【実録・要注意】身に覚えのない「認証コード:86758」が届いたら即削除!架空の「アカウント管理センター」を騙るハーベスティング攻撃の全手口を公開
🟡 緊急度:中
| 緊急性レベル | ★★★☆☆ (3/5) 直接的な被害リスクは低いが放置は危険 |
| 偽装工作精度 | ★★★☆☆ (3/5) SPF・DKIM両Pass、Shopifyインフラ悪用 |
■ メールヘッダー解析(送信者情報)
件名:【認証コード】本人確認のお知らせ
送信者名:アカウント管理センター(実在しない架空の組織)
送信元アドレス:info@smmpte55.qsdfnd.com
受信日時:2026年6月16日 21:49
SPF:Pass(送信元IP:34.84.162.160) / DKIM:Pass(d=smmpte55.qsdfnd.com)
経由インフラ:Shopifyのメール送信インフラを悪用(KDDI Mail経由)
▲ 届いた詐欺メール。リンクも添付もないシンプルな構成だが、それこそがこの手口の特徴。
このメールは架空のサービスを装った詐欺メールです。返信・問い合わせは一切不要です。そのまま削除してください。この情報を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
いつもご利用いただきありがとうございます。 本人確認のため、以下の認証コードをご利用ください。 認証コード:86758 このコードの有効期限は10分間です。 認証コードを第三者に共有しないでください。 当社スタッフがお電話やメールで認証コードをお尋ねすることはありません。 ※このメールにお心当たりがない場合は、本メールを破棄してください。 よろしくお願いいたします。
「ハーベスティング攻撃」とは何か
ハーベスティング(harvesting)とは「収穫」という意味です。攻撃者は大量のメールアドレスに対してメールを送りつけ、実際に届いた(=生きている)アドレスだけを「収穫」する行為です。
仕組みはシンプルです。農家がたくさんの種を蒔いて育ったものだけを収穫するように、攻撃者は数万件のアドレスにメールを送り、エラーにならずに届いたアドレスを「使えるリスト」として記録します。このリストは後日、より本格的なフィッシング攻撃や迷惑メール配信に使われます。
今回のメールにリンクも添付もないのは、クリックさせることが目的ではないからです。メールが届きさえすれば目的は達成されます。「メールを開いてしまった」「返信してしまった」という行動は、攻撃者に「このアドレスは生きている」という確信を与えてしまいます。
「アカウント管理センター」は実在しない
「アカウント管理センター」という組織は日本国内に実在しません。差出人ドメイン smmpte55.qsdfnd.com も意味のない文字列で構成された使い捨てドメインです。
このメールを受け取った方の中には「どこのサービスだろう?」「自分のアドレスで誰かがアカウントを作ろうとしているのでは?」と不安になり、問い合わせようとする方もいるかもしれません。しかし返信・問い合わせは厳禁です。返信することでアドレスの生存を攻撃者に教えることになります。
本文には「当社スタッフがお電話やメールで認証コードをお尋ねすることはありません」という一文まであります。これは本物のサービスが詐欺対策として記載する定型文ですが、今回は架空の組織がそれをそのまま流用しているだけです。「気が利いた偽物」というやつです。
送信ルート及び偽装判定
■ 送信ルート解析
※Receivedヘッダーの全文には受信者側のサーバー情報が含まれるため掲載を控えています。
送信元IP:34.84.162.160
逆引きホスト名:160.162.84.34.bc.googleusercontent.com → GCP(Google Cloud Platform)確定
送信ドメインIP:smmpte55.qsdfnd.com → 同じ 34.84.162.160(GCP)に解決。送信ドメインとサーバーが同一インフラ上に構築されている。
Shopify悪用:ヘッダーに Received: from shopify.com by smmpte55.qsdfnd.com (KDDI Mail) の記録あり。Shopify(ショッピファイ)のメール配信インフラを経由させることでSPF認証をPassさせる手口が使われています。
【偽装判定】:「アカウント管理センター」という実在しない組織を名乗っているため、正規ドメインとの比較自体が不可能。ドメイン qsdfnd.com はDNS解決不可(実体なし)で、サブドメイン smmpte55.qsdfnd.com のみGCP上に存在する典型的な使い捨て構成。
発信元ロケーション(推定):GCP アジア東部リージョン(東京周辺)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
このメールを受け取ったらどうすればいいか
■ 注意点と対処法
- 返信・問い合わせをしない:「どこのサービス?」と思っても絶対に返信しないでください。返信するとメールアドレスが生きていることを攻撃者に教えてしまいます。
- 認証コードを入力しない・教えない:身に覚えのない認証コードを、どこかのサービスに入力したり、電話で誰かに教えたりしないでください。
- そのまま削除する:開封してしまっても、それ以上の操作をせずにメールを削除してください。スパム報告をするとさらに効果的です。
- 「心当たりがない」は正常:このメールは無作為に送られています。「自分のアドレスで誰かが登録しようとしている」のではなく、単純にアドレスの生存確認のために送られているだけです。慌てる必要はありません。
- 今後のフィッシングに注意:このアドレスが「生存リスト」に登録された可能性があります。今後、より本格的なフィッシングメールが届く可能性が高まるため、メールの扱いに注意してください。
■ 関連記事
当ブログでは過去にも同様のハーベスティング・架空ブランド詐欺を取り上げています。あわせてご覧ください。
本レポートの結論
「リンクがないから安全」は誤解です。今回のような認証コード送りつけ型のハーベスティング攻撃は、クリックさせることではなくメールアドレスの生存確認が目的です。SPF・DKIMの両認証をPassし、Shopifyのインフラまで悪用した本格的な送信環境を構築しながら、送りつけるのは「架空の認証コード」一通。このアドレスが生存リストに載った可能性を念頭に、今後届くメールの扱いには一層の注意が必要です。身に覚えのない認証コードメールが届いたら、返信せずそのまま削除。この一言を家族のLINEグループで共有してあげてください。
調査日:2026年6月17日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
