【検証・続編】「友遇」と「Flux Meet」は同一の詐欺キャンペーン!スパムフィルターの採点表が丸見えになったThunderbirdで見えた本当のすり抜け理由
🟡 緊急度:中
3通目の発見:「Flux Meet」は「友遇」の別名だった
前回まで取り上げた「友遇」スパムと同日、別のメールアドレス宛に「Flux Meet」という名前のサービスからメールが届いていました。件名・デザイン・ブランド名は異なりますが、誘導先は同一の meetu.best であり、本文中にも「友遇(Flux Meet)事務局」と自ら記載しています。
| 項目 | 「友遇」版(①②) | 「Flux Meet」版(③) |
| ブランド名 | 友遇 | Flux Meet |
| デザイン | 白背景・シンプル | ピンクヘッダー・リッチHTML |
| 宛名 | 「様」のみ | 「受信者名 様」(部分パーソナライズ) |
| 件名 | 1000円分プレゼント… | 新規登録&初回チャットで1,000円分ポイント進呈… |
| 送信元IP | 35.212.179.193 / 34.4.110.140(GCP) | 35.212.146.133(GCP) |
| 誘導先 | meetu.best | meetu.best(同一) |
| 本文の記載 | — | 「友遇(Flux Meet)事務局でございます」 |
本文の「友遇(Flux Meet)事務局でございます」という記述が決定的な証拠です。同一の運営者が「友遇」と「Flux Meet」という2つのブランド名を使い分けながら、デザインや件名を変えて複数のメールアドレスリストに対して並行配信していることが確認できます。
▲ 「Flux Meet」名義で届いたメール。「友遇」版とはデザインが全く異なるリッチなHTMLメール。宛名も「ymg 様」と部分的にパーソナライズされている
「友遇」も「Flux Meet」も同一の詐欺キャンペーンです。デザインやブランド名が違っても、登録・課金は絶対にしないでください。
Thunderbirdが記録していたSpamAssassinの採点表
■ スパム判定エンジンの「内部評点」が丸見えに
Thunderbirdで受信したFlux Meet版のメールヘッダーには、受信サーバーが使用しているスパム判定エンジン「SpamAssassin(スパムアサシン)」の評価結果が詳細に記録されていました。SpamAssassinとは、メールを受信した際に複数の観点から採点し、合計スコアが閾値(今回は6.0点)を超えた場合にスパムと判定するシステムです。
DKIM_VALID,FORGED_SPF_HELO,HTML_MESSAGE,SPF_HELO_PASS,
URIBL_ABUSE_SURBL,URIBL_BLOCKED,URIBL_PH_SURBL autolearn=no
この1行に、フィルターがどのように判断したかの全てが記録されています。
| チェック項目 | 意味 | スパム判定への影響 |
| BAYES_00 | ベイズ統計フィルターが「スパムらしくない」と判定(確率0〜1%) | 大幅マイナス(スパムスコアを下げる) |
| DKIM_SIGNED / DKIM_VALID | DKIM署名あり・有効 | わずかマイナス |
| FORGED_SPF_HELO | heloドメインとSPFドメインが一致しない偽装を検出 | プラス(怪しいと判定) |
| HTML_MESSAGE | HTMLメールである | わずかプラス |
| URIBL_BLOCKED | メール内URLがURIブラックリストに登録済み | プラス(危険と判定) |
| URIBL_ABUSE_SURBL | URLが悪用報告データベース(SURBL)に登録済み | プラス(危険と判定) |
| URIBL_PH_SURBL | URLがフィッシング用途のSURLBに登録済み | プラス(危険と判定) |
🔍 なぜURLがブラックリスト登録済みでもすり抜けたのか
URLブラックリスト系のチェック(URIBL_BLOCKED・URIBL_ABUSE_SURBL・URIBL_PH_SURBL)でプラスポイントが加算されたにもかかわらず、BAYES_00(ベイズフィルターによる「スパムらしくない」判定)が大幅なマイナスを与えたため、合計スコアが1.0点にとどまり、閾値の6.0点を大幅に下回りました。ベイズフィルターは過去に受信したメールのパターンを学習して判定しますが、新鮮なドメインからの送信は学習データに存在しないため「スパムらしくない」と誤判定されやすくなります。これが前回解説した「ドメインの鮮度」の効果が数字で確認できた瞬間です。
3通全比較:同一キャンペーンが使う多様な送信戦略
■ 3通のヘッダー完全比較
| 項目 | ①spam付き | ②spamなし | ③Flux Meet |
| 送信元 | jmelau.reply.twdxal.com | awijil.notice-center.jmcgtx.com | hzzubl.verification.shhukef.com |
| 送信元IP | 35.212.179.193 | 34.4.110.140 | 35.212.146.133 |
| インフラ | GCP | GCP | GCP |
| SPF/DKIM | 両方Pass | 両方Pass | 両方Pass |
| スパムスコア | 閾値超過([spam]付与) | 閾値未満(すり抜け) | 1.0点(閾値6.0未満) |
| ブランド名 | 友遇 | 友遇 | Flux Meet |
| デザイン | 白背景シンプル | 白背景シンプル | ピンクヘッダー・リッチHTML |
| 宛名 | 様のみ | 様のみ | 受信者名 様(部分パーソナライズ) |
| 誘導先 | meetu.best | meetu.best | meetu.best |
全て異なるドメイン・IP・デザイン・ブランド名を使いながら、最終的に同じ詐欺サイトへ誘導するという組織的な大量配信の実態が3通の比較で浮き彫りになりました。
誘導先「友遇」サイトの確認
■ 3通全て同一の架空マッチングサービスに誘導
ブランド名・デザイン・件名が全て異なっても、3通全てのリンクは meetu.best 上の「友遇」架空マッチングサービスに辿り着きます。表示される写真はアクセスのたびにランダムに変わりますが、「心が動くTA!直感で選ぶ2択PK」という同一のUIが表示されます。
▲ Flux Meetメールから到達した「友遇」サイト。3回のアクセス全てで異なる写真が表示されており、ランダム生成と思われる
注意点と対処法
■ このシリーズ3本で学んだこと
- 受信トレイに届いても安全とは限らない:スパムフィルターはスコアが閾値を超えた場合にしか判定できません。URLがブラックリスト登録済みでも、ドメインの「鮮度」でスコアが下がればすり抜けます。
- ブランド名・デザインが違っても同じ詐欺:「友遇」も「Flux Meet」も同一の架空サービスです。ブランド名・デザインのバリエーションは、フィルターの学習を遅らせるためのA/Bテスト的な手口です。
- 乱数文字列ドメインは問答無用で疑う:
twdxal.com・jmcgtx.com・shhukef.comのような意味のない文字列ドメインは使い捨て送信インフラの特徴です。 - 登録・課金してしまった場合:消費者ホットライン(局番なし188)または国民生活センター(03-3446-1623)にご相談ください。
- 公式注意喚起の参照:サクラサイトトラブルにご注意ください(消費者庁)
本シリーズの結論
「友遇」と「Flux Meet」は同一の詐欺キャンペーンが使い分ける2つのブランド名でした。3通のメールを比較した結果、全て異なるドメイン・IP・デザインを使いながら、GCPというクラウドインフラでSPF/DKIMを整備し、乱数文字列ドメインを使い捨てることでフィルターを欺き続けていることが明らかになりました。ThunderbirdのヘッダーにはSpamAssassinの採点表が記録されており、URLがブラックリスト登録済みでもベイズフィルターの「新鮮なドメインはスパムらしくない」という判定に相殺されてスコア1.0点でスルーされた経緯が数字で確認できました。スパムフィルターは完璧ではありません。受信トレイに届いたメールでも、知らないサービスへの登録・課金には常に慎重な判断が必要です。
調査日:2026年6月15日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
