公開日: 2026年5月20日
分類: フィッシング(確定)
なりすまし対象: Apple Inc.(App Store)
SHA-256: 49471776cae30f67df30aa18524d180d62607a261f9824cb2f44547324dd0a42
2026年5月20日、Apple App Storeを装い「アプリ内課金の自動更新」を騙るフィッシングメールの流通を確認しました。人気ゲーム「Pokémon Trading Card Game Pocket」の課金名目で¥14,000の自動決済が当日に発生すると受信者の焦りを誘い、偽サイトへ誘導する手口です。本記事では、メール認証・送信元ドメイン・誘導先URLの技術的観点から、このメールがフィッシングであることを証拠付きで解説します。
結論:フィッシング確定(複合根拠)
見出し
本メールは以下の複合的根拠により、フィッシングと確定しています。単一の指標ではなく、複数の異常の組み合わせに基づく判断です。
- 差出人ドメインの不整合(確認済み): 表示名は「App Store」だが、実際の送信元アドレスは
mai19[@]tysender17[.]toyoutletstore[.]comであり、Appleの正規ドメインとして一般に知られるapple[.]comと一致しない - SPF softfail(確認済み): 送信元IPアドレスが、送信ドメインのSPFレコードで完全に認可されていない状態
- 誘導先URLの不正(確認済み): メール内のリンクはすべて
hxxps://www[.]40bo[.]comに誘導されており、Apple公式ドメインではない - TDS(Traffic Direction System)の検出(確認済み): 誘導先URLでTDS型攻撃インフラが検出されており、アクセスごとに異なるドメインへリダイレクトされる仕組みが確認された
受信したフィッシングメール全文
以下は受信されたフィッシングメールの本文全文です。件名やメール本文で検索してこの記事にたどり着いた方は、同じメールを受け取った可能性があります。
件名: ごアプリ内課金または契約プランの更新予定について
差出人: App Store <mai19[@]tysender17[.]toyoutletstore[.]com>
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません) 誘導先サイトのスクリーンショット(解析時点)
ごアプリ内課金または契約プランの更新予定について 領収書
いつも App Store をご利用いただきありがとうございます。現在ご利用中のプランは、2026年05月20日 に自動更新される予定です。継続をご希望の場合は、特別なお手続きは不要です。
ご利用Apple ID: [受信者アドレス]
プラン名: Pokémon Trading Card Game Pocket ポケゴールド(有償)x500
更新日: 2026年05月20日
お支払い予定額: ¥14,000ご利用中のサービス
Pokémon Trading Card Game Pocket ポケゴールド(有償)x500
次回更新日:2026年05月20日 ¥14,000ご案内
ご契約は自動更新設定となっています。2026年05月20日 に ¥14,000 のお支払いが発生する予定です。更新を希望されない場合は、更新日前までにお手続きください。契約内容を確認する サブスクリプションをキャンセル
※ キャンセル後も、現在のご契約期間が終了するまではサービスをご利用いただける場合があります。
※ お支払い方法や契約内容の確認・変更は、管理画面よりお手続きください。このメールは送信専用です。ご不明な点がございましたら、Apple サポートまでお問い合わせください。
Copyright © 2025 iTunes K[.]K.. All rights reserved.
手口の特徴
1. 高額課金による緊急性の演出
本メールは「Pokémon Trading Card Game Pocket ポケゴールド(有償)x500」という具体的なゲーム内アイテム名を提示し、¥14,000の自動課金が当日(2026年05月20日)に発生すると記載しています。受信者が「身に覚えのない高額課金が今日引き落とされる」と焦り、冷静な判断ができないまま「キャンセル」ボタンを押してしまうことを狙った典型的な緊急性の演出です。
2. 表示名偽装(Display Name Spoofing)
観測事実: メールの表示名は「App Store」ですが、実際の送信元アドレスは mai19[@]tysender17[.]toyoutletstore[.]com です。
示唆: 多くのメールアプリでは表示名のみが目立つように表示され、実際のメールアドレスは意識しなければ確認できません。このため、受信者は「App Store」からの正規メールだと誤認する可能性があります。
3. 複数のCTAボタンが同一の偽サイトへ誘導
観測事実: HTMLメール内に以下の2つのリンクが確認されました。
| 表示文言 | 実際のリンク先 | 分類 |
|---|---|---|
| 契約内容を確認する | hxxps://www[.]40bo[.]com |
CTA・誘導ボタン候補 |
| サブスクリプションをキャンセル | hxxps://www[.]40bo[.]com |
CTA・誘導ボタン候補 |
示唆: 「キャンセルしたい」と考えた受信者も「内容を確認したい」と考えた受信者も、どちらのボタンを押しても同じフィッシングサイト(hxxps://www[.]40bo[.]com)に到達する構造です。メール内に安全な選択肢は存在しません。
4. 受信者のメールアドレスをApple IDとして表示
メール本文には「ご利用Apple ID: [受信者アドレス]」として受信者自身のメールアドレスが埋め込まれています。これは宛先情報をそのまま差し込むことで「自分のアカウントに関する通知」だと信じさせる手法であり、大量配信型フィッシングで一般的に用いられるテクニックです。
技術解析
送信元の分析
| 項目 | 値 |
|---|---|
| From(表示名) | App Store |
| From(アドレス) | mai19[@]tysender17[.]toyoutletstore[.]com |
| Return-Path | mai19[@]tysender17[.]toyoutletstore[.]com |
| 送信元IP | 34[.]84[.]84[.]112 |
| 送信日時 | 2026年5月20日 07:13:39 (UTC) |
観測事実: 送信元アドレスおよびReturn-Pathはいずれも toyoutletstore[.]com ドメインのサブドメインです。Appleからの正規メールの送信元ドメインは、一般に apple[.]com や email[.]apple[.]com 等として知られています。
示唆: toyoutletstore[.]com はAppleとは無関係のドメインであり、このメールがAppleの正規インフラから送信されたものでないことを強く示唆しています。
メール認証(SPF / DKIM / DMARC)
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | softfail | 送信元IP(34[.]84[.]84[.]112)が送信ドメインのSPFレコードで完全には認可されていない |
| DKIM | pass | 送信ドメイン(toyoutletstore[.]com)のDKIM署名が検証に合格 |
| DMARC | pass | FromドメインとSPF/DKIMドメインのアライメント(一致)が確認された |
認証結果の読み方(重要)
DKIM passおよびDMARC passと聞くと「正規のメールではないか」と思われるかもしれませんが、ここで検証されているのは攻撃者自身のドメイン(toyoutletstore[.]com)の認証設定です。Apple公式ドメイン(apple[.]com)の署名や認証ではありません。
一般的に、SPF・DKIM・DMARCは「そのメールが、差出人アドレスに記載されたドメインの管理者によって正当に送信されたかどうか」を検証する仕組みです。本件では、攻撃者が自身の管理する toyoutletstore[.]com ドメインに対してDKIMを正しく設定し、DMARCアライメントも通過するよう構成しています。これは攻撃インフラの巧妙さを示しており、「DKIM passだから安全」という判断は誤りです。
一方、SPFがsoftfailであることは、送信元IPアドレスが toyoutletstore[.]com のSPFレコードで完全には認可されていないことを示しており、攻撃インフラの設定が完全ではないことを示唆しています。
誘導先URL解析
| URL | 状態 | 備考 |
|---|---|---|
hxxps://is1-ssl[.]mzstatic[.]com/image/thumb/Purple221/v4/07/f4/f6/07f4f628 |
停止/エラー | 画像参照URL(Apple CDN) |
hxxps://www[.]40bo[.]com |
稼働中 | CTA誘導先・TDS検出 |
観測事実①: メール内のHTMLは is1-ssl[.]mzstatic[.]com(一般にAppleのコンテンツ配信ネットワークとして知られるドメイン)から画像を読み込もうとしています。これはメールの見た目をApple正規メールに近づけるためにAppleの実際のCDNから画像を参照する手法と考えられます。現在この画像URLは停止/エラー状態です。
観測事実②: CTA(行動喚起)リンクの誘導先である hxxps://www[.]40bo[.]com は稼働中であり、ページタイトルは「Apple」、Cloudflareを利用しています。このドメインはApple公式のドメインではありません。
TDS(Traffic Direction System)の検出
観測事実: 誘導先URL hxxps://www[.]40bo[.]com において、TDS(Traffic Direction System / トラフィック誘導システム)が検出されました。
TDSとは: アクセス元のIPアドレス、ブラウザ種別、地域、アクセス回数などに応じて、異なるドメインやページにリダイレクトする仕組みです。セキュリティ研究者やURL検査ツールからのアクセスには無害なページを表示し、一般ユーザーのアクセスにのみフィッシングページを表示することで検出を回避する目的で、攻撃インフラに組み込まれることがあります。
示唆: TDSの存在は、このフィッシングキャンペーンが検出回避を意識した組織的な攻撃インフラによって運用されている可能性を示唆しています。今回の観測では最終到達ドメインとして www[.]40bo[.]com の1種が確認されましたが、アクセス条件によって異なるドメインにリダイレクトされる可能性があります。
誘導先サイトの解析
| 項目 | 値 |
|---|---|
| URL | hxxps://www[.]40bo[.]com/ |
| ページタイトル | Apple |
| サーバー | Cloudflare |
| HTMLソースサイズ | 43,136 bytes |
観測事実: 誘導先サイトはページタイトルを「Apple」に設定し、Cloudflareの背後で稼働しています。HTMLソースサイズが43,136バイトと比較的大きく、Apple公式サイトの外観を詳細に模倣したフィッシングページである可能性が高いと評価されます。
総合判断: 送信元ドメインの不整合、SPF softfail、Apple非公式ドメインへの誘導、TDSの検出——これらの複合的な証拠から、本メールはApple App Storeを装ったフィッシング詐欺であると確定しています。
IOC(Indicators of Compromise)一覧
以下は本フィッシングメールに関連する侵害指標(IOC)です。セキュリティ機器やメールフィルタへの登録にご活用ください。
| 種別 | 値 | 備考 |
|---|---|---|
| SHA-256 | 49471776cae30f67df30aa18524d180d62607a261f9824cb2f44547324dd0a42 |
メールファイルのハッシュ値 |
| 送信元アドレス | mai19[@]tysender17[.]toyoutletstore[.]com |
フィッシングメール差出人 |
| 送信元ドメイン | toyoutletstore[.]com |
攻撃インフラドメイン |
| 送信元サブドメイン | tysender17[.]toyoutletstore[.]com |
攻撃インフラサブドメイン |
| 送信元IP | 34[.]84[.]84[.]112 |
メール送信サーバーIP |
| 誘導先URL | hxxps://www[.]40bo[.]com |
フィッシングサイト(TDS検出・稼働中) |
| 誘導先ドメイン | 40bo[.]com |
フィッシングドメイン |
| 画像参照URL | hxxps://is1-ssl[.]mzstatic[.]com/image/thumb/Purple221/v4/07/f4/f6/07f4f628 |
Apple CDN画像参照(停止/エラー) |
PhishTank登録状況
| URL | 登録状況 |
|---|---|
hxxps://is1-ssl[.]mzstatic[.]com/image/thumb/Purple221/v4/07/f4/f6/07f4f628 |
未登録 |
hxxps://www[.]40bo[.]com |
未登録 |
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処方法
以下は、本件の具体的な手口に応じた対処方法です。
絶対にやってはいけないこと
- メール内の「契約内容を確認する」「サブスクリプションをキャンセル」をクリックしない —— 両方とも同じフィッシングサイト(
hxxps://www[.]40bo[.]com)に誘導されます - 誘導先のページでApple ID・パスワード・クレジットカード情報を入力しない —— 入力した情報は攻撃者に送信されます
本当に課金が心配な場合の確認方法
- メールのリンクは使わず、自分でApple公式サイトにアクセスしてください。iPhoneの「設定」アプリ →「自分の名前」→「サブスクリプション」から、現在の契約状況を直接確認できます
- Pokémon Trading Card Game Pocketの課金に心当たりがない場合、そのアプリを利用したことがなければ、このメールは確実に詐欺です。心当たりがある場合も、メール内のリンクではなくアプリの設定画面から確認してください
- 差出人アドレスを確認してください。本件のメールは
toyoutletstore[.]comから送信されており、Apple公式のドメインではありません
既にリンクをクリック・情報を入力してしまった場合
- Apple IDのパスワードを直ちに変更してください(Apple公式サイトの
appleid[.]apple[.]comから直接アクセス) - 二要素認証(2FA)を有効化してください(未設定の場合)
- クレジットカード情報を入力した場合は、カード会社に連絡して不正利用の監視・カード再発行を依頼してください
- Apple IDに紐づく他のサービス(iCloud、Apple Pay等)に不審なアクティビティがないか確認してください
見分けるポイント
- 差出人アドレスのドメインを確認する: 表示名が「App Store」でも、@以降が
apple[.]comでなければAppleからのメールではありません。本件ではtoyoutletstore[.]comのサブドメインから送信されています - 件名の不自然な日本語に注意する: 「ごアプリ内課金」という表現は日本語として不自然です。「ご」は和語や漢語の名詞に付く敬語接頭辞であり、「アプリ」のようなカタカナ外来語に付けるのは一般的ではありません
- リンク先のURLを確認する: ボタンやリンクにマウスカーソルを合わせ(スマートフォンの場合は長押しし)、表示されるURLが
apple[.]comのドメインであることを確認してください。本件では40bo[.]comという無関係なドメインに誘導されます - 「当日中」の期限に焦らない: 正規のサブスクリプション更新通知は通常、更新日の数日前に送られます。「今日引き落とされる」という緊急性の高い文面は、冷静な判断を妨げるための手口である可能性があります
まとめ
本件はApple App Storeのサブスクリプション更新通知を装い、¥14,000という高額な自動課金への恐怖心を利用して偽サイトへ誘導するフィッシング詐欺です。攻撃者は自身のドメイン(toyoutletstore[.]com)にDKIMを正しく設定し、TDSによる検出回避まで実装した組織的なインフラを運用しています。メール内のリンクには一切触れず、課金状況はiPhoneの設定アプリやApple公式サイトから直接確認してください。