判定:フィッシング詐欺(確定)
Yahoo! JAPANのセキュリティ通知を装い、偽のログインページに誘導するフィッシングメールです。メール認証(SPF softfail・DMARC fail)の不合格、および正規Yahoo! JAPANドメインに偽装したリンクが実際にはMicrosoft Azure上のフィッシングサイトへ誘導することを確認しています。メール内のリンクは絶対にクリックしないでください。
メールの概要
見出し
| 件名 | 【重要】Yahoo! JAPAN – セキュリティ対策に伴うログイン環境の確認 |
|---|---|
| 差出人(表示) | Yahoo! JAPAN <login-notify[@]mail[.]yahoo[.]co[.]jp> |
| Return-Path | <login-notify[@]mail[.]yahoo[.]co[.]jp> |
| 送信日時 | 2026年5月18日 05:22:14 (UTC) |
| 送信元IP | 103[.]76[.]91[.]188 |
| X-Mailer | Microsoft Outlook 16[.]0 |
| SHA256 | 9dafae4be79db4d1bb28ddd7c38644328ed264991d0443a37f98f4ef2ec0d700 |
手口の詳細解析
1. 差出人アドレスの偽装
観測事実: 差出人(From)およびReturn-Pathには login-notify[@]mail[.]yahoo[.]co[.]jp が設定されています。一般に mail[.]yahoo[.]co[.]jp はYahoo! JAPANのメール関連ドメインとして知られています。
示唆: 一見するとYahoo! JAPANの正規通知メールに見えますが、後述のメール認証(SPF softfail・DMARC fail)の結果から、実際の送信元IPアドレス(103[.]76[.]91[.]188)はyahoo[.]co[.]jpから送信を許可されたサーバーではないことが示唆されます。
総合判断: FromとReturn-Pathの表示は偽装であり、Yahoo! JAPANの正規メールインフラからの送信ではないと判断されます。
2. フィッシング警告文の逆用
このフィッシングメールには、以下のような「偽装メール警告」が含まれています。
【偽装メールにご注意ください】
Yahoo! JAPANからの公式メールには、お客様が設定した「シークレットフレーズ」が表示されます。表示がない、または一致しない場合は、本文中のURLを絶対にクリックしないでください。
観測事実: Yahoo! JAPANには利用者がフィッシング対策として設定する「シークレットフレーズ」機能が一般に知られています。正規のYahoo! JAPANメールでは、利用者が設定したフレーズが本文中に実際に表示されます。
示唆: このフィッシングメールは「シークレットフレーズ」の仕組みを説明していますが、利用者が設定した実際のフレーズは表示されていません。つまり、このメール自身の警告文が、このメール自身がフィッシングであることを証明しています。攻撃者はこの警告文を含めることで「フィッシングについて注意喚起するほど信頼できるメール」という印象を与えることを狙っています。
見分けるポイント: Yahoo! JAPANの正規メールでは、利用者自身が設定したシークレットフレーズが実際に表示されます。フレーズの説明だけがあり、実際のフレーズが表示されていない場合は、フィッシングの重要な兆候です。
3. リンクの偽装(HTML構造解析に基づく観測事実)
このメールのHTMLソースから、以下の4件のリンクが確認されました。
| 表示文言 | 実際のリンク先(href) | 判定 |
|---|---|---|
| Yahoo! JAPANトップ | hxxps://yahoo[.]co[.]jp | 正規ドメイン |
| メール | hxxps://yahoo[.]co[.]jp | 正規ドメイン |
| hxxps://yahoo[.]co[.]jp | hxxps://mopumafira[.]z31[.]web[.]core[.]windows[.]net/ | 偽装(CTA・誘導リンク) |
| Yahoo! JAPANヘルプセンター | hxxps://yahoo-net[.]jp | 正規ドメイン |
観測事実: 3番目のリンクは、表示上は hxxps://yahoo[.]co[.]jp というYahoo! JAPANの正規URLに見えますが、HTMLのhref属性には hxxps://mopumafira[.]z31[.]web[.]core[.]windows[.]net/ が設定されています。このリンクはメール本文中の「■本人確認および制限解除手続きURL:」の直後に配置されており、CTA(誘導リンク)として機能します。
示唆: 利用者がこのリンクをクリックすると、Yahoo! JAPANではなくMicrosoft Azure上の外部サイトに誘導されます。他の3件のリンク(ヘッダーのナビゲーションとフッターのヘルプセンター)は正規ドメインを指しており、核心的な誘導リンク1件のみを偽装する手法によって、メール全体の信頼性を高めることを狙っています。
見分け方: リンクにマウスカーソルを合わせると(スマートフォンの場合は長押しすると)、画面下部やポップアップに実際のリンク先URLが表示されます。表示されているURLと実際のリンク先が異なる場合、それはリンク偽装です。このメールの場合、yahoo[.]co[.]jp と表示されたリンクの実際の接続先が mopumafira[.]z31[.]web[.]core[.]windows[.]net であることを確認できます。
4. 緊急性の演出と脅迫
観測事実: メール本文に以下の記述が含まれています。
※本メール送信後、24時間以内にご対応がない場合、お客様のデータを保護するため、該当のYahoo! JAPAN IDを完全に利用停止(削除処分)とする場合がございますのでご注意ください。
示唆: 「24時間以内」という期限と「完全に利用停止(削除処分)」という強い表現により、受信者に冷静な判断をさせず、急いでリンクをクリックさせることを狙っています。また、「不審なログインアクティビティ」の検知内容として「アクセス元IP 185[.]220[.]101[.]xx(海外プロキシ経由)」という具体的なIPアドレスを提示し、脅威の信憑性を高めています。
一般的に、正規のサービス事業者がセキュリティ上の理由でアカウントを保護する場合、24時間以内にアカウントを「削除処分」とすることは通常ありません。不正アクセスが疑われる場合はアカウントをロックして保護するのが一般的な対応であり、利用者のデータを削除するという対応は合理的ではありません。
5. メーラー情報の不整合
観測事実: X-Mailerヘッダーに Microsoft Outlook 16[.]0 が記録されています。
示唆: Yahoo! JAPANのセキュリティ通知のような自動送信メールは、一般的に専用のメール配信システムから送信されます。Microsoft Outlookはデスクトップ用のメールクライアントであり、数百万人の利用者に送信されるセキュリティ通知の送信元として使用されることは通常考えにくいです。この不整合は、このメールが自動化されたセキュリティシステムではなく、個別の環境から作成・送信されたことを示唆する補助的な指標です。
メール認証の技術検証
メール認証とは、受信したメールが本当に差出人ドメインの正規サーバーから送信されたかを検証する仕組みです。主にSPF・DKIM・DMARCの3つの技術が使われます。
SPF(Sender Policy Framework)
| 検証結果 | softfail |
|---|---|
| 対象ドメイン | mail[.]yahoo[.]co[.]jp(smtp[.]mailfrom) |
SPFとは: ドメインの所有者が「このIPアドレスからの送信を許可する」というリストをDNSに公開し、受信側がそれと照合して送信元を検証する仕組みです。
観測事実: SPFの検証結果は softfail でした。softfailとは、「送信元IP(103[.]76[.]91[.]188)はこのドメインの送信許可リストに含まれていないが、厳密な拒否まではしない」という状態を意味します。
示唆: yahoo[.]co[.]jpのSPFレコードは、このIPアドレスからの送信を認可していません。正規のYahoo! JAPANメールサーバーからの送信ではないことを示唆しています。
DKIM(DomainKeys Identified Mail)
| 検証結果 | 不明(検証結果が付与されていない) |
|---|
DKIMとは: 送信側がメールに電子署名を付与し、受信側がDNS上の公開鍵で署名を検証することで、メールの改ざんや送信元のなりすましを検出する仕組みです。
観測事実: このメールにはDKIM検証結果が付与されていません。
示唆: DKIM署名が存在しないか、受信側で検証が行われなかった状態であり、送信元ドメインの正当性をDKIMによって確認することができません。
DMARC(Domain-based Message Authentication, Reporting and Conformance)
| 検証結果 | fail |
|---|
DMARCとは: SPFとDKIMの検証結果を統合し、ドメイン所有者が定めたポリシーに基づいて「このメールを受け入れるか、拒否するか、隔離するか」を判定する仕組みです。FromヘッダーのドメインとSPF/DKIM検証ドメインの一致(アライメント)も確認します。
観測事実: DMARC検証結果は fail でした。
示唆: SPFまたはDKIMの認証がDMARCのアライメント要件を満たさなかったことを意味します。yahoo[.]co[.]jpのDMARCポリシーに合致しないメールであることが確認されています。
認証結果の総合評価
SPF softfail、DKIM検証結果未付与、DMARC failの3点から、このメールの送信元IPアドレス(103[.]76[.]91[.]188)はyahoo[.]co[.]jpの正規メールインフラに属していないと判断されます。FromおよびReturn-Pathに表示された login-notify[@]mail[.]yahoo[.]co[.]jp は偽装です。
誘導先サイトの解析
Microsoft Azureインフラの悪用
| 誘導先URL | hxxps://mopumafira[.]z31[.]web[.]core[.]windows[.]net/ |
|---|---|
| 最終到達URL | hxxps://mopumafira[.]z31[.]web[.]core[.]windows[.]net/oqit7box4oly[.]html |
| ページタイトル | 結果 WARN-PUE |
| サーバー | Windows-Azure-Web/1[.]0 Microsoft-HTTPAPI/2[.]0 |
| ソースサイズ | 95,407 bytes |
| 状態 | 稼働中(解析時点) |
観測事実: 誘導先ドメイン mopumafira[.]z31[.]web[.]core[.]windows[.]net は、Microsoft Azureの Web ホスティングサービス上のドメインです。サーバーヘッダーからも Windows-Azure-Web/1[.]0 の応答が確認されています。サブドメイン「mopumafira」はランダムな文字列であり、ファイルパス「oqit7box4oly[.]html」も同様にランダムな文字列で構成されています。
示唆: フィッシング攻撃者がMicrosoft Azureのような大手クラウドサービスを悪用するケースが一般的に増加しています。クラウドサービス上にホストされることで、SSL証明書が自動的に付与されてブラウザのアドレスバーに鍵マークが表示されるほか、セキュリティ製品による単純なドメインブロックを回避しやすくなります。
TDS(Traffic Direction System)の検出
観測事実: 誘導先URLにおいてTDS(Traffic Direction System)の動作が検出されました。
TDSとは: アクセス元のIPアドレス、ブラウザの種類、地域、時間帯などの条件に応じて、異なるWebサイトに自動的にリダイレクト(転送)するシステムです。フィッシング攻撃においては、以下の目的で使用されることが一般的に知られています。
- セキュリティ研究者やボットからのアクセスを検知した場合、無害なページ(検索エンジンや空白ページ等)を表示して検出を回避する
- ターゲットとする国や地域からのアクセスのみをフィッシングページに誘導する
- アクセスごとに異なるドメインにリダイレクトし、ブロックリストへの登録を困難にする
示唆: TDSの存在は、この攻撃が単発のフィッシングサイトではなく、検出回避機能を備えた組織的な攻撃インフラであることを示唆しています。そのため、誘導先サイトのスクリーンショットがアクセス制御により取得できない場合があります。
総合判断
以下の複合的な証拠に基づき、このメールはYahoo! JAPANを騙るフィッシング詐欺であると確定判断します。
| 証拠 | 分類 | 内容 |
|---|---|---|
| 1 | 認証失敗 | SPF softfail — 送信元IP(103[.]76[.]91[.]188)がyahoo[.]co[.]jpの許可リストに含まれていない |
| 2 | 認証失敗 | DMARC fail — yahoo[.]co[.]jpのDMARCポリシーに不合格 |
| 3 | 認証不在 | DKIM検証結果が付与されていない — 送信元の正当性を署名で確認できない |
| 4 | リンク偽装 | 表示URL(yahoo[.]co[.]jp)と実際のリンク先(mopumafira[.]z31[.]web[.]core[.]windows[.]net)の不一致 |
| 5 | 不正インフラ | Azure上のランダムサブドメインにTDS機能を備えたフィッシングサイトが稼働 |
| 6 | ブランド詐称 | Yahoo! JAPANのロゴ・デザイン・シークレットフレーズ警告文を模倣 |
| 7 | 心理操作 | 24時間以内の「削除処分」脅迫による緊急性の演出 |
| 8 | メーラー不整合 | 自動通知にMicrosoft Outlook 16[.]0が使用されている |
このメールを受け取った場合の対処法
絶対にやってはいけないこと
- メール内のリンクをクリックしない — 特に「本人確認および制限解除手続きURL」として記載されたリンクは、表示上はyahoo[.]co[.]jpに見えますが、実際にはフィッシングサイトへの誘導リンクです
- Yahoo! JAPAN IDやパスワードを入力しない — 誘導先で入力した情報は攻撃者に送信されます
- 「24時間以内」の脅迫に従って慌てない — 正規のYahoo! JAPANがセキュリティ対応の未実施を理由にアカウントを削除処分とすることは通常ありません
やるべきこと
- メールを無視し、削除する — このメールはフィッシング詐欺です。記載された内容は虚偽です
- Yahoo! JAPANの公式サイトに直接アクセスして確認する — ブラウザのアドレスバーに直接
yahoo[.]co[.]jpと入力するか、ブックマークからアクセスしてください。メール内のリンクは使用しないでください。ログイン後に通知やセキュリティ警告が表示されなければ、アカウントに問題はありません - シークレットフレーズを確認する — Yahoo! JAPANでシークレットフレーズを設定している場合、正規メールにはそのフレーズが表示されます。このフィッシングメールにはフレーズの説明はありますが、実際のフレーズは表示されていません
- すでにリンクをクリックして情報を入力した場合
- 直ちにYahoo! JAPANの公式サイトからパスワードを変更してください
- Yahoo! JAPANのセキュリティセンターでログイン履歴を確認し、不審なアクセスがないかチェックしてください
- 同じパスワードを他のサービスでも使用している場合は、それらのパスワードも変更してください
- クレジットカード情報を入力した場合は、カード会社に連絡して不正利用の監視・カード再発行を依頼してください
- フィッシング報告 — Yahoo! JAPANの「フィッシングメール報告」や、フィッシング対策協議会への報告を行い、被害拡大の防止に協力してください
リンク偽装の見分け方(この手口に対する具体的な確認方法)
このフィッシングメールの核心は、表示されたURLテキストと実際のリンク先が異なる「リンク偽装」です。以下の方法で見分けられます。
- PCの場合: リンクにマウスカーソルを合わせ(クリックせずに)、ブラウザやメールソフトの画面下部に表示される実際のURLを確認してください。
yahoo[.]co[.]jpではなくcore[.]windows[.]net等の見知らぬドメインが表示されれば偽装です - スマートフォンの場合: リンクを長押しすると、実際のリンク先URLがポップアップ表示されます。表示されたURLが想定するサービスのドメインと異なる場合はクリックしないでください
メール本文(全文)
以下は受信したフィッシングメールの全文です。件名やメール文面で検索して辿り着いた方が内容を確認できるよう、原文のまま引用します。
Yahoo! JAPAN Yahoo! JAPANトップ <hxxps://yahoo[.]co[.]jp> | メール <hxxps://yahoo[.]co[.]jp>
【偽装メールにご注意ください】
Yahoo! JAPANからの公式メールには、お客様が設定した「シークレットフレーズ」が表示されます。表示がない、または一致しない場合は、本文中のURLを絶対にクリックしないでください。
Yahoo! JAPANをご利用いただきありがとうございます。
お客様のYahoo! JAPAN IDにつきまして、普段ご利用のないブラウザーまたはIPアドレスからのログイン、あるいは不正なアクセス試行の可能性がある挙動を検知したため、セキュリティ保護の観点からアカウントの機能を一部制限いたしました。
引き続き安全にサービスをご利用いただくために、お手数ですが以下のURLより再度ログインを行い、ご本人確認とパスワードの再設定手続きを行ってください。
■本人確認および制限解除手続きURL:
hxxps://yahoo[.]co[.]jp <hxxps://mopumafira[.]z31[.]web[.]core[.]windows[.]net/>
検知内容 不審なログインアクティビティ
アクセス元IP 185[.]220[.]101[.]xx(海外プロキシ経由)
※本メール送信後、24時間以内にご対応がない場合、お客様のデータを保護するため、該当のYahoo! JAPAN IDを完全に利用停止(削除処分)とする場合がございますのでご注意ください。
※本メールは、Yahoo! JAPAN IDにご登録の連絡用メールアドレス宛に自動的に送信されています。
※このメールは送信専用です。ご返信いただいてもお答えできませんのでご了承ください。
■お問い合わせ:Yahoo! JAPANヘルプセンター <hxxps://yahoo-net[.]jp>
■配信元:LINEヤフー株式会社([住所]3号)
Copyright (C) 2026 LY Corporation. All Rights Reserved.
IOC(Indicator of Compromise)一覧
セキュリティ担当者やメールフィルタリングの設定にご利用ください。
メール関連
| 種別 | 値 |
|---|---|
| SHA256 | 9dafae4be79db4d1bb28ddd7c38644328ed264991d0443a37f98f4ef2ec0d700 |
| 差出人(偽装) | login-notify[@]mail[.]yahoo[.]co[.]jp |
| 送信元IP | 103[.]76[.]91[.]188 |
| X-Mailer | Microsoft Outlook 16[.]0 |
URL・ドメイン
| URL / ドメイン | 用途 | 状態 |
|---|---|---|
| hxxps://mopumafira[.]z31[.]web[.]core[.]windows[.]net/ | フィッシング誘導先(TDS検出) | 稼働中 |
| hxxps://mopumafira[.]z31[.]web[.]core[.]windows[.]net/oqit7box4oly[.]html | 最終到達ページ | 稼働中 |
| hxxps://yimg[.]jp | メール内参照 | 停止/エラー |
| hxxps://yahoo-net[.]jp | メール内リンク(ヘルプセンター) | 停止/エラー |
PhishTank登録状況
| URL | 登録状況 |
|---|---|
| hxxps://yimg[.]jp | 未登録 |
| hxxps://mopumafira[.]z31[.]web[.]core[.]windows[.]net/ | 未登録 |
| hxxps://yahoo-net[.]jp | 未登録 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。