【緊急】同一犯確定!TikTok「本人確認を完了してください」とdocomo「アカウント利用制限」、誘導先URLのパスまで完全一致

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] 本人確認を完了してください(アカウント保護)
送信者表示名:“TikTokセキュリティセンター”
送信元アドレス:system-mailing@newsletter-feedback.nomruajapanzb.com
送信元IP解析:35.189.26.30(オーストラリア・シドニー/Google Cloud Platform)
SPF判定:Pass(送信元のドメインと送信サーバーの組み合わせが攻撃者側で正しく設定されているだけのことであり、TikTokの正規メールであることの証明にはなりません)
受信日時:2026年07月02日(木)11時09分頃
ご覧の通り、このメールはTikTokを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※実際に届いたメールの画面です。TikTokの公式デザインを模しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
■ アカウント保護に関するお知らせ TikTokをご利用いただきありがとうございます。 お客様のアカウントにおいて、通常とは異なるアクセス環境が検知されました。 そのため、セキュリティ保護の観点から一部機能の利用を一時的に制限しております。 アカウントの安全性を確認するため、本人確認を完了してください。 本メールを受信されたお客様は、以前に同様のメールを受信されている場合でも、必ず電話番号認証を完了していただきますようお願いいたします。 ■ 確認方法 ご登録の携帯電話番号によるSMS認証を行ってください。 ■ 重要 本人確認が完了しない場合、一部機能が引き続き制限される可能性があります。 ▼ 本人確認を開始する hxxps://toktik.aulikner[.]com/support/help/article/account/profile/100284719305 ※確認期限 2026年7月2日 23:59 ※本手続きはアカウント保護のために実施されています。 ------------------------------ TikTok サポートチーム TikTok ヘルプセンター:https://support.tiktok.com/ ご不明な点はございますか? ヘルプセンターをご覧いただくか、アプリ内の[設定]-[問題を報告]からお問い合わせください。 これは自動返信メールです。ご返信いただいてもお答えできませんのでご了承ください。 ------------------------------ プライバシーポリシー TikTok, 10100 Venice Blvd, Culver City, CA 90232
「以前に同様のメールを受信されている場合でも、必ず電話番号認証を完了してください」という一文、実は今朝のdocomo記事でご紹介した文面と表現がほぼ同一です。同じ攻撃者が使い回しているテンプレートの「型」がここにも表れています。
💡ここで!
「誘導先URLのパスが一致」とはどういうことか
URLは「ドメイン部分(誰が管理しているか)」と「パス部分(サイト内のどのページか)」に分かれています。今回のTikTok版とdocomo版では、ドメイン名こそ違うものの、パス部分(/security/ap/loginlogout/login/creditlimit/inquirycreditlimit/以下の識別子)が一字一句同じでした。これは、攻撃者が同じ偽サイト作成ツール(フィッシングキット)を使い、ブランド名だけを差し替えて複数の企業になりすましたサイトを量産していることを示す、動かぬ証拠です。
■ 送信ルート及び偽装判定
送信元の正体:送信者表示名は「TikTokセキュリティセンター」となっていますが、実際のメールアドレスのドメイン(@より後ろ)は「newsletter-feedback.nomruajapanzb.com」。TikTokが利用する正規ドメインとは一切関係がありません。
送信元サーバーの解析:メールヘッダーの「Received-SPF」に記載された実際の送信元IPアドレスは35.189.26.30。このIPアドレスはオーストラリア・シドニーに割り当てられた、Google Cloud Platformのサーバーでした。送信元ドメイン自体もこの同じIPアドレスに割り当てられており、攻撃者はクラウド上に自前のメール送信基盤を構築していることが分かります。
※メールヘッダーの詳細(Receivedヘッダー等の生ログ)は受信者の個人情報を含むため、本文中には掲載しておりません。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://toktik.aulikner[.]com/security/ap/loginlogout/login/creditlimit/inquirycreditlimit/(一部伏字)
リンクドメイン:toktik.aulikner.com(”TikTok”を連想させる文字列を含む偽装サブドメイン)
サイトサーバーIP:8.216.37.111(Alibaba (US) Technology Co., Ltd/東京都)
このIPアドレスは、本日紹介したdocomoを騙るメールの誘導先IP(8.216.49.64)と同じ組織(Alibaba.com Singapore E-Commerce Private Limited)・同じ東京都内エリアに属しています。ドメイン名は変えていても、裏側のサーバーとURLパスの構造は使い回しており、同一犯による複数ブランドの並行攻撃であることがうかがえます。
【サイトの状態】:AdGuardの日本語フィルタリングルールにより、アクセスした時点でブロックされます。ブロックを解除して先に進むと、TikTokの公式デザインを模した「安全のため本人確認を行います」という偽の電話番号入力画面が表示されます。
※誘導先URLにアクセスすると、AdGuardの日本語フィルタで警告が表示されます。
※TikTokの公式デザインを模した偽の本人確認画面です。電話番号を入力すると攻撃者に情報が渡ります。
■ 注意点と対処法
- URLをクリックしない:リンク先は電話番号などの個人情報を盗むための偽サイトです。
- 「以前も届いたから今回は無視していい」と油断しない:本文の一文は、その油断を逆手に取る心理的な仕掛けです。
- 公式アプリを確認:アカウントに関する通知は、必ずTikTokアプリ内またはヘルプセンター(support.tiktok.com)から確認してください。
- 関連記事もあわせてご確認ください:同じキットを使ったなりすましとしてdocomo「アカウント利用制限」メールもご覧ください。
本レポートの結論
「本人確認を完了してください」という名目で届く今回のメールは、TikTokを名乗る偽メールでした。本日紹介したdocomo「アカウント利用制限」メールと誘導先URLのパス構造・サーバーIPの帯域が一致しており、同一犯が複数ブランドを標的に同時展開している実態が明らかになりました。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点(2026年7月)のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net














