⚠ このメールはフィッシング詐欺です
社内の情報セキュリティ部門を装い、Chromiumブラウザの0-day脆弱性への緊急対応を名目に、Microsoft Azure上にホスティングされたフィッシングサイトへ誘導するメールが確認されました。本記事では、このメールの技術的特徴と見分け方を解説します。
メールの基本情報
見出し
| 件名 | 【重要】Chromiumブラウザの脆弱性(0-day)に伴う緊急アップデート対応のお願い |
|---|---|
| 差出人(From) | admin[@]example[.]com |
| Return-Path | <admin[@]example[.]com> |
| 送信日時 | 2026年6月7日(日)23:27:20 +0400 |
| 送信元IP | 160[.]191[.]208[.]13 |
| X-Mailer | Microsoft Windows Live Mail 16.4.3505.912 |
| SHA256 | 8fe22bfe54f2b6d8f529f6ffd5974748091f14fd20f3c0b4d14a7f7dcaa04fd6 |
メール本文(全文引用)
社員の皆様へ お疲れ様です。情報セキュリティ部です。 現在、業務で使用しているChromium系ブラウザ(Google Chrome / Microsoft Edge)において、 既に悪用が確認されている重大な脆弱性(0-day)が発見されました。 本日中にPCのブラウザ環境を最新の状態に更新する必要があります。 以下の社内特设ページにアクセスし、手順に従ってパッチの適用(アップデートの確認)を完了させてください。 🔗 ブラウザアップデート確認ページ: hxxps://zisadisan[.]z1[.]web[.]core[.]windows[.]net/ ※本対応は、本日20:00までに必ず実施をお願いいたします。 ご協力のほど、よろしくお願いいたします。
技術解析
1. メール認証の検証結果
| SPF | pass |
|---|---|
| DKIM | 検証結果が付与されていない |
| DMARC | 検証結果が付与されていない |
観測事実:SPFはpassとなっており、送信元IP(160[.]191[.]208[.]13)がexample[.]comドメインのSPFレコードで許可された範囲に含まれていることを示しています。一方、DKIMおよびDMARCの検証結果はメールヘッダーに付与されていません。
示唆:SPFのpassは、エンベロープ送信者(smtp[.]mailfrom)のドメインに対する送信元IPの認証が成功したことを意味します。ただし、SPFの合格のみではメール全体の正当性を保証するものではありません。SPFレコードが広い範囲のIPアドレスを許可している場合、第三者がSPFを通過させることが技術的に可能です。DKIMの検証結果が付与されていないため、メール本文やヘッダーの改ざん有無を電子署名で検証できない状態です。
2. メールヘッダーの不審点
タイムゾーンの不一致
観測事実:Dateヘッダーのタイムゾーンは+0400(UTC+4)です。
示唆:日本標準時(JST)はUTC+9(+0900)です。日本国内の組織から送信されたメールであれば、通常+0900が記録されます。UTC+4はアラブ首長国連邦、ジョージア、アゼルバイジャンなどの地域で使用されるタイムゾーンであり、日本国内の情報セキュリティ部門からの送信としては不自然です。
旧式メーラーの使用
観測事実:X-Mailerヘッダーには「Microsoft Windows Live Mail 16.4.3505.912」と記録されています。
示唆:Windows Live Mailは一般にサポートが終了した旧式のメールクライアントとして知られています。企業の情報セキュリティ部門が全社向けの緊急通知に使用するメーラーとしては不自然であり、通常はメール配信システムやグループウェアを通じて送信されます。
3. 本文中の簡体字使用
観測事実:メール本文中に「社内特设ページ」という表記があります。ここで使用されている「设」(U+8BBE)は中国語の簡体字であり、日本語で使用される「設」(U+8A2D)とは異なる文字です。
示唆:日本の組織が作成する正式な社内文書では「特設ページ」と表記するのが自然です。簡体字「设」の使用は、メール作成者が中国語の入力環境を使用していた可能性を示唆します。ただし、この事実単独でメール作成者の国籍や所在地を断定することはできません。
4. HTMLメール構造の観測事実
本メールにはHTML形式の本文(2,158文字)が含まれています。HTML内で観測されたリンクは1件です。
| 表示文言 | hxxps://zisadisan[.]z1[.]web[.]core[.]windows[.]net/ |
|---|---|
| リンク先URL | hxxps://zisadisan[.]z1[.]web[.]core[.]windows[.]net/ |
| 直前の文脈 | 「以下の社内特设ページにアクセスし、手順に従ってパッチの適用(アップデートの確認)を完了させてください。🔗 ブラウザアップデート確認ページ:」 |
| 分類 | CTA・誘導リンク候補 |
表示文言とリンク先URLは一致しており、URL偽装(表示と実際のリンク先の不一致)は検出されていません。ただし、誘導先自体がフィッシングサイトであるため、URLの一致は安全性を意味しません。
5. 誘導先URL・サイトの解析
| URL | hxxps://zisadisan[.]z1[.]web[.]core[.]windows[.]net/ |
|---|---|
| 稼働状態 | 稼働中(解析時点) |
| ページタイトル | 要請 x4974 |
| サーバー | Windows-Azure-Web/1.0 Microsoft-HTTPAPI/2.0 |
| ソースサイズ | 29,197 bytes |
観測事実:誘導先URLのドメイン「zisadisan[.]z1[.]web[.]core[.]windows[.]net」は、Azure Blob Storageの静的Webサイトホスティング機能で使用されるエンドポイントの形式です。「zisadisan」はAzureストレージアカウント名に相当します。サーバーヘッダーにも「Windows-Azure-Web/1.0」と記録されており、Azureインフラ上でホスティングされていることが確認できます。
示唆:このURLはMicrosoftのクラウドインフラ(windows[.]net)上にホスティングされているため、一見すると正規のMicrosoft関連サイトに見えます。しかし、Azure Blob Storageの静的Webサイトホスティングは誰でもアカウントを作成して利用できるサービスであり、ドメインにwindows[.]netが含まれていることは安全性の保証にはなりません。攻撃者がAzureやAWSなどのクラウドサービスを悪用してフィッシングサイトをホスティングする手法は、一般にURLフィルタリングや信頼度評価を回避する目的で広く使われていることが知られています。
ページタイトルの不自然さ:誘導先のページタイトルは「要請 x4974」であり、ブラウザのアップデート確認ページとしては不自然な内容です。Google Chromeの正規のアップデート確認ページは、一般にブラウザ内部のアドレス(chrome://settings/help)からアクセスし、「Google Chromeについて」等のタイトルが表示されることが公式サイトで確認できます。
フィッシング判定の総合根拠
以下の複数の証拠を総合的に評価し、本メールをフィッシングと判定しています。単一の証拠のみに基づく判定ではありません。
- 誘導先がAzure上の外部サイト(確認済み):「社内特设ページ」と称していますが、実際にはAzure Blob Storageの外部サイトであり、ページタイトルも「要請 x4974」と不自然です
- 簡体字「设」の使用(確認済み):日本語の「設」ではなく中国語簡体字が使用されており、日本の組織による正規の社内通知とは考えにくい表記です
- タイムゾーン+0400(確認済み):日本標準時(+0900)ではなくUTC+4の地域から送信されたことを示唆するヘッダー情報です
- 旧式メーラーの使用(確認済み):サポート終了済みのWindows Live Mailが使用されており、企業のセキュリティ部門の公式通知としては不自然です
- DKIM・DMARCの検証結果なし(確認済み):メールの真正性を電子署名やポリシーで検証できない状態です
- Google Chromeブランドの悪用(確認済み):実在する脆弱性対応を装い、緊急性を演出して受信者を焦らせる手口です
この攻撃の手口と特徴
このフィッシングメールは、以下の特徴を持つ社内通知偽装型の攻撃です。
- 権威の偽装:「情報セキュリティ部」を名乗ることで、受信者に対して組織内の権威ある部門からの指示であると信じ込ませます
- 緊急性の演出:「0-day脆弱性」「本日中」「本日20:00まで」といった表現で時間的プレッシャーを与え、冷静な判断を妨げます
- 正規ブランドの利用:Chromiumブラウザの脆弱性は実際に定期的に報告されている事象であり、もっともらしさが高い口実です
- クラウドインフラの悪用:Azure上のフィッシングサイトはwindows[.]netドメインを含むため、URLフィルタリングを回避しやすく、受信者にも正規サイトと誤認させやすい特徴があります
見分けるポイント
- ブラウザの更新は公式機能から行う:Google Chromeの更新は、ブラウザのメニュー →「ヘルプ」→「Google Chromeについて」(chrome://settings/help)から確認・実行するのが正規の手順です。Microsoft Edgeの場合は edge://settings/help です。外部リンクからパッチを適用させる方法は正規の手順ではありません
- 「社内ページ」のURLを確認する:社内システムへのリンクであれば、自社ドメインのURLであるはずです。
*[.]web[.]core[.]windows[.]netのようなクラウドサービスのURLは、社内ページとは異なります - 漢字の表記を確認する:「特设ページ」の「设」は日本語では使用しない簡体字です。正しくは「特設ページ」と表記されます。このような表記の違いはフィッシングメールを見分ける手がかりになります
- 過度な緊急性に注意する:「本日中」「20:00まで」などの厳しい期限を設定して焦らせる手口は、フィッシングの典型的な特徴です。正規のセキュリティ通知であっても、リンクをクリックする前に送信元を確認してください
- IT部門に直接確認する:不審なセキュリティ通知を受け取った場合は、メール内のリンクを使用せず、社内の連絡先やチャットツールで情報セキュリティ部門に直接確認してください
IOC(侵害指標)一覧
| 種別 | 値 | 備考 |
|---|---|---|
| 送信元メールアドレス | admin[@]example[.]com |
From / Return-Path |
| 送信元IP | 160[.]191[.]208[.]13 |
SMTP接続元 |
| 誘導先URL | hxxps://zisadisan[.]z1[.]web[.]core[.]windows[.]net/ |
稼働中(解析時点) |
| 誘導先ドメイン | zisadisan[.]z1[.]web[.]core[.]windows[.]net |
Azure Blob Storage 静的Webサイト |
| メールSHA256 | 8fe22bfe54f2b6d8f529f6ffd5974748091f14fd20f3c0b4d14a7f7dcaa04fd6 |
メール全体のハッシュ |
| X-Mailer | Microsoft Windows Live Mail 16.4.3505.912 |
旧式メーラー |
PhishTank登録状況
hxxps://zisadisan[.]z1[.]web[.]core[.]windows[.]net/:本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処方法
- リンクをクリックしないでください。メール内のURLにはアクセスしないでください
- 既にリンクを開いてしまった場合:
- そのページで情報(ID、パスワード、個人情報等)を入力した場合は、直ちに当該サービスのパスワードを変更してください
- ファイルのダウンロードやインストールを行った場合は、端末をネットワークから切断し、セキュリティ担当部門に報告してください
- 社内の情報セキュリティ部門に報告してください。メールをそのまま転送し、同様のメールが他の社員にも届いていないか確認を依頼してください
- メールを削除してください。報告が完了したら、受信トレイおよびゴミ箱からメールを削除してください
- ブラウザの更新は正規の手順で行ってください。Google Chromeの場合はブラウザのアドレスバーに
chrome://settings/helpと入力、Microsoft Edgeの場合はedge://settings/helpと入力することで、安全にアップデートの確認ができます