【続報】ヤマト運輸「お届けeメール【不在連絡】」も偽物!クローキング実装の詐欺サイト誘導に注意(113.192.47.94発)

【注意喚起】ヤマト運輸「お届けeメール【不在連絡】」も偽物!クローキング実装の詐欺サイト誘導に注意(113.192.47.94発)
🔍 調査レポート:概要
名古屋では本日、最高気温が37℃を記録し今年初の猛暑日となりました。そんな中、我々のスマートフォンをさらに熱くさせる(?)「ヤマト運輸」を騙る新たな詐欺メールが着信しています。
今回の特徴は、PCでアクセスすると「真っ白なページ」しか表示されないのに対し、スマホでアクセスすると精巧な「配送失敗」の通知ページが表示されるという、「クローキング(Cloaking)」という手法が用いられている点です。
| 危険度ランク | ★★★★★(極めて危険) |
| 主な手口 | 不在連絡の偽装、クローキングによる検知回避 |
■ 拡散している偽メールの再現
件名:[spam] 【ヤマト配送】お届けeメール【不在連絡】 送信者:"クロネコヤマト" <Kinley@chu-sotu.net> ヤマト運輸からのお知らせ 尊敬なるヤマト運輸のユーザー様 本日、お客様宛てのお荷物をお届けに参りましたが、誠に残念ながらご不在でした。 お客様の大切なお荷物は、安全に最寄りの営業所にてお預かりしております。 配送詳細 ・ 保管期限:2026/7/18 営業終了まで ・ サービス:宅急便 ご注意:保管期限の延長はできませんので、ご了承ください。 再配達を申し込む(リンク)

※受信環境により表示が異なる場合があります(メールヘッダー詳細は個人情報保護のため非掲載)
■ 送信ルート及び技術解析
今回、メールヘッダーを詳細に解析した結果、以下の事実が判明しました。
- 送信元IP: 113.192.47.94
- 発信元地域: 香港 (Hong Kong)
- SPF判定: Softfail (認証不備)
- 誘導先URL:
hxxps://clearlyitive[.]qljdwjc[.]cn/8Hg97ml/loginbab
送信元のドメイン chu-sotu.net はSPF設定が不十分であり、香港のサーバーからヤマト運輸を騙って送信されています。詐欺師たちは、正規のドメインを乗っ取るか、あるいは非常に紛らわしいドメインを取得して攻撃を行っています。
💡 ここで!用語解説:クローキング(Cloaking)
今回の詐欺サイトは、閲覧者の「ユーザーエージェント(ブラウザ情報)」を判別しています。PCのブラウザからアクセスすると「404 Not Found」や「真っ白な画面」を表示してセキュリティ会社の自動スキャンを回避し、ターゲットとなるスマホ閲覧者にのみ詐欺画面を表示させるという極めて狡猾な手口です。
■ フィッシングサイトの正体
スマホで誘導先へアクセスすると、ヤマト運輸の公式サイトを極めて精巧に模倣したページが表示されます。

スマホ閲覧時のみ表示される偽の「配送失敗の通知」画面
荷物番号 9635-4510-2407 が固定で表示されていますが、これは全ての受信者に同じ番号が表示される「作り物」です。「配達情報を更新」ボタンを押すと、クレジットカード情報や個人情報を盗み取る入力フォームへと誘導されます。

トレンドマイクロ社のウイルスバスター等では既にブロック対象となっています
■ 過去記事との関連
先日報告した香港発の詐欺メール(REPORT ID: #49804)と非常に近いインフラを使用しており、同一グループによる連続的な攻撃である可能性が極めて高いです。
「不在連絡」が届いても、メール内のリンクは絶対に触らず、公式アプリやブックマークから状態を確認するようにしましょう。攻撃者は常にあなたの「隙」を香港から狙っています。
Data Provided by Heartland-Lab Security Research Unit
Network data via ip-sc.net
Theme: Navy
















