【実録】東京ガスを装う「先着500名エアコン清掃」詐欺メールの正体を暴く——GCPサーバーで偽装したSPF・DKIMパスのフィッシングを解析

■ メールヘッダー解析（送信者情報）

件名：【東京ガス】【先着500名】エアコン清掃 早期割20%OFF＋限定特典ポイント

送信者名：“東京ガス株式会社”（偽装）

送信元アドレス：FRHUCL@pxqaezvb.invoice.mpqxyt.com

送信元IPアドレス：35.207.5.111（Google Cloud Platform / GCP・米国）

SPF認証：Pass（送信元が本物かどうかを確認する仕組み。悪用により「合格」と判定されています）

DKIM署名：Pass（メールの改ざんがないことを証明する仕組み。こちらも偽装ドメインで「合格」）

受信日時：2026年6月16日 14:14:53

ご覧の通り、このメールは東京ガス公式サービスを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

• 1. ■ 詐欺メール本文の再現
• 2. ■ 送信ルート及び偽装判定
• 3. ■ フィッシングサイト詳細解析

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。

（受信者名）様

いつも東京ガスをご愛顧いただき、心より御礼申し上げます。

東京ガスでは、夏の本格的な需要期を前に、先着500名様限定の早期予約特別優待を開始いたしました。毎年ご好評をいただいている本企画、今年も多くのお客様からお申し込みが殺到しております。

━━━━━━━━━━━━━━━━━━
早期予約 限定優待内容
━━━━━━━━━━━━━━━━━━

　　　　20%OFF
　　エアコンクリーニング通常料金より

　　　　　　＋

　　　　1,000ポイント
　　早期予約限定ボーナスポイント

━━━━━━━━━━━━━━━━━━

通常のキャンペーンポイント（500pt）に加え、早期ご予約のお客様にはさらに追加で500ptを進呈いたします。合計1,000ポイントは、次回のガス料金のお支払いや提携サービスでご利用いただけます。

【残席わずか — お早めのお申し込みをお勧めします】

　早期優待を今すぐ予約する（※リンク無効化済み）

　※先着500名様に達し次第、受付終了

※ 早期予約特典は先着500名様限定です。定員に達し次第、本優待は終了となります。
※ 作業実施期間：2026年6月15日〜2026年8月31日
※ 追加ポイントは通常ポイントと同時に付与されます。

東京ガス株式会社　カスタマーサポート
© Tokyo Gas Co., Ltd. All Rights Reserved.

■ 送信ルート及び偽装判定

※本来であればReceivedヘッダーの全文をスクリーンショットでお見せしたいところですが、受信者側のサーバー情報が含まれるため掲載を控えています。ご了承ください。

Receivedヘッダー解析（サーバー通過証明）：
Received: from mpqxyt.com (mpqxyt.com [35.207.5.111])

【偽装判定】：
東京ガスの正規メールは @tokyo-gas.co.jp ドメインから送信されます。本メールの送信元は pxqaezvb.invoice.mpqxyt.com という全く無関係のドメインです。ランダムな文字列を並べた典型的な使い捨てドメインで、東京ガスとは一切関係がありません。

GCPを悪用した巧妙な偽装：
送信元IPアドレス 35.207.5.111 はGoogleのクラウドサービス「Google Cloud Platform（GCP）」の米国リージョンに属するサーバーです。攻撃者はGCPの仮想サーバーを借りて偽メール配信インフラを構築し、SPF認証（送信元が本物かどうかを確認する仕組み）とDKIM署名（メールが改ざんされていないことを確認する仕組み）をいずれも「合格（Pass）」に見せかけています。これは一般的なメールフィルターでは検出が難しい高度な手口です。

発信元ロケーション解析：
GCPリージョン：米国（Google LLC 管理 IP帯 35.192.0.0/12）
※GCPのIPアドレスは登録上は米国所在ですが、実際の利用者は世界中どこからでも操作可能です。

※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。

■ フィッシングサイト詳細解析

誘導先URL（ステップ1・リダイレクト経由）：
hxxps://www.xddjzt[.]com/?0DhU9mnREPdtmfGdE3ofXBaA
※まず中継用の別ドメインに飛ばし、そこから詐欺サイト本体へ転送する二段階誘導の手口です。

最終誘導先URL（詐欺サイト本体）：
hxxps://login.szhwhjd[.]com/product

偽装内容：
東京ガスが実際に提供するハウスクリーニングサービス「東京ガスのハウスクリーニング（IGNITURE）」の壁掛けエアコン予約ページを精巧にコピーした偽サイトです。「20%OFFクーポン適用中」「0円（税込）」などの表示で油断させ、個人情報やクレジットカード情報の入力を誘導します。

▼ 偽サイトのスクリーンショット（東京ガスのハウスクリーニングを精巧にコピー）

▲ 本物と見分けがつかないほど精巧に作られた偽ハウスクリーニングサイト（login.szhwhjd.com）

【サイトの状態】：
調査時点でDNS（インターネット上の住所録）の解決ができない状態となっており、サイトは既に停止しています。また、Googleのセーフブラウジング機能（フィッシングサイトへのアクセスを自動でブロックする安全機能）によってもアクセスがブロックされることが確認されています。

▼ Chromeのセーフブラウジング警告（赤い警告画面）

▲ Googleが「危険なサイト」と判定、アクセスをブロック

▼ ファイアウォールによるアクセス拒否画面

▲ 「リクエストがブロックされました」——サーバー側でも遮断済み

■ 注意点と対処法

1. メール内のリンクは絶対にクリックしない：「20%OFF」「先着500名」などお得な言葉が並んでいても、リンク先は個人情報やカード情報を盗む偽サイトです。
2. SPF・DKIMが「合格」でも安心しない：本メールはSPFとDKIMの両方を通過していますが、これは攻撃者が偽のドメインで認証を取得したためです。技術的な認証マークだけでは本物かどうか判断できません。
3. 公式サイトへは必ず直接アクセス：東京ガスのハウスクリーニングサービスの確認は、必ず公式アプリまたはブラウザのブックマークから行ってください。
4. 送信元アドレスを確認する：東京ガスの正規メールは @tokyo-gas.co.jp から届きます。それ以外のドメインからのメールは偽物です。
5. 公式注意喚起の参照：東京ガス：フィッシング詐欺（東京ガスを名乗るメールやSMS）にご注意ください

■ 関連記事

当ブログでは過去にも東京ガスを騙る詐欺メールを取り上げています。あわせてご覧ください。

東京ガス 関連記事一覧

本レポートの結論

今回の詐欺メールは、東京ガスのエアコンクリーニングサービスを精巧にコピーし、「先着500名・残席わずか」という焦りを煽る言葉でクリックを誘う手口です。さらにSPF・DKIM認証を両方「合格」に見せかけるため、一般的なセキュリティフィルターを通過してしまう可能性があります。夏のエアコン需要が高まるこの時期に合わせて仕掛けられた、季節性を利用した計画的な詐欺です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。