「宅急便をスマホで送る」領収書メールは詐欺!自ドメインでSPF/DKIM完全パスの新型「41円運賃」詐欺、2年で3度目の再来を解析

| 緊急性レベル | ★★★☆☆ (3/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:「宅急便をスマホで送る」ご利用明細と領収書のお知らせ
送信者名:クロネコヤマト
送信元アドレス:tam-tam-tam.s@loipkj.asia
送信元IP(HELO loipkj.asia):150.5.145.8
SPF認証(送信元サーバーが正規登録されているかの確認):Pass
DKIM署名(メールが改ざんされていないことを証明する電子署名):Valid
使用メールソフト:Foxmail(中国語版)
受信日時:2026年7月9日
※メールヘッダー詳細(生ログ)は個人情報保護のため非掲載
ご覧の通り、このメールは公式ヤマト運輸を装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
ヤマト運輸をご利用いただきありがとうございます。 「宅急便をスマホで送る」にてお手続きいただきましたお荷物のご利用明細と領収書をお送りいたします。 <ご利用明細> ■ 発送日時: 2026/7/9 ■ 受付番号: 9431862182387 ■ 支払い方法: クロネコクレカ払い ■ 確定サイズ: 宅急便 80サイズ ■ 運賃: 41円 上記ご利用運賃のお支払い手続きがまだ完了しておりません。 お手数をおかけいたしますが、速やかにお支払いのお手続きをお願いいたします。 [お支払い手続きはこちら] なお、お支払いが完了次第、領収書をダウンロードいただけるようになります。 お支払い期限:2026/7/15 ※ タブレット・PCではご利用いただけません。 ※ 推奨環境でご利用ください。 iOS:Safari Android:Google Chrome <よくあるご質問> <お問い合わせ> ヤマト運輸株式会社 お問い合わせ窓口:お問い合わせ <ご注意> このメールへの返信は承れません。 <ヤマト運輸を装った迷惑メール・通知にご注意ください> ヤマト運輸を装った不審なメールや通知が発生しています。記載されたURLや添付ファイルを開いたり、メールに返信されないようご注意ください。また、ヤマト運輸はSMSで通知を配信していません。 ヤマト運輸株式会社

実際に届いたメールの表示画面
本文だけを見ると「配送でよくある未払い運賃の連絡」に見えますが、正規のヤマト運輸が運賃未払いだけを理由にメールでカード情報や住所を再入力させることはありません。「たった41円」という少額を口実にするのは、警戒心を下げさせるための典型的な手口です。少額だからこそ「面倒だから早く払ってしまおう」という心理が働きやすい点を突いています。
■ 送信ルート及び偽装判定
Received-SPF:
Received-SPF: pass (SPF record at loipkj.asia designates 150.5.145.8 as permitted sender)
【偽装判定】:
ヤマト運輸の公式メールは「kuronekoyamato.co.jp」等、同社が保有する正規ドメインからのみ配信されます。本メールの送信ドメイン「loipkj.asia」はヤマト運輸とは一切無関係の、攻撃者自身が取得・運用しているドメインです。SPF・DKIMが両方ともPass(正規)と判定されているのは、あくまで「loipkj.asiaというドメインの持ち主が本人である」ことを証明しているに過ぎず、「ヤマト運輸が送った」ことの証明には一切なりません。
発信元ロケーション解析:
送信元IP 150.5.145.8 → 国レベル判定:香港Kowloon(GeoLite2による)
その他の手がかり:
メールヘッダーのタイムゾーンが「+0800」(中国標準時)で記録されており、使用メールソフトも中国語版のFoxmailでした。送信元IPは香港でしたが、こうした周辺情報から、攻撃者は中国語圏を拠点に活動している可能性が高いと考えられます。
💡ここで!SPF・DKIMが「正規」でも安心できない理由
SPF(送信元のサーバーがそのドメインの正式な送信元として登録されているかを確認する仕組み)とDKIM(メールが途中で改ざんされていないことを証明する電子署名)は、どちらも「そのメールが名乗っているドメインの持ち主から、正しく届いたか」を確認する技術です。ところが今回のように、攻撃者が最初から「loipkj.asia」という自分だけのドメインを取得し、そこで正しくSPF・DKIMを設定してしまえば、技術的には100%「正規」の判定が出てしまいます。つまりSPF・DKIMのPassは「そのドメインが名乗り通りの持ち主から届いた」ことしか保証せず、「その持ち主が信頼できる会社かどうか」までは判定してくれません。メールソフトの「認証OK」表示だけを見て安心せず、送信ドメイン名そのものが本当に公式のものかを必ず確認する必要があります。
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):hxxps://againstry.kmd5s0[.]cn/8Hg97ml/loginbab/ (一部伏字)
リンクドメイン:kmd5s0.cn
サイトサーバーIP:43.165.167.152
ロケーション:GeoLite2では日本国内と判定されていますが、この種の海外クラウドIPブロックはGeoLite2の誤判定が多いため、ip-sc.netでの追加確認を推奨します。
【サイトの状態】:ウイルスバスター クラウドが「フィッシング」の脅威種別として、既にこのサイトへのアクセスをブロック済みです。

ウイルスバスター クラウドが自動検知・ブロックした際の警告画面
実際に誘導先を確認したところ、まず荷物番号らしき番号とともに「配送失敗の通知」を表示するページが現れました。「住所が不明瞭なため配達されませんでした」という文言で不安を煽り、氏名・電話番号・郵便番号・住所の入力を求めるフォームへ誘導する構成です。

攻撃者が用意した偽の「配達依頼」ページ(配送失敗を装う)

氏名・電話番号・住所の入力を求める偽フォーム画面
■ 過去2回の同一手口との比較
当ラボでは全く同じ件名・同じ「運賃41円」の手口を、これまでに2回解析しています。今回で3世代目の観測です。
| 回 | 公開日 | 送信ドメイン | 誘導先ドメイン |
| 1回目 | 2024/12 | service.uems.cn | kuroekoymato-que.tdapff.cn |
| 2回目 | 2025/5 | service.xepj3.com | kuroekoymato-turbin.luanzeng.cn |
| 3回目(今回) | 2026/7 | loipkj.asia | kmd5s0.cn |
「運賃41円」「配送失敗の通知」という手口の骨格は3回とも一貫している一方、送信ドメイン・誘導先ドメインは毎回総入れ替えされています。過去2回の詳細解析は以下からご覧いただけます。
・『詐欺メール』『「宅急便をスマホで送る」ご利用明細と領収書のお知らせ』と、来た件(2024年12月)
・同件名の詐欺メール解析(2025年5月)
■ 注意点と対処法
- URLをクリックしない:リンク先は個人情報を盗むための精巧な偽サイトです。SPF・DKIMが「正規」表示でも、送信ドメイン自体が公式でなければ意味がありません。
- 公式サイト・アプリで確認:荷物状況や運賃の未払いが本当にあるかは、必ずヤマト運輸公式アプリまたはブックマークした公式サイトから確認してください。
- 個人情報・カード情報を入力しない:氏名・電話番号・住所・カード情報の入力を求められた時点で、公式のやり取りではないと考えてください。
- 公式注意喚起の参照:ヤマト運輸公式「なりすましメールにご注意ください」のご案内
本レポートの結論
「宅急便をスマホで送る」領収書メールを騙る詐欺は、2024年・2025年に続き3回目の再来です。今回は攻撃者自身のドメインでSPF・DKIMを正しく設定してくるという、一段進んだ偽装が見られました。「たった41円」という少額の未払い通知でも、油断せず公式サイトで確認する習慣が大切です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















