「ユニクロアプリダウンロード特典」のメールが届いたら要注意！クリックしたら全然関係ない保険会社の偽サイトに繋がった詐欺の実態

2026年6月5日

🔴 緊急度：高

【実録・閲覧注意】UNIQLOを偽装した「アプリダウンロード特典」詐欺メールの正体：第一生命の偽サイトを使い回すという大胆不敵な詐欺インフラの実態を完全解剖

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

ユニクロ（UNIQLO）を装い「アプリをダウンロードするだけでギフトカードがもらえる」と称して偽サイトへ誘導するフィッシング詐欺メールが確認されました。メールはUNIQLOの正規ドメインとは全く無関係の qhetg.com というドメインから、Alibaba Cloud（アリババクラウド／中国系クラウドサービス）とGoogle Cloud Platform（GCP）を組み合わせたインフラを経由して送信されています。今回の調査で特に注目すべきは誘導先の偽サイトです。なんと以前に別案件として調査した「第一生命の偽サイト」がそのまま流用されており、ユニクロとは全く関係のない保険会社の偽フィッシングページが表示されます。異なるブランドの詐欺メールに同一の偽サイトを使い回すという、詐欺グループの「インフラ共有・使い回し」の実態が今回の調査で明らかになりました。

※重要：HTMLメールとして配信されており、開封するだけでアクティブなアドレスとして攻撃者のリストに登録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)
偽装工作精度	★★★★☆ (4/5)
詐欺の種別	フィッシング詐欺（個人情報詐取）
ターゲット	UNIQLOユーザー全般
SPF認証	なし（SPFレコード未設定という雑な作り）
特記事項	第一生命の偽サイトを流用・詐欺インフラ使い回し確認

■ メールヘッダー解析（送信者情報）

件名：【ユニクロ】アプリダウンロード特典のご案内

送信者名（偽装）：ユニクロオンラインサービス

送信元アドレス：media@icaosmef.support-center.qhetg.com（UNIQLOとは無関係のドメイン）

ドメインIP解析：45.204.175.150（support-center.qhetg.com / Alibaba Cloud）

メール送信IP（client-ip）：35.212.208.177（Google Cloud Platform）

受信日時：2026年6月5日（金）11:09:07 +0900（JST）

Received-SPF：No SPF record（SPFレコード未設定）　※他の詐欺メールはSPFを設定して認証を偽装しますが、このメールはそれすら省いています。

DKIM署名：あり（support-center.qhetg.com ドメインで署名。UNIQLOの署名ではない）

最古のReceivedヘッダー：Received: from support-center.qhetg.com (unknown [35.212.208.177])

※ヘッダーのスクリーンショットは受信者側サーバー（非公表）の情報を含むため掲載不可。

ご覧の通り、このメールはUNIQLOを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

■ 詐欺メール本文の再現

↓実際に届いた詐欺メールのスクリーンショット

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。絶対にクリックしないでください。

UNIQLO
アプリでもっと便利に

〇〇 様

いつもユニクロをご利用いただき、ありがとうございます。

ユニクロ公式アプリをダウンロードするだけで、ギフトカードがもらえるキャンペーンを実施中です。難しい条件はありません。ダウンロードして確認するだけ。

━━━━━━━━━━━━━━━━━━━━━━
アプリをダウンロードするだけ
① アプリをダウンロード → ② 会員情報を確認 → ③ ギフトカードGET
※ アプリダウンロードは無料です。
━━━━━━━━━━━━━━━━━━━━━━

ユニクロ公式アプリなら、新商品の先行予約、限定クーポン、オンラインストアとの連携など、お買い物がぐっと便利になります。この機会にぜひダウンロードしてみませんか。

ダウンロード特典は期間限定です。今ダウンロードしないと、この特典は受けられなくなります。

【偽リンク・クリック厳禁】ダウンロード特典を確認する【偽リンク・クリック厳禁】

ダウンロード特典は期間限定です

ご確認期限：2026年6月30日（火）まで
※ お手続きにはご本人確認のため携帯電話番号の入力が必要です。

株式会社ユニクロ
〒107-0062 東京都港区南青山2-2-15
※本メールは送信専用アドレスより配信されております。

UNIQLOのロゴ・赤いブランドカラー・文体を精巧に模倣しており、一見すると本物と見分けがつきません。「難しい条件はありません。ダウンロードして確認するだけ」という手軽さを強調し、「今ダウンロードしないと特典は受けられなくなります」という焦りで行動を急かす、フィッシング詐欺の教科書通りの手口です。しかし送信元アドレスをよく見ると qhetg.com という、UNIQLOとは全く無関係のドメインが使われています。

■ 送信ルート及び偽装判定

最古のReceivedヘッダー（メールの出発点）：

Received: from support-center.qhetg.com (unknown [35.212.208.177]) by 受信者側サーバー（非公表） (Postfix) with ESMTP Fri, 5 Jun 2026 11:09:07 +0900 (JST)

【偽装判定】：
正規のUNIQLOからのメールは必ず @uniqlo.com または @mail.uniqlo.com ドメインから送信されます。本メールの送信ドメイン qhetg.com はUNIQLOの公式サーバーとは一切関係がない第三者ドメインです。

また今回はReceived-SPFが「No SPF record（SPFレコードなし）」という状態です。他の詐欺メールはSPFを自分で設定して「Pass」を偽装しますが、このメールはそれすら省略しています。「ハンコを自分で作るのも面倒だったのか」というレベルの雑な作りですが、それでもメールは届いてしまうのが現状です。

発信元サーバー解析（メール送信IP：35.212.208.177）：
クラウド事業者：Google Cloud Platform（GCP）アジア太平洋リージョン
推定ロケーション：日本または東アジア（Google社管理データセンター）
Googleマップ：【参考位置を確認する（概算）】

送信インフラIP解析（45.204.175.150）：
クラウド事業者：Alibaba Cloud（アリババクラウド／中国系クラウドサービス）
推定ロケーション：香港またはシンガポール（Alibaba Cloud管理）
Googleマップ：【香港・参考位置を確認する】

※IPジオロケーション情報は調査時点のものです。クラウドサービスのIPは日々変化することがあり、表示される位置はデータセンターの所在地であり、攻撃者の実際の居場所とは異なります。

↓PCでアクセスした際に表示される偽のアクセス拒否画面

「アクセス拒否リクエストがブロックされました。ファイアウォールで保護されています」という画面が表示されます。これは本物のセキュリティ機能ではなく、PCからの調査を妨害するために犯人が自作した偽の画面です。そしてこの画面のデザインが、過去に当ブログで解析した第一生命の詐欺案件のアクセス拒否画面と完全に一致しています。つまり同一の詐欺グループが複数ブランドの詐欺メールに同じインフラを使い回していることが確認されました。

■ フィッシングサイト詳細解析

※以下は解析目的のみで掲載しています。絶対にアクセスしないでください。

誘導先URL（伏せ字）：
hxxps://www.846pk[.]com/?1eozVHpZjsnS（一部伏せ字）

リンクドメイン：846pk.com（UNIQLOの正規ドメイン uniqlo.com とは全く無関係）

サイトサーバーIP：[IP取得不可：DNS失効の可能性]
調査時点でDNS解決が不可能な状態でした。攻撃者がドメインを既に廃棄・使い捨てにしたと見られます。短命ドメインを使い捨てることで追跡を困難にする手口です。

【端末別の表示切り替え】：
PC → 偽のアクセス拒否画面（調査妨害用）
タブレット → 直接詐欺サイト（CAPTCHAなし）
スマートフォン → 直接詐欺サイト

【衝撃の事実：第一生命の偽サイトを流用】：タブレットでアクセスしたところ、表示されたのは「第一生命保険」の偽サイト（携帯電話番号入力画面）でした。ユニクロのギフトカード特典を謳って誘導しておきながら、表示されるのは全く別の保険会社の偽ページという、詐欺としての筋書きすら破綻した状態です。これは詐欺グループが複数のブランドの詐欺メールを一つのフィッシングインフラで使い回していることを示しています。

【狙われる情報】：携帯電話番号。入力した場合、SMSを使ったさらなる詐欺（スミッシング）や、なりすまし電話詐欺に悪用される危険があります。

※IPジオロケーション情報は調査時点のものです。DNS失効のため現時点ではサイトへのアクセスは不可能な状態ですが、同一グループによる新たなドメインでの攻撃継続に注意が必要です。

↓タブレットでアクセスした際に表示された詐欺サイト（ユニクロの案件なのに第一生命の偽ページが表示）

「ユニクロのギフトカードをもらおう」と思ってアクセスしたら、なぜか「第一生命保険の携帯電話番号確認画面」が表示されるという、詐欺として支離滅裂な状態です。もはや攻撃対象のブランドすら気にしていない、典型的な「量産型フィッシング詐欺」の実態が丸見えになっています。

⚠️ 詐欺インフラの使い回しとは？―複数ブランドを一つの偽サイトで狙う量産型フィッシング詐欺の実態

今回の調査で明らかになった最も重要な事実は、詐欺グループが複数のブランドの詐欺メールに同一のフィッシングインフラを使い回しているという点です。

確認された使い回しの証拠：
① PCでのアクセス拒否画面のデザインが第一生命案件と完全一致
② タブレットでアクセスすると第一生命の偽サイトがそのまま表示
③ 短命ドメインの使い捨て運用パターンが一致

なぜこのようなことが起きるのか：
詐欺グループはフィッシングサイトの「本体」を一つ用意し、そこへ誘導するための「入り口メール」だけをブランドごとに使い分けています。ユニクロのメールでも第一生命のメールでも、最終的に辿り着く偽ページは同じということです。入り口だけ変えれば多くのブランドを標的にできる、いわば「フランチャイズ型詐欺」です。

また今回はクローキングにおいて、PCには偽のアクセス拒否画面、タブレット・スマートフォンには直接詐欺サイトを表示するという端末判定が行われていました。スマホしか持たないユーザーへの狙い撃ちという点は他案件と共通しています。

■ 注意点と対処法

リンクは絶対にクリックしない：「期間限定」「今だけ」という焦りを煽る言葉は詐欺の定番です。メール内のリンクは絶対にクリックしないでください。
携帯電話番号・個人情報を入力しない：既に入力してしまった場合は、UNIQLOカスタマーサービス（0120-30-1314）にご連絡ください。
公式アプリ・サイトを直接確認する：UNIQLOのキャンペーン情報は必ず公式アプリまたは https://www.uniqlo.com/jp/ja/ から直接確認してください。
送信元アドレスを確認する：正規のUNIQLOからのメールは @uniqlo.com または @mail.uniqlo.com から届きます。それ以外のドメインは疑ってください。
メールを迷惑メールとして報告・削除する：スパム報告することで同様の被害防止に役立ちます。
フィッシング対策協議会へ報告する：info@antiphishing.jp へ転送・報告にご協力ください。
UNIQLO公式の注意喚起を確認する：ユニクロを装ったメール・SMS・サイトなどにご注意ください（UNIQLO公式）
被害を受けた場合は警察へ：フィッシング詐欺の被害は警察庁サイバー犯罪相談窓口または最寄りの警察署にご相談ください。

本レポートの結論

今回の詐欺メールで最も重要な発見は、ユニクロを装った詐欺メールの誘導先に第一生命の偽サイトが使われていたという事実です。詐欺グループは複数のブランドを標的にしながら、フィッシングインフラを使い回す「量産型」の運用をしていることが今回の調査で裏付けられました。SPFレコードすら設定しないという雑な作りでも届いてしまうのが現実です。「ギフトカードがもらえる」「期間限定」という言葉に心当たりがある方は、必ず送信元アドレスを確認してください。大切な家族が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。

📲 LINEでシェアする

調査日：2026年6月5日
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net

【免責事項】本記事に掲載のIPアドレス・ジオロケーション情報は調査時点のものであり、今後変更される可能性があります。掲載内容は注意喚起を目的としたものであり、情報の完全性・正確性を保証するものではありません。本情報をもとに行動した結果について、当サイトは一切の責任を負いかねます。