【解析】デジタル庁・年金機構・bitFlyer…同一犯が「名乗り」を使い回す波状攻撃の正体

今回はいつもの「1通を徹底解剖」する記事とは趣向を変え、10日間で集まった迷惑メール約710件を集計・分類した「まとめ解析」記事です。個別の送信元IPやヘッダー情報の鑑定ではなく、大量データから浮かび上がる「攻撃の型」そのものに注目します。
| 集計期間 | 2026年6月25日〜7月4日(10日間) |
| 集計対象メール総数 | 約710件 |
| 組織性(同一テンプレ疑い) | ★★★★★ (5/5) |
■ 「名乗り変え」とは何か(用語解説)
詐欺メールの文面・デザイン・煽り文句(「48時間以内に手続きしないと利用停止」など)の骨格をほぼそのまま使い回し、送信者として名乗るブランド名だけを日替わりで変えてばらまく手口です。同じ「型紙」に、公的機関やら銀行やら暗号資産取引所やらの「衣装」を次々着せ替えているイメージだとわかりやすいかもしれません。ブランドを固定せず広く送りつけることで、受信者の中に実際にその機関・サービスを利用している人を効率よく引っかけようとしています。
ご覧の通り、これらはすべて公式を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 「本人確認・再認証」名乗り変えクラスタの内訳
同一の「本人確認・再認証・口座凍結回避」という切り口で送られてきたメールを、名乗ったブランド・機関別に集計すると以下の通りです(棒の長さが件数の目安です)。
マイナンバー・デジタル庁・年金機構・銀行系(複数機関を横断) 66件
セゾンカード(再認証・支払い) 31件
三井住友カード・Vポイント 10件
MyJCB(カード利用制限・再認証) 9件
イオン銀行(再認証) 6件
bitFlyer(本人確認・凍結回避) 5件
合計すると、この「本人確認・再認証」の切り口だけで127件にのぼります。名乗るブランドこそ違えど、「期限」「凍結」「法令遵守」といったキーワードで不安を煽る構造は驚くほど共通しています。
■ 注目事例:bitFlyerを17分間で5通着せ替えた波状攻撃
■ タイムライン(2026年7月3日)
| 15:16 | 「法令遵守:犯罪収益移転防止法に基づく本人確認の再実施」(本人確認の切り口) |
| 15:2X | 「マネー・ローンダリング対策:ご登録情報の確認および更新のお願い」(別角度の本人確認) |
| 15:2X | 「二段階認証」設定を促す文面(認証強化の切り口) |
| 15:3X | 「本人確認」の再度の切り口 |
| 15:33 | 「アカウントの凍結回避とセキュリティ設定の確認」(最終・凍結恐怖の切り口) |
同じbitFlyerの名を騙りながら、たった17分間で5通、しかも角度を変えて畳みかけるという、機械的な自動配信でなければ実現できない速度です。1通目で怪しいと気づかなくても、2通目・3通目と表現を変えて追い打ちをかけることで、読者の不安を積み上げる狙いがあると考えられます。
■ もう一つの型:独自ドメイン運用者を狙う「アカウント閉鎖」連番攻撃
今回の集計では、大手ブランドだけでなく、独自ドメインを取得して自前のメールアドレスを運用している事業者・個人を狙った波状攻撃の実例も確認できました。
この事例では、「【重要】アカウント閉鎖リクエストの有効化が必要 – 48時間以内にご対応ください」という同一文面で、宛先のローカル部分(@より前の部分)だけを、admin・info・shop・support・contact・sales・user・accountといった、いかにも実在しそうな一般的な文字列に総当たりで差し替えて、短期間に60件以上が送りつけられていました(※対象ドメイン名は個人情報保護のため伏せます)。
独自ドメインでメールを運用している方は、「admin@」「info@」のような定番のアドレスほど狙われやすいと心得てください。
送信者名も「Service-」「Admin-」「IT-Admin-」「IT_Service-」といった接頭辞に、意味のないランダムな数字列を付け足したものが多数使われており、機械的な自動生成であることがうかがえます。件名冒頭にも管理番号らしき数字(例:835587、943744など)が振られており、こちらも大量生成・大量送信の裏付けと言えるでしょう。
同じ10日間には、こうした「名乗り変え」以外にも、Amazon配送なりすまし(127件)、B-CAS・毒電波系スパム(97件)、ユニクロ・dポイント・MUJI・NHK系のギフト詐欺(83件)なども多数確認されています。これらは全体の傾向として近日中に別の特集記事でも取り上げる予定です。
■ 注意点と対処法
- 「本人確認」「凍結回避」を理由にメール内のリンクから手続きさせようとする連絡は、送信元がどこを名乗っていても即・詐欺と判断してください。金融機関や公的機関がメール内リンク経由でパスワードやマイナンバー・口座情報の入力を求めることはありません。
- 公式サイトを確認:気になる場合は、メール内のリンクではなく、必ず公式アプリまたはブックマークからアクセスして状況を確認してください。
- 独自ドメイン運用者は特に注意:admin@・info@・support@など定番のアドレスにはこの種の連番攻撃が来やすいため、迷惑メールフィルタの強化やメールアドレスの使い分けを検討してください。
- 公的機関の注意喚起:デジタル庁 公式サイト、国税庁 公式サイトでも同種のなりすましメールについて注意喚起がされています。
本レポートの結論
公的機関・銀行・暗号資産取引所・独自ドメインまで、名乗る相手を変えながら同じ「型紙」を使い回す名乗り変え波状攻撃が、この10日間だけで127件以上確認されました。ブランド名を鵜呑みにせず、「本人確認」「凍結回避」という手口のパターンそのものを覚えておくことが一番の防御になります。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
本集計データは調査時点(2026年6月25日〜7月4日)のものであり、攻撃キャンペーンの内容・規模は今後変化する可能性があります。
根拠データ参照元:ip-sc.net(個別事例の技術解析記事にて順次公開予定)














