発覚！ユニクロ「メンバーシップ感謝祭」偽メールの正体——セブン-イレブン・ファミマと同一インフラによる連続攻撃、SPF/DKIM両Pass偽装で携帯番号を狙う

ご覧の通り、このメールはユニクロを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

📲 LINEで家族に共有する

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

【件名】【ユニクロ】メンバーシップ感謝祭ポイント還元のご案内

平素よりユニクロをご愛顧いただき、心より御礼申し上げます。

このたび、ユニクロはメンバーシップ感謝祭を開催中です。お客様の日頃のご愛顧に感謝を込めて、ご利用金額に応じた特別ポイント還元と、抽選で当たるギフトカードをWでご用意いたしました。

感謝祭 ダブル特典
1. 特別ポイント還元
   ご利用金額に応じたポイントを進呈
2. ギフトカード抽選
   当選者に最大10,000円分のギフトカード

※特典内容および当選有無は専用ページでご確認いただけます。

感謝祭の特典は、ユニクロの店舗でもオンラインストアでもご利用いただけます。新しい季節のLifeWearを、感謝のポイントとともにお楽しみください。

感謝祭の受取期間は限られております。期間終了後は特典が無効となりますので、ぜひお早めにご確認ください。

感謝の気持ちをポイントに込めて — いますぐ確認

感謝祭特典を確認する
W特典をお見逃しなく

ご確認期限：2026年7月20日（月）23:59まで
※お手続きにはご本人確認のため携帯電話番号の入力が必要です。

株式会社ユニクロ
〒107-0062 東京都港区南青山2-2-15
※本メールは自動送信されています。お心当たりのない場合は破棄してください。

■ 送信ルート及び偽装判定

※Receivedヘッダーの全文は受信者側サーバー（非公表）の情報が含まれるため掲載を控えています。

発信元IP：35.212.191.233
Received: from ship.dk12361.com (unknown [35.212.191.233])
→ Google Cloud Platform（35.208.0.0/12）の範囲内。

送信ドメインの構造：
wikfcukj.ship.dk12361.com
→ 「ランダム文字列.ship.dk12361.com」という構造。セブン-イレブン（rctsaw.com）・ファミリーマート（lanjingzhibo.com）と完全に同じパターンです。

【偽装判定】：
正規のユニクロからのメールは @mail.fastretailing.com 等のドメインから送信されます。dk12361.com はユニクロ・ファーストリテイリングと一切関係のない第三者ドメインです。

本社住所の流用：
メール末尾の「〒107-0062 東京都港区南青山2-2-15」はユニクロ（ファーストリテイリング）本社の実在住所です。ファミリーマートと同様、実際の住所を流用して信頼感を演出しています。

発信元ロケーション：米国（Google Cloud Platform）

※GCPのIPアドレスはGoogleのデータセンター施設に帰属するため、実際の攻撃者の物理的な所在地は特定できません。

■ フィッシングサイト詳細解析

▶ PC用誘導先

URL（伏せ字）：hxxps://login.gdzx188[.]com/?zRsdxXTXJZSeqk1EC5UZd4og
IP：104.21.95.74（Cloudflare / 104.16.0.0/12）
状態：Cloudflareのファイアウォールにより「アクセス拒否」

▶ スマホ用誘導先

URL（伏せ字）：hxxps://api.nomurac[.]com/
IP：104.21.95.103（Cloudflare）
状態：「メンテナンス終了 — サービスをご利用いただけます。まもなくページを移動します…」
→ カウントダウン終了後に実際のフィッシングページへ自動リダイレクト。訪問者カウンターには「70」と表示されており、既に複数の被害者がアクセスした可能性があります。

▶ セブン-イレブンとの共有インフラ確認

nomurac.com は同日に届いたセブン-イレブン偽メール②③のスマホ誘導先と全く同一のドメイン・同一IPです。ブランドは違えど、裏側では同じサーバーが稼働しているという証拠です。

▶ 要求する情報

メール本文に「本人確認のため携帯電話番号の入力が必要」と記載。電話番号を入力するとSMSで認証コードが届き、そのコードも詐取されてアカウントが乗っ取られるリスクがあります。

※全フィッシングサイトはCloudflare経由のため実際のサーバーIPは非公開。

■ なぜ「システムメンテナンス中」画面が表示されるのか

スマートフォンでアクセスすると本物のフィッシングページではなく「システムメンテナンス中」という画面が表示されます。「壊れているのでは？」と思った方もいるかもしれませんが、これは攻撃者が意図的に設計した仕掛けです。主な理由は4つあります。

1. セキュリティ研究者から身を隠すため：フィッシングサイトが常時稼働していると、Googleやセキュリティ企業のクローラー（自動巡回プログラム）にすぐ検出されブラックリストに登録されます。メンテナンス画面にしておけば「ただのメンテ中のサイト」として見え、ブロックされるまでの時間を稼げます。
2. 時間帯を絞って稼働させるため：メールを受け取った被害者がリンクを踏む時間帯（昼休み・夜間など）に合わせてフィッシングサイトを「開店・閉店」させています。稼働時間を短くすることで検出・ブロックのリスクを大幅に下げられます。カウントダウンタイマーが表示されているのはこの「開店時刻」を示しているものです。
3. PCとスマホでアクセスを振り分けるため：セキュリティ研究者や自動解析ツールはPCからアクセスすることが多いため、PCには「アクセス拒否」や別のページを見せて解析を妨害します。実際の被害者が使うスマートフォンにだけ本物のフィッシングページを見せるという選別を同時に行っています。
4. 被害者を引き留めるため：「まもなくページを移動します」という表示は、被害者に「少し待てば使える」と思わせて離脱を防ぐ心理的な仕掛けです。カウントダウンが終わると自動的にフィッシングページへリダイレクトされる仕組みになっています。

今回確認されたサイトの訪問者カウンターには「70」という数字が表示されており、稼働・停止を繰り返しながら既に複数の人がアクセスしていることを示しています。「メンテナンス中で今は使えなかった」からといって安心しないでください。時間をおいて再アクセスすると本物のフィッシングページが表示される可能性があります。

■ 注意点と対処法

1. 送信元ドメインを確認する：ユニクロの正規メールは @mail.fastretailing.com 等から届きます。dk12361.com などのドメインはユニクロとは無関係です。
2. SPF/DKIMが「Pass」でも安心しない：今回のメールはSPF・DKIM認証を両方通過しています。認証通過は送信ドメインの設定が正しいことを示すだけであり、そのドメインがユニクロのものかどうかとは別問題です。
3. 携帯電話番号は絶対に入力しない：電話番号を入力するとSMSで認証コードが届き、コードまで詐取されてアカウントを乗っ取られる「SMS認証コード詐取」の二段階攻撃に発展する可能性があります。
4. ユニクロ公式の注意喚起を確認：ユニクロを装ったメール・SNSアカウント・サイトなどにご注意ください（公式）
5. 特典や還元はアプリ・公式サイトで確認：メール内のリンクは使わず、必ずユニクロ公式アプリまたは www.uniqlo.com/jp/ja に直接アクセスして確認してください。

■ 関連記事

同一インフラ：セブン-イレブン偽メール3種解析記事

同一インフラ：ファミリーマート偽メール解析記事

本レポートの結論

今回のユニクロ偽メールは、同日に発射されたセブン-イレブン・ファミリーマート偽メールと完全に同一のインフラ（GCP＋Cloudflare＋SPF/DKIM両Pass）を使用しており、同一の攻撃者グループによる「ブランド総当たり攻撃」の一環であることが確認されました。複数のコンビニ・アパレルブランドを同時に偽装して一斉送信することで、より多くの受信者に引っかかるよう設計されています。スマホ誘導先のカウンターが「70」を示しており、既にアクセスした人がいる状況です。ユニクロからのメールは「@mail.fastretailing.com」など公式ドメインのみ。見慣れないドメインからのポイント・ギフト系メールは即削除を。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて！』と共有してあげてください。