【注意喚起】「近隣警察署からの指摘に基づく歩行中の交通違反に関する事実確認」を装うフィッシングメールにご注意ください

分類: フィッシング（確定）
なりすまし
SHA-256: a49af89d500d5356062ae73f5352cc02f57fd0ed0da1b49b9cbf8e7451882fcb

フィッシングメール本文のスクリーンショット — フィッシングメール本文のプレビュー（参考表示・メーラー環境の完全再現ではありません）

フィッシングサイトのスクリーンショット — 誘導先サイトのスクリーンショット（解析時点）

概要

見出し

1 概要
2 メール件名
3 メール本文（全文引用）
4 手口の分析
5 HTMLメール内のリンク解析（観測事実）
6 誘導先サイトの解析
- 6.1 Azure クラウドインフラの悪用
- 6.2 ページタイトルの不審点
7 メール認証の技術解析
- 7.1 SPF passでも安全とは限らない
- 7.2 DKIM・DMARCの検証結果が付与されていない
8 送信元情報
- 8.1 タイムゾーンの不整合
9 フィッシング判定の総合根拠
10 このメールの見分け方
11 IOC（侵害指標）一覧
- 11.1 PhishTank登録状況
12 このメールを受け取った場合の対処方法
13 まとめ

2026年6月9日、企業の総務部・労務管理チームを名乗り、「近隣警察署からの交通違反の指摘」を口実に社員を偽サイトへ誘導するフィッシングメールが確認されました。メール内のリンクは、Microsoft Azure Storage の静的Webサイトホスティング基盤上に設置されたフィッシングサイトへ誘導します。

本メールは、「警察からの通報」「就業規則に基づく事実確認の義務」「翌日正午の回答期限」という3つの心理的圧力を組み合わせ、受信者の冷静な判断を奪い、即座にリンクをクリックさせることを狙った巧妙な手口です。

メール件名

【重要・総務部】近隣警察署からの指摘に基づく「歩行中の交通違反」に関する事実確認のお願い

メール本文（全文引用）

社員の皆様へ

お疲れ様です。総務部・労務管理チームです。

本日午前、管轄の警察署より、弊社オフィス周辺の交差点において「通勤時間帯に弊社の社員バッジ（または入館証）を着用した人物が、信号無視および危険な道路横断を行っていた」との通報・厳重注意を受けました。

警察側から提供された「違反発生日時」および「該当者の特徴」を社内の勤怠データ（打刻時間）と照合した結果、あなたが対象者である可能性が高いと判断されました。

歩行者の信号無視は公的な違法行為であり、会社の社会的信用に関わる重大な問題です。

大変お手数ですが、以下のリンクより警察から提出された「報告書（日時・違反場所・特徴）」をご確認いただき、ご自身の行動に相違ないか至急ご回答をお願いいたします。

■ 交通違反に関する事実確認・回答ページ

※回答期限：明日 12:00まで
※本件は、社内就業規則に基づき、事実確認が必須となっております。ご協力をお願いいたします。

手口の分析

1. 社内部門のなりすまし

差出人は soumu[@]example[.]com を名乗り、「総務部・労務管理チーム」として社内メールを装っています。社員にとって総務部からの連絡は日常的であり、疑いなく開封してしまう可能性が高い発信元です。

2. 権威と恐怖の二重利用

「警察署からの通報」という外部権威と、「あなたが対象者である可能性が高い」という個人への名指しを組み合わせています。受信者は「本当に自分が該当するのか」という不安から、事実確認のためにリンクをクリックしたくなる心理が働きます。さらに「公的な違法行為」「会社の社会的信用に関わる重大な問題」という表現で、会社での立場への影響を匂わせ、恐怖心を増幅させています。

3. 短い回答期限による焦燥

「回答期限：明日 12:00まで」「就業規則に基づき事実確認が必須」という文言は、受信者に「急がなければ」という焦りを生じさせ、冷静にURLを確認する余裕を奪います。正規の社内手続きであれば、通常はより余裕のある期限が設定されます。

4. text/plain本文の不在

本メールはHTML形式のみで送信されており、テキスト形式（text/plain）の本文が含まれていません。正規の業務メールでは多くの場合、HTML版とテキスト版の両方を含むマルチパート構成が採用されます。HTML形式のみの構成は、リンクの表示文言と実際のURLを異なるものにできるため、フィッシングメールで多用される手法です。

HTMLメール内のリンク解析（観測事実）

メール本文のHTML構造を解析した結果、以下の誘導リンクが1件確認されました。

表示文言	実際のリンク先（href）	性質
「交通違反に関する事実確認・回答ページ」	`hxxps://rabironal[.]z1[.]web[.]core[.]windows[.]net/`	CTA・誘導リンク

このリンクの直前には「以下のリンクより警察から提出された『報告書（日時・違反場所・特徴）』をご確認いただき、ご自身の行動に相違ないか至急ご回答をお願いいたします。 ■」という文言が配置されており、受信者が自然にクリックするよう巧みに誘導しています。

表示文言は「交通違反に関する事実確認・回答ページ」という社内システムを連想させる日本語ですが、実際のリンク先は rabironal[.]z1[.]web[.]core[.]windows[.]net という、社内システムとは無関係の Azure Storage 静的Webサイトホスティング上のURLです。

誘導先サイトの解析

項目	観測値
URL	`hxxps://rabironal[.]z1[.]web[.]core[.]windows[.]net/`
状態	稼働中（確認済み）
ページタイトル	分析 ID:494621
サーバー	Windows-Azure-Web/1.0 Microsoft-HTTPAPI/2.0
ソースサイズ	26,797 bytes

Azure クラウドインフラの悪用

誘導先のドメイン rabironal[.]z1[.]web[.]core[.]windows[.]net は、Microsoft Azure Storage の静的Webサイトホスティング用エンドポイントです。z1[.]web[.]core[.]windows[.]net は Azure Storage が静的Webサイトをホストする際に使用される正規のエンドポイントであり、攻撃者はこのクラウドサービス上にフィッシングページを設置しています。

この手法には以下の狙いがあると考えられます。

SSL証明書の自動付与: Azure Storage の静的WebサイトホスティングはHTTPS通信を標準で提供するため、ブラウザのアドレスバーに鍵マークが表示され、受信者に「安全なサイト」という誤った印象を与えます
URLフィルタの回避: windows[.]net は Microsoft の正規ドメインであるため、企業のセキュリティゲートウェイやURLフィルタによるブロックをすり抜けやすくなります
迅速な構築と使い捨て: Azure Storage アカウントを作成し静的Webサイトを有効化するだけで即座にフィッシングサイトを公開でき、発覚後は新しいストレージアカウントで再構築することも容易です

ページタイトルの不審点

誘導先のページタイトルは「分析 ID:494621」であり、社内の事実確認システムや警察関連の書類閲覧ページとしては不自然です。正規の社内システムであれば、会社名やシステム名を含むタイトルが設定されているのが一般的です。

メール認証の技術解析

メール認証は、受信サーバーがメールの正当性を検証するための仕組みです。本メールの認証結果を以下に示します。

認証方式	結果	意味
SPF	pass	エンベロープFrom（`soumu[@]example[.]com`）のドメインが、送信元IP（`117[.]6[.]227[.]63`）からの送信を許可していると判定
DKIM	不明	DKIM署名の検証結果が付与されていない
DMARC	不明	DMARC検証結果が付与されていない

SPF passでも安全とは限らない

SPF（Sender Policy Framework）は、ドメインの所有者が「このIPアドレスからの送信を許可する」と宣言する仕組みです。SPFがpassしている場合、送信元IPがドメインのSPFレコードで許可されていることを意味しますが、これだけでメールの正当性が保証されるわけではありません。

SPF passが得られる状況としては、以下のようなケースが一般的に知られています。

ドメインのSPFレコードが広範なIPレンジを許可している場合
ドメインのメールインフラが侵害されている場合
共有メールサービスのSPFレコードに含まれるIPから送信された場合

DKIM・DMARCの検証結果が付与されていない

DKIM（DomainKeys Identified Mail）は、メールに電子署名を付与し改ざんを検知する仕組みです。DMARC（Domain-based Message Authentication, Reporting and Conformance）は、SPFとDKIMの結果を組み合わせて総合的に認証するポリシーです。本メールではいずれの検証結果も付与されていないため、メールの完全性や送信者の真正性を第三者的に確認する手段がありません。

送信元情報

項目	観測値
送信元IP	`117[.]6[.]227[.]63`
メール日時	Tue, 09 Jun 2026 07:53:13 +0700
タイムゾーン	+0700（UTC+7）

タイムゾーンの不整合

メールヘッダに記録されたタイムゾーンは +0700（UTC+7）であり、これは東南アジア圏（タイ、ベトナム、インドネシア西部など）で使用されるタイムゾーンです。日本標準時（JST）は+0900であり、日本国内の企業の総務部から送信されたメールとしては不自然なタイムゾーンです。

ただし、タイムゾーン設定はメールサーバーの構成に依存するため、これ単独でフィッシングの決定的証拠とはなりません。他の証拠と合わせて評価する補助指標として有用です。

フィッシング判定の総合根拠

本メールがフィッシングであると判断した根拠は、以下の複合的な証拠に基づきます。

誘導先URLが社内システムと無関係（確認済み）: 「事実確認・回答ページ」と称するリンクの実体は hxxps://rabironal[.]z1[.]web[.]core[.]windows[.]net/ であり、Azure Storage 上の外部サイトです。正規の社内事実確認システムであれば、社内ドメイン上に配置されるのが一般的です
ブランドのなりすまし（確認済み）: 企業の社内部門（総務部）を詐称し、soumu[@]example[.]com を差出人としています
DKIM・DMARCの検証結果が付与されていない: メールの真正性を追加で裏付ける認証結果がなく、信頼性の判断材料が限定的です
タイムゾーンの不整合: 日本の企業を名乗りながら、+0700（東南アジア圏）のタイムゾーンで送信されています
ソーシャルエンジニアリング手法の集中的使用: 権威（警察）、恐怖（違法行為）、緊急性（翌日期限）、義務感（就業規則）を組み合わせた典型的なフィッシングの心理操作パターンが認められます

このメールの見分け方

リンク先URLの確認

メール内のリンクにマウスカーソルを合わせる（モバイルの場合は長押しする）と、実際の遷移先URLが表示されます。本メールでは「交通違反に関する事実確認・回答ページ」という表示文言に対して、実際のリンク先は rabironal[.]z1[.]web[.]core[.]windows[.]net という外部URLです。社内システムのURLと一致するかを必ず確認してください。

送信元の二重確認

メールの差出人表示は容易に偽装できます。重要な通知を受け取った場合は、メール内のリンクをクリックせず、社内ポータルに直接アクセスするか、総務部の代表番号に電話で確認してください。

「急がせる」メールへの警戒

「明日12:00まで」のような極端に短い期限を設定するメールは、受信者の冷静な判断を妨げることを目的としている可能性があります。本物の社内手続きであれば、通常は合理的な回答期間が設けられます。

警察が企業経由で個人に連絡する不自然さ

歩行者の信号無視について警察が企業に通報し、企業が社員にメールで報告書の確認を求めるという流れは、一般的な行政手続きとしては極めて不自然です。警察が交通違反を問題視する場合、通常は現場で本人に直接指導するか、書面による通知を行います。

IOC（侵害指標）一覧

種別	値	備考
送信元メールアドレス	`soumu[@]example[.]com`	なりすまし
送信元IP	`117[.]6[.]227[.]63`	タイムゾーン +0700
誘導先URL	`hxxps://rabironal[.]z1[.]web[.]core[.]windows[.]net/`	稼働中（確認済み）
誘導先ドメイン	`rabironal[.]z1[.]web[.]core[.]windows[.]net`	Azure Storage 静的Webサイト
SHA-256	`a49af89d500d5356062ae73f5352cc02f57fd0ed0da1b49b9cbf8e7451882fcb`	メール全体

PhishTank登録状況

hxxps://rabironal[.]z1[.]web[.]core[.]windows[.]net/ は、本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

このメールを受け取った場合の対処方法

リンクをクリックしないでください。メール内の「交通違反に関する事実確認・回答ページ」は、フィッシングサイトへの誘導リンクです
社内の総務部・情報セキュリティ部門に報告してください。同じメールが他の社員にも送信されている可能性があります。件名とメールヘッダ情報を添えて報告することで、組織全体での被害防止に繋がります
既にリンクをクリックし、情報を入力してしまった場合は、直ちに情報セキュリティ部門に連絡してください。入力した情報に応じて、パスワード変更、アカウントの一時停止、不正ログインの監視等の対応が必要です
メールを削除してください。報告が完了したら、誤ってクリックすることを防ぐためメールを削除してください
同僚への周知をお願いします。同じ文面のメールを受け取った同僚がいる可能性があります。特にメールの件名「近隣警察署からの指摘」という表現は心理的圧力が強く、冷静に判断できない社員もいるため、口頭やチャットでの注意喚起が有効です

まとめ

本フィッシングメールは、「警察からの交通違反の指摘」という日常的にありそうで、かつ受信者に強い不安を与えるシナリオを利用しています。社内の総務部を装い、社員バッジや勤怠データとの照合結果を持ち出すことで信憑性を高め、翌日正午という短い回答期限で焦燥感を煽る手口は非常に巧妙です。

誘導先には Microsoft Azure Storage の静的Webサイトホスティングが悪用されており、URLに windows[.]net が含まれることから、一見すると正規のサービスのように見えてしまう点にも注意が必要です。

不審なメールを受け取った際は、メール内のリンクを直接クリックせず、必ず社内の正規ルートで事実を確認してください。

検出されたドメイン・URL一覧

ドメイン	区分	状態	検出方法	登録情報
`rabironal[.]z1[.]web[.]core[.]windows[.]net`	入口URL	稼働中	メール本文	–