「ユニクロアプリダウンロード特典」の詐欺メールが突如大発生！送信元もURLも違う別インフラからの同時多発攻撃を確認【第2弾】

2026年6月5日

🔴 緊急度：高

【実録・第3弾】UNIQLOを偽装した「アプリダウンロード特典」詐欺メールがまだ来る：別インフラ・別グループによる継続攻撃とCloudflareクローキングの手口を解析

Heartland-Lab (ハートランド・ラボ) 専門調査レポート

本日だけで3通目となるUNIQLO偽装詐欺メールが確認されました。メール本文のテンプレートは前回・前々回と同一ですが、送信元ドメイン・送信インフラ・フィッシングURLがすべて異なる別物です。今回の送信元は shhukes.com というドメインで、Google Cloud Platform（GCP）のサーバーから送信されています。誘導先のフィッシングサイト（jmcgtx.com）はCloudflare CDNの背後に本サーバーを隠すクローキング手口を使用しており、PCには偽のアクセス拒否画面を表示して調査を妨害し、タブレット・スマートフォンには直接フィッシングページを表示します。同じテンプレートのメールが複数の異なるインフラから同時多発的に送られてくるという、組織的な攻撃の実態が浮かび上がっています。

※重要：前回・前々回とメール本文は同じでも送信元・URLが異なります。「前に見たやつと違う」と思っても同様の詐欺です。HTMLメールのため開封だけでアクティブアドレスとして記録されるリスクがあります。

緊急性レベル	★★★★★ (5/5)
偽装工作精度	★★★★★ (5/5)
詐欺の種別	フィッシング詐欺（電話番号・SMS認証コード詐取）
ターゲット	UNIQLOユーザー全般
クローキング	あり（Cloudflare CDN経由で本サーバー隠蔽）
特記事項	本日3通目・別インフラからの同時多発攻撃を確認

■ メールヘッダー解析（送信者情報）

件名：【ユニクロ】アプリダウンロード特典のご案内

送信者名（偽装）：ユニクロカスタマーセンター

送信元アドレス：admin@kwabpkbf.net.shhukes.com（UNIQLOとは無関係のドメイン）

ドメインIP解析：35.212.188.214（net.shhukes.com / Google Cloud Platform）

メール送信IP（client-ip）：35.212.188.214（Google Cloud Platform）

受信日時：2026年6月5日（金）12:31:09 +0900（JST）

Received-SPF：Pass（shhukes.com 自身のSPFレコードを通過しているだけ。UNIQLOの認証とは無関係）

DKIM署名：あり（shhukes.com ドメインで署名。UNIQLOの署名ではない）

最古のReceivedヘッダー：Received: from net.shhukes.com ([35.212.188.214])

X-FEAS-SURL（ヘッダー内フィッシングURL記録）：hxxps://login.jmcgtx[.]com/?vKFtzoF4gXaA

※ヘッダーのスクリーンショットは受信者側サーバー（非公表）の情報を含むため掲載不可。

このメールはUNIQLOを装った偽物です。本日だけで異なるインフラから3通の詐欺メールが確認されています。
絶対にリンクをクリックしないでください。

■ 詐欺メール本文の再現

↓実際に届いた詐欺メールのスクリーンショット

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは無効化しています。絶対にクリックしないでください。

UNIQLO
アプリでもっと便利に

〇〇 様

いつもユニクロをご利用いただき、ありがとうございます。

ユニクロ公式アプリをダウンロードするだけで、ギフトカードがもらえるキャンペーンを実施中です。難しい条件はありません。ダウンロードして確認するだけ。

━━━━━━━━━━━━━━━━━━━━━━
アプリをダウンロードするだけ
① アプリをダウンロード → ② 会員情報を確認 → ③ ギフトカードGET
※ アプリダウンロードは無料です。
━━━━━━━━━━━━━━━━━━━━━━

ユニクロ公式アプリなら、新商品の先行予約、限定クーポン、オンラインストアとの連携など、お買い物がぐっと便利になります。この機会にぜひダウンロードしてみませんか。

ダウンロード特典は期間限定です。今ダウンロードしないと、この特典は受けられなくなります。

【偽リンク・クリック厳禁】ダウンロード特典を確認する【偽リンク・クリック厳禁】

ダウンロード特典は期間限定です

ご確認期限：2026年6月30日（火）まで
※ お手続きにはご本人確認のため携帯電話番号の入力が必要です。

株式会社ユニクロ
〒107-0062 東京都港区南青山2-2-15
※本メールは送信専用アドレスより配信されております。

メール本文は前回・前々回と完全に同一のテンプレートが使われています。しかし送信元アドレスは admin@kwabpkbf.net.shhukes.com と異なるドメインになっており、フィッシングURLも別物です。「前に見た詐欺メールと送信元が違う」という理由で安心してはいけません。同じテンプレートを使い回しながら、異なるインフラから同時多発的に送り続けているのが今回の攻撃の特徴です。

🔍 本日確認された3通のユニクロ詐欺メール比較

	第1弾	第2弾	第3弾（今回）
送信元	qhetg.com	qhetg.com（同一）	shhukes.com（別）
送信IP	GCP	GCP（同一）	GCP（別IP）
フィッシングURL	846pk.com	846pk.com（同一）	jmcgtx.com（別）
SPF	なし	なし	Pass
フィッシングサイト	DNS失効	DNS失効	Cloudflare CDN

同じテンプレートのメールを複数の異なるインフラから同時に送り続けることで、一つのドメインがブロックされても別のドメインで攻撃を継続できる設計になっています。まるでインターネット上のロール・プレイングゲームのように、「やられても次の駒が出てくる」仕組みです。

■ 送信ルート及び偽装判定

最古のReceivedヘッダー（メールの出発点）：

Received: from net.shhukes.com ([35.212.188.214]) by 受信者側サーバー（非公表） (Postfix) with ESMTP Fri, 5 Jun 2026 12:31:09 +0900 (JST)

【偽装判定】：
正規のUNIQLOからのメールは必ず @uniqlo.com または @mail.uniqlo.com ドメインから送信されます。本メールの送信ドメイン shhukes.com はUNIQLOとは全く無関係の第三者ドメインです。

Received-SPF（送信元の正当性を確認する仕組み）が「Pass」、DKIM署名（メールの改ざんがないことを証明する仕組み）も「あり」となっていますが、これらはいずれも shhukes.com ドメイン自身の設定によるものです。UNIQLOのサーバーとして認証されているわけではありません。「自分で作ったハンコを自分で押しているだけ」ということです。

発信元サーバー解析（メール送信IP：35.212.188.214）：
クラウド事業者：Google Cloud Platform（GCP）アジア太平洋リージョン
推定ロケーション：日本または東アジア（Google社管理データセンター）
Googleマップ：【参考位置を確認する（概算）】

※IPジオロケーション情報は調査時点のものです。クラウドサービスのIPは日々変化することがあり、表示される位置はデータセンターの所在地であり、攻撃者の実際の居場所とは異なります。

↓PCでアクセスした際に表示される偽のアクセス拒否画面

「アクセス拒否リクエストがブロックされました。ファイアウォールで保護されています」という画面が表示されます。これは本物のセキュリティ機能ではなく、PCからの調査を妨害するために犯人が自作した偽の画面です。過去の当ブログの解析事例と同じデザインが今回も使われており、同系統の詐欺インフラであることが確認されています。

■ フィッシングサイト詳細解析

※以下は解析目的のみで掲載しています。絶対にアクセスしないでください。

誘導先URL（伏せ字）：
hxxps://login.jmcgtx[.]com/?vKFtzoF4gXaA（一部伏せ字）

リンクドメイン：jmcgtx.com（UNIQLOの正規ドメイン uniqlo.com とは全く無関係）

解決IP（DNS解決時点）：104.21.2.132（Cloudflare CDN経由）
※このIPはCloudflareのCDNのものです。本物のサーバーはCloudflareの背後に隠されています（クローキング）。

表示上のロケーション（CDN経由のため参考値）：米国（Cloudflare社管理）
Googleマップ：【参考位置を確認する】

【端末別の表示切り替え】：
PC → 偽のアクセス拒否画面（調査妨害）
タブレット → 直接フィッシングサイト（CAPTCHAなし）
スマートフォン → 直接フィッシングサイト

【狙われる情報】：携帯電話番号およびSMS認証コード。入力した場合、本物のサービスへの不正ログインやスミッシング（SMS詐欺）に悪用される危険があります。

※IPジオロケーション情報は調査時点のものです。CDN経由の場合、表示されるIPは中継地点のものであり、攻撃者の実際のサーバー所在地とは異なります。

※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。

↓スマートフォン・タブレットでアクセスした際に表示される偽UNIQLOサイト（電話番号→SMS認証コード入力画面）

UNIQLOのロゴ・赤黒のブランドカラーを精巧に模倣した偽サイトです。「お客様に1,000〜3,000円分のユニクロギフトカードが当たりました！SMS認証でお受け取りください」として電話番号の入力を促し、続いてSMS認証コードの入力まで求めます。このSMS認証コードを入力してしまうと、詐欺師が本物のサービスへ不正ログインする際に使用する可能性があります。絶対に入力しないでください。

⚠️ クローキングとは？―なぜ本物のサーバーが特定できないのか

今回の偽サイト（jmcgtx.com）のIPアドレスを調べると、Cloudflare（クラウドフレア）という世界最大級のCDN企業のIPアドレスが返ってきます。これは「クローキング」と呼ばれる手口です。

仕組みを簡単に言うと：
詐欺師の本物サーバー（所在地不明）→ Cloudflare（壁・中継役）→ あなたのブラウザ
という経路になっており、本当のサーバーがどの国のどこにあるかが完全に隠蔽されています。

PCには偽のアクセス拒否画面を表示する理由：
セキュリティ研究者・調査者のほとんどはPCを使って調査します。そこで犯人は、PCからのアクセスに対しては偽の「ファイアウォールで保護されています」という画面を表示して追い払い、スマートフォン・タブレットからのアクセスにだけ本物のフィッシングページを見せる設計にしています。「一般ユーザーだけを効率よく罠に誘い込む」ための仕掛けです。

「Cloudflareを使っているから安全」とは限りません。アドレスバーのドメイン名を必ず確認することが最大の防御策です。

■ 注意点と対処法

リンクは絶対にクリックしない：「ギフトカードが当たった」「期間限定」は詐欺の定番フレーズです。
SMS認証コードは絶対に入力しない：電話番号を入力してしまった後でも、SMS認証コードの入力は絶対にしないでください。
電話番号を入力してしまった場合：UNIQLOカスタマーサービス（0120-30-1314）に連絡し、不審なSMSや電話に注意してください。
送信元アドレスを確認する：正規のUNIQLOからのメールは @uniqlo.com または @mail.uniqlo.com から届きます。
メールを迷惑メールとして報告・削除する：スパム報告することで同様の被害防止に役立ちます。
フィッシング対策協議会へ報告する：info@antiphishing.jp へ転送・報告にご協力ください。
UNIQLO公式の注意喚起を確認する：ユニクロを装ったメール・SMS・サイトなどにご注意ください（UNIQLO公式）
被害を受けた場合は警察へ：警察庁サイバー犯罪相談窓口または最寄りの警察署にご相談ください。

本レポートの結論

本日だけでUNIQLO偽装の詐欺メールが3通、しかも異なるインフラから確認されました。同じテンプレートを複数のドメイン・サーバーで同時多発的に送り続けることで、一つがブロックされても攻撃を継続できる設計になっています。メールの送信元が違っても、リンク先が違っても、本文が同じであれば同種の詐欺です。「前に見たやつと違う」と思っても油断は禁物です。判断基準はシンプルです。送信元が @uniqlo.com 以外なら詐欺、リンク先が uniqlo.com 以外なら詐欺。それだけです。大切な家族にこの判断基準を伝えてあげてください。

📲 LINEでシェアする

調査日：2026年6月5日
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元：ip-sc.net

【免責事項】本記事に掲載のIPアドレス・ジオロケーション情報は調査時点のものであり、今後変更される可能性があります。掲載内容は注意喚起を目的としたものであり、情報の完全性・正確性を保証するものではありません。本情報をもとに行動した結果について、当サイトは一切の責任を負いかねます。