【検証】同じ本文なのになぜ?「友遇」スパムがspamタグをすり抜ける仕組みを2通のヘッダーで徹底比較
🟡 緊急度:中
まず確認:2通のメールは「完全に同じ内容」だった
今回比較した2通のメールは以下の点が完全に一致していました。
- 本文:一字一句同じ「友遇 – 心が動く出会い」テンプレート
- 誘導先:
meetu.best(同一の架空サービスサイト) - インフラ:両方ともGoogle Cloud Platform(GCP)から送信
- 認証:両方ともSPF・DKIM認証をPass
にもかかわらず、片方には[spam]タグが付き、もう片方はそのまま受信トレイに届きました。その違いはどこにあったのでしょうか。
2通のヘッダー比較
▲ [spam]タグが付いて届いた方。送信元は sales@jmelau.reply.twdxal.com
▲ [spam]タグなしで受信トレイに届いた方。本文は完全に同一だが送信元が異なる
■ 2通のヘッダー詳細比較
| 項目 | ❌ [spam]タグあり | ✅ [spam]タグなし(すり抜け) |
| 件名 | [spam]【友遇】1000円分プレゼント!あなたの直感で選ぶ、特別な出会い | 【友遇】1000円分プレゼント!あなたの直感で選ぶ、特別な出会い |
| 送信元アドレス | sales@jmelau.reply.twdxal.com | status@awijil.notice-center.jmcgtx.com |
| 送信元IP | 35.212.179.193(GCP) | 34.4.110.140(GCP) |
| heloドメイン | reply.twdxal.com | notice-center.jmcgtx.com |
| SPF認証 | Pass | Pass |
| DKIMセレクタ | s=default | s=l2z4x6c8 |
| 本文 | 完全同一 | 完全同一 |
| 誘導先 | meetu.best(同一) | meetu.best(同一) |
| 受信時刻 | 16:34 | 14:36(約2時間前) |
なぜ差が出たのか:「ドメインの鮮度」がフィルターを欺く
■ スパムフィルターが判断する「レピュテーション」とは
メールのスパムフィルターは、届いたメールを「迷惑メールか否か」判断する際にレピュテーション(評判・信用スコア)を参照します。これは送信元のIPアドレスやドメインが過去にスパム送信に使われた実績がどれだけあるかを数値化したものです。
今回の2通を比較すると、本文・誘導先・認証結果が全て同一にもかかわらずフィルター結果が異なった唯一の原因は送信元ドメインとIPアドレスです。
❌ spamタグが付いた方(twdxal.com)
reply.twdxal.com / IP: 35.212.179.193
→ このドメイン・IPは過去のスパム送信でフィルターのブラックリストまたはレピュテーションデータベースに登録済みだったと推定されます。SPF・DKIMがPassしていても、ドメイン自体の評判が低いため「迷惑メール」と判定されました。
✅ すり抜けた方(jmcgtx.com)
notice-center.jmcgtx.com / IP: 34.4.110.140
→ こちらのドメイン・IPはフィルターのデータベースに未登録の「新鮮な」状態だったと推定されます。本文がスパムそのものでも、送信元が「まだ知られていない」ドメインであれば、SPF・DKIMがPassしていることもあいまって受信トレイに届いてしまいます。
これがまさに攻撃者がドメインを次々と使い捨てにする理由です。一度スパムフィルターに登録されたドメインは使えなくなりますが、新しいドメインを取得すればまたゼロから「信用のない新しい送信元」として利用できます。乱数文字列のドメイン(twdxal.com、jmcgtx.comなど)を大量に用意しておき、順番に使い捨てていく手口です。
攻撃者の戦略:大量ドメイン使い捨てローテーション
■ なぜSPF・DKIMがPassしても防げないのか
「SPF・DKIMがPassしているならある程度安全では?」と思われるかもしれません。しかし今回のケースが示す通り、SPF・DKIMはあくまで「そのドメインから正規に送られたメールかどうか」を確認するものであり、「そのドメイン自体が安全かどうか」とは別の話です。
攻撃者は使い捨てドメインに対してSPF・DKIMを正しく設定した上で送信しています。つまり「この乱数ドメインから正規に送られた迷惑メール」という状態になっており、認証は通りますが内容は詐欺です。
| フィルター技術 | 何を確認するか | 今回のケースでの限界 |
| SPF認証 | そのIPからの送信が正規か | 使い捨てドメインに正しく設定すれば通過 |
| DKIM署名 | メールが改ざんされていないか | 使い捨てドメインに正しく設定すれば通過 |
| レピュテーション | 過去の送信実績から信用を評価 | 新鮮なドメインは実績なし=まだ登録されていない |
| 本文フィルター | 本文中の危険キーワード検出 | 「1000円分」「出会い」等は曖昧なため判定が難しい |
誘導先の確認
■ 2通とも同一の「友遇」架空サービスに誘導
送信元ドメイン・IPは異なりますが、両方のメールが最終的に誘導する先は同一の「友遇」架空マッチングサービス(meetu.best)です。中継URLのドメインは異なりますが(sxsscs.com vs dh5801.com)、最終到達先は同一のサクラサイトです。
▲ spamタグなし版のメールから到達した「友遇」サイト。前回と同一サービスだが表示される写真は異なる(ランダム表示と思われる)
注意点と対処法
■ スパムフィルターをすり抜けた迷惑メールへの対処
- フィルターをすり抜けても内容で判断する:受信トレイに届いたからといって安全とは限りません。知らないサービス名からのポイントプレゼントメールは、フィルターの判定にかかわらず疑ってください。
- 送信元ドメインを確認する:乱数文字列(
twdxal.com、jmcgtx.comのようなランダムな文字列)のドメインからのメールは問答無用で迷惑メールと判断して問題ありません。 - スパム報告を積極的に行う:すり抜けた迷惑メールをそのまま削除するより、迷惑メール報告ボタンを使って報告することでドメインのレピュテーションが下がり、他の受信者への配信が防がれやすくなります。
- 架空サービスの見分け方:登録を促すメールが届いたら、まずサービス名でWeb検索。公式サイト・アプリストアページが出てこないサービスには絶対に登録しないでください。
本レポートの結論
全く同じ本文・同じ誘導先を持つ「友遇」スパムの2通を比較した結果、スパムフィルターの突破に成功した方は「まだデータベースに登録されていない新鮮なドメイン」を使っていたことが判明しました。SPF・DKIMという認証技術をクリアしていても、送信元ドメインの「レピュテーション(信用スコア)」が低ければフィルターに引っかかります。攻撃者はこの仕組みを逆手に取り、乱数文字列のドメインを大量に用意して次々と使い捨てることで、常に「フィルターが知らない新しい送信元」として送り続けています。受信トレイに届いたメールだからといって安全とは限りません。知らないサービスからのポイントプレゼントや出会い系への誘導は、フィルター判定にかかわらず疑う習慣が身を守る最善策です。
調査日:2026年6月15日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
