【警告】ユニクロ「ポイント失効予告」は詐欺メールです!GCPサーバー悪用+携帯番号詐取の全手口を暴く
🔴 緊急度:高
ご覧の通り、このメールは公式ユニクロを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
▼ 実際に届いた詐欺メールのスクリーンショット
▲ ユニクロの公式デザインを精巧に模倣。赤いヘッダー・ポイント失効予告テーブル・大きな赤ボタンまで本物そっくりに作られている。
■ 詐欺メール本文の再現
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
差出人:ユニクログift事務局 <SVNFCP@gdcayaor.parcel.ragfst.com> 件名:【ユニクロ】ポイント失効予告のご案内 ━━━━━━━━━━━━━━ UNIQLO 重要なお知らせ ━━━━━━━━━━━━━━ 【受信者氏名】様 いつもユニクロをご利用いただき、誠にありがとうございます。 ユニクロメンバーシッププログラムより、大切なお知らせです。お客様の保有ポイント の一部が、まもなく失効いたします。本日を含め3営業日以内のお受取手続きをもっ て、ポイントは確実に残高へ反映されます。 ───────────────────── ポイント失効予告 ───────────────────── 失効対象:UNIQLOメンバーシップポイント 失効予定日:2026年6月23日(火)23:59 残り猶予:3営業日 ※失効後のポイント復元はいたしかねます。必ず期限内にご確認ください。 ───────────────────── ユニクロのポイントは、お買い物のたびに貯まる大切な資産です。Tシャツ1枚、ソッ クス1足ーー日々のお買い物でコツコツ貯めたポイントが、失効してしまうのはあまり に惜しいことです。 受取手続きは30秒で完了します。携帯電話番号のご入力だけで、すべてのポイントを 安全に残高へ反映いたします。 3日後に失効 — いますぐお受取りを [ ポイントを今すぐ受け取る ] ←このボタンは詐欺サイトへ誘導します お手続きは30秒で完了します ご確認期限:2026年6月23日(火)23:59まで ※ お手続きには本人確認のため携帯電話番号の入力が必要です。 株式会社ユニクロ 〒107-0062 東京都港区南青山2-2-15 ※ 本メールは自動送信されています。お心当たりのない場合は破棄してください。
▼ 誘導先フィッシングサイト(スマートフォン表示)
▲ ユニクロのロゴ・カラーを完全コピーした偽サイト。「1,000〜3,000円分のギフトカードが当たった」と称して携帯電話番号の入力を誘導する。ステップ1→SMS認証→受取完了という3段階構成で、SMS認証コードまで詐取しようとする。
▼ アクセス拒否画面(PCからのアクセス時)
▲ PCからアクセスすると「アクセス拒否:リクエストがブロックされました」と表示される。スマートフォンからのみ詐取ページが表示される仕組みで、セキュリティ研究者による調査を妨害する設計になっている。
■ 送信ルート及び偽装判定
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
メールが届くまでに通過したサーバーの足跡です。郵便物の消印のようなもので、どこを経由して送られてきたかを示します。
① parcel.ragfst.com [35.212.194.106] ←★発信源(GCPサーバー)
↓
② dmail03.kagoya.net [210.134.58.253] ←受信者側サーバー(非公表)
↓
③ fmail21.kagoya.net [203.142.207.220] ←受信者側サーバー(非公表)
↓
④ mas17.kagoya.net ←受信者側サーバー(非公表)
↓
受信者のメールボックスへ【偽装判定】:
正規のユニクロからのメールは @uniqlo.com または @ml.store.uniqlo.com ドメインから送信されます。本メールの送信ドメイン ragfst.com はユニクロとは一切無関係の不審ドメインです。攻撃者はこのドメインでSPF・DKIMを設定することで、メール認証をすり抜けています。
発信元サーバー解析:
| ドメイン | parcel.ragfst.com |
| IPアドレス | 35.212.194.106 |
| 逆引き(リバースDNS) | ragfst.com |
| ホスティング | Google Cloud Platform(GCP)35.208.0.0/12 レンジ内 |
| ロケーション | ip-sc.netで確認 ※Heartによる手動確認済みのロケーション情報に差し替えてください |
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
GCPを悪用するとは?:
Google Cloud Platform(GCP)はGoogleが提供する正規のクラウドサービスです。攻撃者はGCPのサーバーを一時的に借りることで「Googleのサーバーから送られた正規メール」に見せかける手口を使っています。銀行の駐車場を使って詐欺をする——そんなイメージです。
■ フィッシングサイト詳細解析
■ フィッシングサイト詳細解析
【PCアクセス用リンク】
誘導先URL(伏せ字):hxxps://yirongnet[.]com/?DBfkgvJpyliI0Q5Tfc379E2L
リンクドメイン:yirongnet.com
DNS解決:NXDOMAIN(名前解決失敗)——調査時点でドメインは既に消滅または停止済み
サーバーIP:不明(ip-sc.netで手動確認要)
ドメイン参照:whois.domaintools.com/yirongnet.com
【スマートフォンアクセス用リンク】
誘導先URL(伏せ字):hxxps://login.mingkodar[.]com/home
リンクドメイン:mingkodar.com
DNS解決:NXDOMAIN(名前解決失敗)——調査時点でドメインは既に消滅または停止済み
サーバーIP:不明(ip-sc.netで手動確認要)
ドメイン参照:whois.domaintools.com/mingkodar.com
【サイトの目的と状態】:
偽サイトは「ユニクロ ギフトカードプレゼント」と称して携帯電話番号の入力を誘導し、続いてSMS認証コードを要求する3ステップ構成(電話番号入力→SMS認証→受取完了)になっていました。これは携帯電話番号とSMS認証コードを組み合わせて、他サービスの不正ログインや本人確認に悪用するための詐取手口です。調査時点では両ドメインともDNS解決不能で、サイトへのアクセスは不可能な状態です。攻撃者は使い捨てドメインを短期間で入れ替えながら運用していると見られます。
なお、PCからのアクセスに対しては「アクセス拒否:ファイアウォールで保護されています」と表示してセキュリティ研究者の調査を妨害する設計になっている点も確認されています(笑)。
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。
■ 注意点と対処法
■ 注意点と対処法
- 「ポイント失効」「期限3日」に焦らない:焦りを煽って冷静な判断を奪うのが詐欺の常套手段です。まずひと呼吸おいて、公式アプリやブックマークから直接確認してください。
- メールのリンクは絶対にクリックしない:ユニクロのデザインに見えても、リンク先は情報を盗むための偽サイトです。必ず公式アプリまたは自分でブックマークした公式サイトからアクセスしてください。
- 携帯電話番号・SMS認証コードは絶対に入力しない:SMS認証コードは「鍵と合鍵をセットで渡す」行為です。一度入力するとアカウントが乗っ取られる危険があります。
- 送信元アドレスを確認する:正規のユニクロからのメールは
@uniqlo.comまたは@ml.store.uniqlo.comから届きます。それ以外のドメインからのメールは偽物と判断してください。 - SPF・DKIMがPassでも安心しない:今回のように攻撃者が自前ドメインでSPF・DKIMを設定している場合、認証はPassになります。送信元ドメインが正規かどうかを必ず確認してください。
- ユニクロ公式の注意喚起を確認する:ユニクロをかたるなりすましメール・サイトに関するご注意(公式)
■ 関連記事・過去の詐欺メール事例
当サイトの詐欺メールデータベースアーカイブはトップページからご覧いただけます。
本レポートの結論
今回の詐欺メールは、ユニクロの公式デザインを完全コピーし「3日以内にポイントが失効する」という焦りを煽って偽サイトへ誘導。そこで携帯電話番号とSMS認証コードを詐取する二段構えの手口です。さらにSPF・DKIMをPassにしてメールセキュリティをすり抜け、PCからのアクセスはブロックして研究者の調査を妨害するなど、対策が非常に周到です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net / DomainTools
