注意喚起: 2026年5月18日、LINEを装い「未受取のLINEポイント」の受取手続きを促すフィッシングメールの配信を確認しました。本メールはLINEヤフー株式会社とは無関係の詐欺メールです。メール内のリンクを開いたり、携帯電話番号などの個人情報を入力したりしないでください。
| 検体情報 | |
|---|---|
| 分析日 | 2026年5月18日 |
| 検体SHA256 | 8e594449734b1a02dcc6e0e60ed0015f92e6c54a04d88c635ee811ab42aa5cdd |
| フィッシング判定 | 確定(複合根拠による) |
| 誘導先状態 | 稼働中(2026年5月18日時点) |
概要
本記事では、2026年5月18日に観測されたLINEを騙るフィッシングメールについて、技術的解析結果に基づいて解説します。
本メールは「キャンペーン特典の未受取LINEポイント」の存在を通知し、受取手続きとして携帯電話番号の入力を求めることで個人情報を窃取しようとするものです。誘導先URLにはTDS(Traffic Direction System)が使用されており、アクセスごとに異なるドメインにリダイレクトされることで、URLブロックリストによる検知を回避しています。
受信したメールの内容
メールヘッダ情報
| 件名 | 【LINE】未受取のLINEポイントがございます(受取手続き) |
|---|---|
| 差出人(表示名) | LINEカスタマーサポート |
| 差出人(メールアドレス) | newsletter[@]enigvykk[.]mail59[.]cn-site-b[.]com |
| Return-Path | newsletter[@]enigvykk[.]mail59[.]cn-site-b[.]com |
| 送信日時 | 2026年5月18日 14:52(JST) |
| 送信元IP | 35[.]215[.]107[.]92 |
HTML版メール本文
受信者のメールクライアントでは、以下のようなHTML形式のメールが表示されます。
【LINE】未受取のLINEポイントがございます
LINE
未受取のポイントがあります
お客様のアカウント宛に、キャンペーン特典のLINEポイントをお預かりしております。
付与ポイント数は リンク先でチェック!
アカウントへ安全に反映させるため、下記より 「携帯電話番号」 をご入力のうえ、ポイント額をご確認ください。
【今すぐポイント額を確認する】
→ リンク先: hxxps://www[.]qchtg[.]com/?ZndhPW3ACnXn&type=line
※セキュリティ保護のため、ポイント数はご本人様のみ確認可能です。
※受取期限を過ぎますとポイントは失効いたしますので、お早めにお手続きをお願いします。
LINEヤフー株式会社
© LY Corporation. All Rights Reserved.
テキスト版メール本文(全文)
いつもLINEをご利用いただきありがとうございます。
お客様のアカウント宛に、現在「未受取」となっている キャンペーン特典のLINEポイントがございます。
セキュリティ保護のため、ポイント数は非公開となっております。 下記の専用URLより「携帯電話番号」をご入力のうえ、 ご自身の付与ポイント数をご確認いただき、お受け取りください。
▼ポイント額の確認・お受け取りはこちら
hxxps://www[.]qchtg[.]com/?2Iz6KOshIxtH&type=line
※受取期限が設定されております。
※期限を過ぎますとポイントは失効いたしますので、お早めにご確認ください。
—————————————–
LINEヤフー株式会社
hxxps://line[.]me/
※本メールは送信専用です。
—————————————–
技術解析
送信元アドレスの分析
観測事実: 差出人の表示名は「LINEカスタマーサポート」ですが、実際のメールアドレスは newsletter[@]enigvykk[.]mail59[.]cn-site-b[.]com です。LINEの公式ドメインは一般に line[.]me として知られており、cn-site-b[.]com はこれとは無関係のドメインです。
示唆: 多くのメールクライアントは表示名を大きく表示し、実際のメールアドレスを省略または小さく表示します。攻撃者はこの仕様を利用し、表示名に「LINEカスタマーサポート」と設定することで、LINE公式からの通知であると受信者に誤認させることを意図しています。
メール認証結果の解析
| 認証方式 | 結果 | 解説 |
|---|---|---|
| SPF | softfail | 送信元IP(35[.]215[.]107[.]92)が送信ドメインのSPFレコードで完全に許可されていない状態 |
| DKIM | pass | メールの電子署名が正当であることを確認 |
| DMARC | pass | 送信ドメインのDMARCポリシーに適合 |
観測事実: SPFはsoftfailとなっていますが、DKIMおよびDMARCはpassとなっています。
示唆: DKIMおよびDMARCがpassであることは、一見するとメールが正当であるかのような印象を与えます。しかし、これらの認証結果は送信者自身が設定した独自ドメイン(cn-site-b[.]com)に対する検証結果であり、LINEの正規ドメイン(line[.]me)に対する認証ではありません。攻撃者が自身の管理するドメインに正しくDKIMとDMARCを設定すれば、これらの認証は「pass」となります。
つまり、DKIM passやDMARC passは認証対象のドメイン自体が正規のものであるかどうかを保証するものではありません。本件では、認証を通過しているドメインがLINEとは無関係であるため、これらのpass結果はメールの正当性を裏付けるものではありません。
技術解説: SPF・DKIM・DMARCとは
SPF(Sender Policy Framework)は、送信元IPアドレスがそのドメインの正規送信サーバーであるかを検証する仕組みです。「softfail」は、そのIPアドレスが明示的に許可されていないことを示しますが、hard fail(明確な拒否)ほど厳格ではない判定です。
DKIM(DomainKeys Identified Mail)は、メールに電子署名を付与し、送信後に内容が改ざんされていないことを証明する仕組みです。
DMARC(Domain-based Message Authentication, Reporting & Conformance)は、SPFとDKIMの結果を統合的に評価し、ドメイン所有者が設定したポリシーに基づいてメールの正当性を判定する仕組みです。SPFまたはDKIMのいずれかがドメイン整合性を伴って合格すれば、DMARCは「pass」と判定されます。
HTMLメール構造の解析
誘導ボタンの分析
観測事実: HTML版メール内には1件のリンクが確認されました。
| 表示文言 | 「今すぐポイント額を確認する」 |
|---|---|
| リンク先URL | hxxps://www[.]qchtg[.]com/?ZndhPW3ACnXn&type=line |
| HTML実装 | CTAボタン(class属性: btn) |
このボタンの直前には「アカウントへ安全に反映させるため、下記より『携帯電話番号』をご入力のうえ、ポイント額をご確認ください」という文言が配置されており、受信者に携帯電話番号の入力を促す導線となっています。
示唆: リンク先ドメイン www[.]qchtg[.]com はLINEの公式ドメインではありません。また、LINEの正規サービスにおいて、メール内リンクから携帯電話番号の入力を求める運用は一般的に知られていません。
ゼロ幅文字によるフィルタ回避
観測事実: HTML本文中に、画面上では表示されないゼロ幅Unicode文字が複数箇所に挿入されていることを確認しました。
- U+200C(ZERO WIDTH NON-JOINER): 日本語単語の途中に挿入
- U+200B(ZERO WIDTH SPACE): 日本語単語の途中に挿入
- U+FEFF(BYTE ORDER MARK): 文末付近に挿入
示唆: これらのゼロ幅文字は画面上には一切表示されませんが、テキストパターンマッチングに基づくスパムフィルタの検知を回避する目的で使用される手法として一般に知られています。たとえば「お預かり」という文字列の間にゼロ幅文字を挿入することで、フィルタが「お預かり」というパターンに一致しなくなります。正規の企業メールでこのような文字が意図的に挿入されることは通常ありません。
誘導先URLの解析
TDS(Traffic Direction System)の検出
観測事実: メール内の誘導先URL(hxxps://www[.]qchtg[.]com/)を分析したところ、TDS(Traffic Direction System)の存在が確認されました。
| 項目 | 内容 |
|---|---|
| 初期URL(HTML版) | hxxps://www[.]qchtg[.]com/?ZndhPW3ACnXn&type=line |
| 初期URL(テキスト版) | hxxps://www[.]qchtg[.]com/?2Iz6KOshIxtH&type=line |
| TDS検出 | 確認済み |
| 観測された最終リダイレクト先 | www[.]knuzrb[.]com |
| 状態 | 稼働中(2026年5月18日時点) |
HTML版・テキスト版のいずれのURLも同一のTDSインフラを経由しており、今回の観測では同じリダイレクト先(www[.]knuzrb[.]com)が確認されました。ただし、TDSの性質上、アクセスごとに異なるドメインにリダイレクトされます。
技術解説: TDS(Traffic Direction System)とは
TDSは、アクセス者の環境(IPアドレス、ブラウザの種類、地域、アクセス時刻など)に応じて、異なるURLに自動的にリダイレクトする仕組みです。フィッシング攻撃においては以下の目的で使用されます。
- 検知回避: セキュリティ研究者やボットからのアクセスを識別し、無害なページに誘導することで分析を妨害する
- ブロックリスト回避: 最終的な詐欺ページのドメインを頻繁に切り替えることで、URLブロックリストへの登録による防御を困難にする
- 地域ターゲティング: 攻撃対象となる国や地域のユーザーのみを詐欺ページに誘導し、それ以外を無害なページにリダイレクトする
TDSの使用は、個人が場当たり的に行うフィッシングではなく、組織的に運用されるフィッシングインフラであることを示唆しています。
リダイレクト先サイトの分析
観測事実: TDSを経由したリダイレクト先 www[.]knuzrb[.]com/select を調査したところ、レスポンスのソースサイズは0バイトでした。サーバーヘッダからはCloudflareの使用が確認されています。
示唆: ソースサイズが0バイトである点は、TDSがアクセス元の環境を分析した結果、セキュリティ調査ツールと判定してコンテンツの配信をブロックした動作として一般的に知られているパターンです。
フィッシング判定の総合根拠
以下の複合的な根拠から、本メールはLINEを騙るフィッシング詐欺であると確定しています。
| # | 証拠 | 確度 | 内容 |
|---|---|---|---|
| 1 | 送信元ドメインの不一致 | 確認済み | 差出人アドレスのドメイン(cn-site-b[.]com)がLINEの公式ドメイン(一般に line[.]me として知られている)と一致しない |
| 2 | SPF softfail | 確認済み | 送信元IPが送信ドメインのSPFレコードで完全に許可されていない |
| 3 | 誘導先URLの不一致 | 確認済み | メール内のCTAボタンのリンク先(www[.]qchtg[.]com)がLINEの公式ドメインと一致しない |
| 4 | TDSインフラの使用 | 確認済み | 誘導先URLにTDSが実装されており、アクセス環境に応じてリダイレクト先が動的に変化する |
| 5 | ゼロ幅文字の挿入 | 確認済み | HTML本文にフィルタ回避目的のゼロ幅Unicode文字が複数箇所に挿入されている |
| 6 | 不正な個人情報収集 | 確認済み | LINEの一般的な運用にない、メール経由での携帯電話番号入力を要求している |
総合判断: 送信元ドメインの偽装(#1)、メール認証の不備(#2)、LINE公式とは無関係なドメインへの誘導(#3)、検知回避のためのTDSインフラ(#4)、スパムフィルタ回避のためのゼロ幅文字挿入(#5)、および不正な個人情報収集の試み(#6)を総合的に評価し、本メールはフィッシング詐欺であると確定しました。
IOC(侵害指標)一覧
以下のIOCは、メールフィルタやセキュリティ機器のブロックリストに追加することで、同一インフラからの攻撃を検知・遮断できます。
メール関連
| 種別 | 値 |
|---|---|
| SHA256 | 8e594449734b1a02dcc6e0e60ed0015f92e6c54a04d88c635ee811ab42aa5cdd |
| 差出人アドレス | newsletter[@]enigvykk[.]mail59[.]cn-site-b[.]com |
| 送信ドメイン | enigvykk[.]mail59[.]cn-site-b[.]com |
| 送信元IP | 35[.]215[.]107[.]92 |
URL・ドメイン関連
| 種別 | 値 | 備考 |
|---|---|---|
| 誘導URL(HTML版) | hxxps://www[.]qchtg[.]com/?ZndhPW3ACnXn&type=line | HTML版CTAボタンのリンク先 |
| 誘導URL(テキスト版) | hxxps://www[.]qchtg[.]com/?2Iz6KOshIxtH&type=line | テキスト版本文内のリンク |
| TDSドメイン | www[.]qchtg[.]com | Traffic Direction System |
| リダイレクト先ドメイン | www[.]knuzrb[.]com | 今回観測された最終リダイレクト先 |
PhishTank登録状況
| URL | 登録状況 |
|---|---|
| hxxps://www[.]qchtg[.]com/?ZndhPW3ACnXn&type=line | 未登録 |
| hxxps://www[.]qchtg[.]com/?2Iz6KOshIxtH&type=line | 未登録 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処法
リンクを開いていない場合
- メールを削除してください。返信・転送は不要です
- 同様のメールが繰り返し届く場合は、メールクライアントの迷惑メールフィルタに登録してください
リンクを開いたが個人情報は入力していない場合
- ブラウザのタブを閉じてください
- 念のため、ブラウザの閲覧履歴とCookieを削除することを推奨します
携帯電話番号を入力してしまった場合
本メールの手口は携帯電話番号の窃取を目的としています。入力してしまった場合は、以下の対応を速やかに行ってください。
- LINEアカウントのパスワードを変更する — LINEアプリの「設定」→「アカウント」から変更できます
- LINEのログイン許可設定を見直す — 他端末からのログインを一時的に無効化し、不審なログイン履歴がないか確認してください
- SMS認証を利用する他のサービスに注意する — 窃取された電話番号は、SMS認証コードの傍受やソーシャルエンジニアリングに悪用される可能性があります。銀行、決済サービス、SNS等のセキュリティ設定を確認してください
- 不審なSMS・電話に警戒する — 入力した電話番号宛にさらなるフィッシングSMSや詐欺電話が送信される可能性があります
金銭的被害が発生した場合
- 最寄りの警察署、または警察相談専用電話(#9110)に相談してください
- 国民生活センター消費者ホットライン(188)でも相談を受け付けています
このフィッシングメールを見分けるポイント
-
差出人のメールアドレスを必ず確認する
表示名が「LINEカスタマーサポート」であっても、実際のメールアドレスが@line[.]meでなければLINEからのメールではありません。スマートフォンでは差出人名をタップ、PCではメールヘッダを表示して、実際のアドレスを確認してください。本件ではcn-site-b[.]comという無関係のドメインが使われていました。 -
リンク先のURLをクリック前に確認する
スマートフォンではリンクを長押し、PCではマウスカーソルを重ねることで、実際の遷移先URLを事前に確認できます。本件ではリンク表示が「今すぐポイント額を確認する」でしたが、実際のリンク先はwww[.]qchtg[.]comというLINEとは無関係のドメインでした。 -
「ポイント数は非公開」という手口に注意する
本メールは「セキュリティ保護のためポイント数は非公開」と称し、ポイント額を確認するためにリンク先へ誘導しています。正規のポイント付与通知であれば、付与ポイント数がメール本文に記載されるのが一般的です。ポイント数を隠すことでリンクをクリックさせる手法は、フィッシングの典型的なテクニックです。 -
メールからの携帯電話番号入力要求は疑う
LINEが公式メールを通じて携帯電話番号の入力を求めることは、一般的な運用として知られていません。携帯電話番号はSMS認証の起点となる重要な情報であり、窃取された場合のリスクは大きいです。 -
「受取期限」による焦りに乗らない
「受取期限を過ぎますとポイントは失効いたします」という文言は、受信者の冷静な判断を妨げ、即座の行動を促すソーシャルエンジニアリング手法です。正規のサービスであれば、十分な期間が設けられており、メール1通で即座に対応を迫ることは通常ありません。
LINEポイントの残高や受取状況を確認したい場合は、メール内のリンクを使用せず、LINEアプリを直接起動するか、ブラウザのアドレスバーにLINEの公式URL(一般に hxxps://line[.]me/ として知られています)を直接入力してアクセスしてください。