅らせて、サイトを長生きさせようとしているわけです。本当に悪質ですよね! | 【偽の「くらしTEPCO」画面のスクリーンショット】 
| ※個人情報を盗み取るための偽サイトです この「人間確認」のパズルを突破してしまうと、上のスクショ3枚目にある、本物の「くらしTEPCO web」にそっくりな偽の請求照会ページに辿り着いてしまいます。
デザインやロゴマークが非常に精巧にコピーされていて、パッと見では本物と区別がつきません。
ここで「電話番号」を入力させて、その後にクレジットカード情報などを盗み取るのが犯人の目的です。 リンク先フィッシングサイトのサーバー状態(徹底追跡) | 検証項目 | 調査データ・結果 | | リンク先ドメイン | hunyuanyiqi.com | | リンク先ドメインのIPアドレス | 154.216.18.232 | | サーバーのロケーション | 香港 (Hong Kong)
緯度・経度: 22.2578, 114.1657
【ip-sc.netでリンク先IPを調べる】
【Googleマップでサーバー位置を確認】 | | URLが危険と判断できるポイント | ・東京電力の公式ドメイン(tepco.co.jp)とは全く異なる海外ドメインであること
・アクセス時に不審な「クローキング(人間確認)」画面を挟むこと | | サイトの稼働状況 | 現在も稼働中(絶賛募集中で極めて危険!) | 【つまりどういうこと?(お兄さんの噛み砕き解説)】
つまり、「メールはルーマニアから送られてきたけれど、クリックして連れていかれる詐欺の網を張った本拠地(サーバー)は、香港に設置されている」ということです!
世界中のネットワークをまたいで網を張る、国際的なフィッシング詐欺グループの影が見え隠れしていますね。
■ メールへの注意点と正しい対処方法 もし、このようなメールが届いたら、次の対処法を徹底してください! - 絶対にリンクを押さない: メールにあるリンクから支払いをしようとしないでください。
- 公式のブックマークから確認する: 本当に未払いがあるか心配な時は、メールのリンクは無視して、いつも自分が使っているお気に入り(ブックマーク)や、公式の「くらしTEPCO」アプリから直接ログインして確認してください。
- 怪しいパズルが出たら引き返す: 万が一リンクを押してしまっても、「人間確認」の画面や盾のマークを選ぶパズル画面が出たら、絶対に何もせずすぐにブラウザのタブを閉じてください!
【公式の正しい注意喚起情報はこちら】
東京電力エナジーパートナーによる最新の公式注意喚起ページは、以下から確認できます。
安全のため、普段から公式のアナウンスにも目を通しておくと安心ですよ!
【公式】東京電力:詐欺行為にご注意ください
■ お兄さんからのメッセージとまとめ 今回の東京電力を騙るフィッシングメールの解析、いかがでしたか?
ドメイン認証をパスしてセキュリティをすり抜け、さらにクローキングを使って検知を逃れようとする、本当にずる賢くて巧妙な手口でしたね。 身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
あなたの大切な家族やお友達が、詐欺の被害に遭わないように、ぜひこの情報を教えてあげてくださいね!「これ知ってる!」という知識があるだけで、詐欺の被害は100%防ぐことができますから! コンテンツ監修・執筆:Heartland-Lab | 
