【緊急】「YOU PERVERT, I RECORDED YOU!」続報 ― 自社ドメイン詐称で一夜にして31通、送信元はロシア発と判明

| 緊急性レベル | ★★★★☆ (4/5) |
| 偽装工作精度 | ★★☆☆☆ (2/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] YOU PERVERT, I RECORDED YOU!
送信者・宛先:Heart事務所の自社ドメインの実在アドレス(送信者A〜Dの複数パターン)を詐称し、受信者自身に送りつけたように偽装(自己宛送信を装う典型的な手口)
実際の送信元IP(Received-SPFのclient-ip):77.222.116.133(ロシア)
SPF判定:Softfail(正規のドメイン所有者はこの送信元の利用を推奨していないという認証結果)
受信日時:2026年7月5日夜〜7月6日朝にかけて31通
※メールヘッダー詳細は個人情報保護のため非掲載
💡ここで!
SPF「Softfail」とは
送信元メールサーバーが、そのドメインの正規の管理者が許可した場所ではない、という認証結果です。「Fail(失格)」ほど強い判定ではありませんが、「本来の送信元とは違う可能性が高い」という警告のサインだと考えてください。今回のケースでは、まさにこの判定が「自社ドメインを詐称した偽物」であることの裏付けになっています。
ご覧の通り、このメールは自社ドメインを詐称した真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※同じ件名のメールが短時間に何通も届いている様子です。送信者名は異なりますが、すべて自社ドメインを詐称したものです。
※実際に届いたメールの画面です。件名・本文はどの1通もほぼ共通しています。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。文中のリンクはすべて無効化しています。
Hello! Unfortunately, there is some bad news for you. Some time ago, your device was infected with my private Trojan, R.A.T. (Remote Administration Tool). If you want to find out more about it, simply use Google. My Trojan allowed me to access your files, accounts, and your camera. Check the sender of this email; I have sent it from your email account. I COLLECTED ALL YOUR DATA AND RECORDED YOU MASTURBATING THROUGH YOUR CAMERA! If you still doubt my serious intentions, it only takes a couple of mouse clicks to share all your data and the video of you masturbating with your family, friends, relatives, all email contacts, on social networks and the darknet. After that, I removed my malware to leave no traces. To ensure you read this email, you will receive it multiple times. All you need is $800 USD in Bitcoin (BTC), transferred to my wallet address. After the transaction is successful, I will proceed to delete everything. You can purchase Bitcoin (BTC) from reputable exchanges here:hxxp://www[.]coinbase[.]com– Payment options: Credit/Debit Cards, Bank Transfers, PayPal (in some regions).hxxp://www[.]binance[.]com– Payment options: Credit/Debit Cards, Bank Transfers, P2P trading, third-party payment providers, and gift cards.hxxp://www[.]bitrefill[.]com– Payment options: Paysafecard, credit/debit cards, crypto, bank transfer, and other gift cards.hxxp://www[.]crypto[.]com– Payment options: Credit/Debit Cards, Bank Transfers, Apple Pay, Google Pay, and more.hxxp://www[.]etoro[.]com– Payment options: Credit/Debit Cards, Bank Transfers, PayPal. Alternatively, simply Google for other exchanges. Once purchased, you can send the Bitcoin (BTC) directly to my wallet address or use a wallet application such as Atomic Wallet or Exodus Wallet to manage your transactions. My Bitcoin (BTC) wallet address is:1Loo6tksj4vV6k5PjxUArfaW8jVgvfazeAYes, that's how the wallet address looks. Copy and paste my wallet address; it's case-sensitive. A piece of advice from me: regularly change all your passwords and update your device with the latest security patches.
※上記の英文メールの内容を、日本語で分かりやすく要約したものです。
こんにちは。残念なお知らせがあります。以前、あなたの端末は私が作った「トロイの木馬(遠隔操作ツール)」に感染しました。このツールで、あなたのファイルやアカウント、カメラにアクセスできるようになっています。このメールがあなた自身のアドレスから送られていることを確認してください(=それが証拠です)。私はあなたのカメラ経由で、自慰行為をしている映像を録画・データ収集しました。信じられないなら、あなたの家族・友人・全メール連絡先・SNS・ダークウェブに、その映像と情報をばら撒くことなど数クリックでできます。その後、証拠を残さないようマルウェアは削除しました。このメールを確実に読んでもらうため、複数回送信します。必要なのはビットコイン(BTC)800ドル分を、私のウォレットに送金することだけです。送金が確認できたら、すべて削除します。ビットコインは主要な取引所(Coinbase、Binance等)で購入できます。購入後は私のウォレットアドレス宛に送ってください。最後に忠告ですが、パスワードは定期的に変更し、端末は最新のセキュリティパッチを当てておいてください。
※文末で「パスワードをこまめに変更し、セキュリティパッチを当てるように」と忠告してくる律儀さがありますが、その心配をするくらいなら最初からメールを送らなければいい話です(笑)。
■ 送信ルート及び偽装判定
【偽装判定】:
自社ドメインを名乗るメールが自社の受信サーバーの外部から届くこと自体が矛盾です。正規の社内メールであれば、社外の見知らぬサーバーを経由することはありません。本メールは受信者自身のアドレスを送信者欄に詐称した、典型的な「自己宛送信」偽装です。
実接続元IPアドレス:77.222.116.133(ホスト名:pool-77-222-116-133.is74.ru/プロバイダ:Intersvyaz-2 JSC/AS8369)
ロケーション:ロシア連邦チェリャビンスク州 Poletayevo
脅威レベル:高(ip-sc.netにて「サイバーアタックの攻撃元・攻撃対象:メール」と判定)
詳細:ip-sc.netで確認する/
マップ:【位置情報を確認する】
手前の中継ホップ:106.34.57.138(ホスト名:34.106.broad.ha.dynamic.163data.com.cn/プロバイダ:Chinanet/AS4134)
ロケーション:中国 湖南省 長沙市(Qingyuan地区)
脅威レベル:低
詳細:ip-sc.netで確認する/
マップ:【位置情報を確認する】
この中国のIPを経由したのち、ロシアのIPから直接Heart事務所側のサーバーへ着信していることから、複数国をまたいだ中継構成であることがわかります。
要求されているビットコインウォレットアドレスは1Loo6tksj4vV6k5PjxUArfaW8jVgvfazeAです。今回はこのアドレスへの送金履歴の有無までは確認していませんが、こうした使い捨てウォレットは同種のばら撒きメール間で使い回されることが多く、この記事に掲載後は速やかに他の詐欺情報サイトとも共有情報として扱われます。
■ 注意点と対処法
- ビットコインは絶対に送金しないでください。実在しない「録画データ」への支払いです。一度支払うと、さらなる要求(二次請求)につながるだけです。
- 返信・記載リンクへのアクセスは不要:返信すると宛先が生きていることが攻撃者に伝わり、さらなる迷惑メールの標的になる可能性があります。
- 自社ドメインが詐称された場合の対応:SPF・DKIM・DMARCの設定を見直し、自社を騙る配信をなるべく減らす対策を検討してください。
- 公式注意喚起の参照:IPA(情報処理推進機構)公式「性的な映像をばらまくと恐喝し、仮想通貨で金銭を要求する迷惑メールに注意」(IPAには2019年時点で累計1,300件超の相談が寄せられており、現在も継続して届いている手口です)
本レポートの結論
「YOU PERVERT, I RECORDED YOU!」という性的脅迫メールが、自社ドメインの実在アドレスを詐称する形で一夜にして31通到達しました。送信元はロシアのIPアドレスで、脅威情報上も「メールへの攻撃元」として確認済みです。記載された盗撮映像は存在せず、ビットコイン800ドルの要求には一切応じる必要がありません。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて!」と共有してあげてください。
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
















