注意喚起: 「総務省統計局 データ活用推進事務局」を名乗り、「アプリダウンロードで1,000円クーポン」を謳うメールが確認されています。このメールは総務省統計局とは一切関係のないフィッシング詐欺です。メール内のリンクをクリックせず、速やかに削除してください。
概要
見出し
2026年6月4日頃から、「総務省統計局」を騙り、「アプリをダウンロードするとセブン-イレブンで使える1,000円分のクーポンがもらえる」と誘導するフィッシングメールの配信が確認されています。メールの差出人欄には総務省統計局の正規ドメインが表示されていますが、実際の送信元は無関係な海外インフラであり、メール内のダウンロードリンクも総務省とは無関係な不正ドメインへリダイレクトされます。
本記事では、このフィッシングメールの手口を技術的に解析し、正規の通信との違いを証拠に基づいて解説します。
メールの基本情報
| 項目 | 内容 |
|---|---|
| 件名 | 【期間限定】総務省統計局アプリダウンロードキャンペーンNo.556927 |
| 差出人(表示) | 総務省統計局 <[受信者][@]stat[.]go[.]jp> |
| Return-Path(実際の送信元) | sq14-[受信者アドレス][@]sq14[.]sufeie[.]com |
| 送信日時 | 2026年6月4日 09:45:10 +0800 |
| 文字コード | iso-2022-jp |
| メール形式 | HTMLメールのみ(text/plain本文なし) |
| SHA-256 | b42e81caf99f3661d6c7a2fb47b25f8e31b76ef217b30e2c10f7486f138f3a6e |
手口① — 送信者の偽装
観測事実
メールの差出人(Fromヘッダー)には [受信者][@]stat[.]go[.]jp と表示されていますが、実際のメール配送経路を示すReturn-Pathは sq14-[受信者アドレス][@]sq14[.]sufeie[.]com となっています。
示唆
Fromヘッダーは送信者が自由に設定できるフィールドであり、技術的に詐称が可能です。一方、Return-Pathはメールの実際の配送経路を示します。この2つが異なるドメインであることは、表示上の差出人と実際の送信元が異なることを意味します。
stat[.]go[.]jp は一般に総務省統計局の正規ドメインとして知られていますが、このメールは sufeie[.]com のインフラから送信されています。
補足:タイムゾーンの不一致
メールのDateヘッダーはタイムゾーン +0800 で記録されています。日本標準時(JST)は+0900であり、+0800は中国標準時(CST)やシンガポール時間(SGT)などに該当します。日本の政府機関からの正規メールが+0800で送信されることは通常考えられません。
手口② — URL偽装(表示と実際のリンク先の不一致)
観測事実
HTMLメール内には2件のリンクが確認されました。
| 表示されるURL(メール上の見た目) | 実際のリンク先(href属性) |
|---|---|
| hxxps://www[.]stat[.]go[.]jp/app/download | hxxps://ukbdplc[.]com/?type=verify&key=xhcxoonqrv |
| hxxps://www[.]stat[.]go[.]jp/ | hxxps://www[.]stat[.]go[.]jp/(正規サイト) |
示唆
1件目のリンクは、メール上では総務省統計局のドメイン(stat[.]go[.]jp)上のアプリダウンロードページに見えますが、実際にクリックすると ukbdplc[.]com という全く無関係なドメインに誘導されます。これはHTMLメールの仕組みを悪用し、表示テキストとリンク先URLを意図的に異なるものに設定する典型的なフィッシング手法です。
一方、2件目のフッター部分のリンクは実際に正規の stat[.]go[.]jp へリンクしています。これは受信者の警戒心を解くため、一部に正規リンクを混在させる手口です。
💡 見分け方: HTMLメールでは、表示されているURLと実際のリンク先が異なる場合があります。リンクをクリックする前に、マウスカーソルをリンク上に置く(モバイルでは長押し)ことで、実際の遷移先URLを確認できます。表示URLが正規ドメインであっても、実際のリンク先が異なるドメインでないか必ず確認してください。
メール認証結果の分析
| 認証方式 | 結果 | 解説 |
|---|---|---|
| SPF | pass | SPF認証は封筒送信者(Return-Path)のドメインに対して検証されます。このメールでは sq14[.]sufeie[.]com のSPFレコードが送信元IP(35[.]221[.]67[.]50)を許可しているためpassとなっています。ただし、これは stat[.]go[.]jp がこの送信を承認していることを意味するものではありません。SPF passの対象はあくまで sufeie[.]com であり、Fromヘッダーに表示されている stat[.]go[.]jp とは無関係です。 |
| DKIM | permerror | 恒久的な検証エラー(permanent error)が発生しています。DKIM署名の検証に必要な情報に問題があり、署名の正当性を確認できない状態です。 |
| DMARC | 不明 | DMARC検証結果が付与されていない状態です。DMARCはFromヘッダーのドメインに対してSPFとDKIMの整合性を検証する仕組みですが、この検証が正常に行われなかったことを示します。 |
認証結果の総合評価
SPFはpassですが、これはReturn-Pathの sufeie[.]com ドメインに対する結果であり、Fromヘッダーに表示された stat[.]go[.]jp の正当性を保証するものではありません。DKIMは恒久的検証エラー、DMARCは検証結果が付与されておらず、Fromヘッダーに表示された差出人(stat[.]go[.]jp)の正当性を証明する認証結果は一切得られていません。
送信インフラの分析
| 項目 | 内容 |
|---|---|
| 送信元IP | 35[.]221[.]67[.]50 |
| 所属組織 | Google LLC |
| CIDR | 35[.]208[.]0[.]0/12 |
| Return-Pathドメイン | sq14[.]sufeie[.]com |
送信元IPアドレス 35[.]221[.]67[.]50 は Google Cloud Platform(GCP)のIPレンジに属しています。これはクラウドインフラを利用してメールを配信していることを示しており、攻撃者がクラウドサービスを踏み台として利用する一般的な手法と一致します。日本の政府機関が海外のクラウドサービスから直接メールを送信することは一般に考えられません。
誘導先ドメインの分析
ukbdplc[.]com(誘導先ドメイン)
| 項目 | 内容 |
|---|---|
| ドメイン | ukbdplc[.]com |
| レジストラ | Gname[.]com Pte. Ltd. |
| 登録日 | 2025年6月10日 |
| ドメイン年齢 | 約360日 |
| ネームサーバー | ns7[.]alidns[.]com / ns8[.]alidns[.]com |
| 現在の状態 | 停止/エラー(確認済み) |
分析
レジストラ: Gname[.]com Pte. Ltd. はシンガポールに拠点を置くレジストラです。
ネームサーバー: ns7[.]alidns[.]com および ns8[.]alidns[.]com は、一般に Alibaba Cloud のDNSサービスとして知られています。
ドメイン年齢: 登録から約360日が経過しています。フィッシングに使用されるドメインは使い捨てで新規取得されることが多い傾向がありますが、約1年前に取得されたドメインが攻撃の段階で使用された可能性があります。
現在の状態: 本記事公開時点で、誘導先URL(hxxps://ukbdplc[.]com/?type=verify&key=xhcxoonqrv)へのアクセスはエラーとなり、サイトは停止しています。ただし、攻撃者がドメインやURLを切り替えて活動を再開する可能性があるため、引き続き警戒が必要です。
総合判定
以下の複数の独立した証拠を総合し、本メールは総務省統計局を騙るフィッシング詐欺であると確定しています。
- 送信者偽装(確認済み): Fromヘッダーは stat[.]go[.]jp を表示していますが、Return-Pathは sufeie[.]com であり、送信元の不一致が確認されています
- URL偽装(確認済み): メール本文のダウンロードリンクは stat[.]go[.]jp の表示ですが、実際のリンク先は ukbdplc[.]com という無関係なドメインです
- 認証の不備(確認済み): DKIMは恒久的検証エラー、DMARCは検証結果なし。SPF passはReturn-Pathのドメイン(sufeie[.]com)に対するものであり、Fromヘッダー(stat[.]go[.]jp)の正当性は証明されていません
- タイムゾーンの不一致(確認済み): +0800(日本標準時ではない)で送信されています
- インフラの不整合(確認済み): 送信元IPは Google Cloud のレンジであり、日本の政府機関の送信インフラとは一般に異なります
メール本文(全文引用)
※ 上記はフィッシングメール本文をそのまま引用したものです。文中のURLは安全のため難読化しています。リンクをクリックしないでください。
IOC(Indicator of Compromise)一覧
セキュリティ担当者向けに、本フィッシングメールに関連する侵害指標を以下にまとめます。
メールヘッダー情報
| 種別 | 値 |
|---|---|
| SHA-256(EMLファイル) | b42e81caf99f3661d6c7a2fb47b25f8e31b76ef217b30e2c10f7486f138f3a6e |
| Return-Path | sq14-[受信者アドレス][@]sq14[.]sufeie[.]com |
| 送信元IP | 35[.]221[.]67[.]50(Google LLC / CIDR: 35[.]208[.]0[.]0/12) |
関連ドメイン
| ドメイン | 役割 | レジストラ | 登録日 | NS |
|---|---|---|---|---|
ukbdplc[.]com |
フィッシング誘導先 | Gname[.]com Pte. Ltd. | 2025-06-10 | ns7[.]alidns[.]com / ns8[.]alidns[.]com |
sq14[.]sufeie[.]com |
Return-Path(送信ドメイン) | — | — | — |
関連URL
| URL | 状態 |
|---|---|
hxxps://ukbdplc[.]com/?type=verify&key=xhcxoonqrv |
停止/エラー |
PhishTank登録状況
hxxps://ukbdplc[.]com/ — 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このフィッシングメールへの対処方法
メールを受信した場合
- リンクをクリックしないでください。 メール内の「アプリをダウンロードする」リンクは、表示上は stat[.]go[.]jp に見えますが、実際には無関係な不正サイトへ誘導されます
- メールを削除してください。 総務省統計局を名乗っていますが、実際の送信元は sufeie[.]com であり、正規の通信ではありません
- 同様のメールを組織内で受信していないか確認してください。 件名のキャンペーン番号(No.556927)やReturn-Pathドメイン(sq14[.]sufeie[.]com)でメールログを検索することで、組織内での被害範囲を確認できます
リンクをクリックしてしまった場合
- 誘導先で個人情報やクレジットカード情報を入力した場合は、直ちにカード会社に連絡し、利用停止の手続きを行ってください
- アプリのインストールを求められた場合は、不正アプリの可能性があります。インストールしてしまった場合は、直ちにアンインストールし、端末のセキュリティスキャンを実施してください
- IDやパスワードを入力した場合は、同じパスワードを使用している他のサービスも含め、速やかにパスワードを変更してください
この手口の見分け方
- 政府機関がコンビニクーポンを餌にしたキャンペーンを行うことは極めて稀です。 「アプリをダウンロードするだけで1,000円クーポン」という誘い文句自体が不自然です
- リンクの実際の遷移先を確認してください。 PCではマウスホバー、スマートフォンでは長押しで、リンク先のURLを事前に確認できます。表示URLと異なるドメインが表示されたら詐欺の可能性が高いです
- 公式情報を直接確認してください。 総務省統計局に関する情報は、メール内のリンクからではなく、ブラウザで直接 stat[.]go[.]jp にアクセスして確認してください
- 不自然な送信時刻に注意してください。 日本の政府機関からのメールであれば日本時間(+0900)で送信されるはずです
セキュリティ担当者向け — 検知・ブロック推奨事項
- メールゲートウェイにおいて、Return-Pathドメイン
sufeie[.]comおよびそのサブドメインからのメールをブロックすることを推奨します - プロキシ/ファイアウォールにおいて、
ukbdplc[.]comへの通信をブロックすることを推奨します - SIEMやメールログにおいて、SHA-256ハッシュ
b42e81caf99f3661d6c7a2fb47b25f8e31b76ef217b30e2c10f7486f138f3a6eでの検索を推奨します - Fromヘッダーが
stat[.]go[.]jpであるにもかかわらずReturn-Pathが異なるドメインであるメールを検知するルールの追加を検討してください