フィッシング

【注意喚起】日本銀行を騙るフィッシングメール「登録方法のご案内」― インド発・TDS型攻撃インフラとAzureブロブストレージを悪用した認証情報詐取の手口を解説

フィッシングメール本文のスクリーンショット
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません)
フィッシングサイトのスクリーンショット
誘導先サイトのスクリーンショット(解析時点)

解析結果を丁寧に精査し、セキュリティメディア向けの注意喚起記事を作成します。

緊急注意喚起
2026年4月15日、日本銀行(Bank of Japan)を騙り「登録方法のご案内」と称するフィッシングメールの配布を確認しました。インド発の送信インフラ、正規メールマーケティングサービスの悪用、MicrosoftのAzureクラウド上でのTDS(Traffic Direction System)運用など、巧妙な多層回避手法が確認されています。本記事は同メールを受け取った方や、セキュリティ担当者向けに手口と証拠を詳細に解説します。

メール概要

項目 内容
件名 登録方法のご案内
差出人(From) Bank of Japan <boj[@]sg-p[.]jp>
Return-Path boj[@]sg-p[.]jp
受信日時 Wed, 15 Apr 2026 10:33:30 +0400
SHA256(EML) 75b1870a80ea6ce992acb2255cbaab04cc70f3e572ff6813f25e574e0e7e9ac0
なりすましブランド 日本銀行(金融機関)
フィッシング判定 確定(証拠強度: strong / 4件の複合根拠)

メール本文(全文)

受信したメールの本文を全文引用します。同一または類似の文面を受け取った方は、本記事の手口に合致する可能性があります。

文面の着目点:「登録方法のご案内」という件名は、特定のサービス名を一切記載していません。これにより「何か登録した心当たりがある」と感じさせ、受信者に開封・クリックを促す汎用的な手法です。また、日本語メール内で「Bank of Japan」という英語表記が冒頭と末尾に使われており、日本語としての自然さに欠けます。日本銀行は一般個人に向けてメールマガジン登録などの案内を直接送信することはありません(公式サイトで確認可能)。

技術的解析

1. 差出人ドメインの詐称(確認済み)

【観測事実】 From ヘッダーは Bank of Japan <boj[@]sg-p[.]jp> であり、smtp[.]mailfrom(エンベロープFrom)も同様に boj[@]sg-p[.]jp です。送信に使われたドメインは sg-p[.]jp です。

【示唆】 日本銀行の公式ドメインは boj[.]or[.]jp として一般に広く知られています。sg-p[.]jp は日本銀行とは一切関係のないドメインであり、表示名「Bank of Japan」はメーラーの表示部分を詐称するために設定された偽の名前です。メーラーによっては差出人として「Bank of Japan」のみを表示し、アドレス部分を隠すため、一見して正規メールと誤認しやすい状態が作り出されています。

【総合判断への寄与】 公式ドメイン(boj[.]or[.]jp)以外のドメインから日本銀行を名乗ったメールが届いている事実は、ブランド詐称の主要証拠の一つです。

2. メール認証の失敗(確認済み)

メール送信ドメインの正当性を検証する3つの認証プロトコルについて解析しました。

認証プロトコル 結果 意味
SPF softfail(〜all) sg-p[.]jpのSPFレコードにおいて、今回の送信IPが送信を明示的に許可されていないことを示す。「softfail」は配送は許容するが認証が通っていないことを意味する。
DKIM 不明(検証結果なし) 受信サーバーによるDKIM検証結果が付与されていない状態。DKIMヘッダー自体が存在しないか、処理されなかった可能性がある。
DMARC fail DMARCはSPFとDKIMのいずれかがFromドメインと整合していることを要求する。今回はSPFがsoftfail、DKIMが未付与のため、DMARCアライメントが成立せずfailとなった。
補足:SPF・DKIM・DMARCとは

  • SPF(Sender Policy Framework):「このドメインからメールを送っていいIPアドレスはこれだ」とDNSに登録しておく仕組み。送信IPがリストになければ認証失敗。
  • DKIM(DomainKeys Identified Mail):メール本文とヘッダーに秘密鍵で署名を付け、受信側が公開鍵で検証する仕組み。署名がなければ受信側は認証できない。
  • DMARC(Domain-based Message Authentication, Reporting & Conformance):SPFとDKIMの結果をFromヘッダーのドメインと照合し、不整合のメールをどう扱うか(隔離・拒否等)をドメイン所有者が指定できる仕組み。

【総合判断への寄与】 SPF softfail・DMARC fail は、sg-p[.]jp を名乗るこのメールが、そのドメインの正規送信者から発信されたものではないことを強く示唆します。ただし、これ単独でフィッシング確定とはなりません。後述するブランド詐称・海外発信・誘導URL等との複合で最終判断を行っています。

3. 送信元インフラ — インド発の商用通信事業者(確認済み)

【観測事実】 メールの送信元IPアドレスは 103[.]105[.]177[.]224 です。IPアドレス情報データベースによると、このIPは以下の情報を持ちます。

  • 国: IN(インド)
  • 組織: IRT-REACHTEL-IN
  • CIDR: 103[.]105[.]176[.]0/22

【示唆】 日本銀行が正規のメールを送信する場合、その送信インフラは日本国内または同行の公式ITベンダーのサーバーから発信されるのが通常です(一般的な金融機関のメール運用慣行)。インドの商用通信事業者のIPから日本銀行を名乗るメールが送信されているという事実は、正規送信経路ではないことを強く示唆します。

【総合判断への寄与】 送信元の地理的・組織的属性が公称組織(日本銀行)と一致しないことは、フィッシング判定の補強証拠です。

4. X-Mailerヘッダーの偽装疑い(未確認・補助指標)

【観測事実】 メールヘッダーに以下のX-Mailerが記録されています。

【示唆】 Outlook Express 6はWindowsXP時代(一般的には2001〜2002年頃に普及)のメーラーです。2026年に業務メールとして同バージョンを使用することは極めて不自然であり、一般的に送信スクリプトやスパム送信ツールがUser-Agentやヘッダーを偽装する手法として知られています。なお、ヘッダー偽装を確定的に証明する情報は解析結果に含まれていないため、補助指標として扱います。

5. 誘導URL解析 — 正規サービスとクラウドインフラの悪用(確認済み)

本メールには3種類の誘導URLが含まれています。いずれも記事公開時点で稼働中であることが確認されています。

5-1. sugumail[.]com 経由のリダイレクト(2URL)

スマートフォン/パソコン向けとフィーチャーフォン向けとして、それぞれ以下のURLが設定されています。

  • hxxps://plus[.]sugumail[.]com/usr/boj/mail-user/entry/3ym5xqgcth4c5v3ym5xqgcth4c5v3ym5
    → 2ホップリダイレクト → hxxps://plus[.]sugumail[.]com/usr/boj/home(ページタイトル: Plus+ | Home, Apache, 6,911 bytes)
  • hxxps://m[.]sugumail[.]com/m/boj/mail-user/entry/qgcth4c5v3ym5xqgcth4c5v3ym5xqgct
    → 2ホップリダイレクト → hxxps://m[.]sugumail[.]com/m/boj/home(ページタイトル: Plus+ | トップページ[半角カナ], Apache, 2,815 bytes)

【示唆】 sugumail[.]com はメールマーケティング・メルマガ配信用のリダイレクトサービスとして機能していると観測されます。攻撃者は同サービス上に /boj/ というパスを作成し、日本銀行(BOJ)の公式配信であるかのように見せかけています。正規サービスのドメイン配下にURLを設置することで、URLフィルタリングやフィッシングブラックリストによる検知を回避する手法です。フォーム送信先が #(自ページ)となっており、入力情報を直接収集する偽サイトとして機能している可能性があります。

5-2. Azure Static Web Hosting 上のTDS(Traffic Direction System)(確認済み)

【観測事実】 3つ目のURLとして、MicrosoftのAzureクラウドストレージ上にホストされたページが確認されました。

  • URL: hxxps://gecowipuso[.]z16[.]web[.]core[.]windows[.]net/kh3s52y0o85v[.]html
  • サーバー: Windows-Azure-Web/1[.]0 Microsoft-HTTPAPI/2[.]0(Microsoft Azureの正規インフラ)
  • ページタイトル: メッセー‌ジ 0x‍19877(ゼロ幅文字を含む)
  • ソースサイズ: 59,836 bytes(他の誘導先と比較して大幅に大きい)

⚠ TDS(Traffic Direction System)を検出 このURLへのアクセス時に、TDSの動作が確認されました。TDSとはアクセスごとに異なる最終URLへ動的にリダイレクトするシステムであり、IPアドレス・User-Agent・地域・時刻などの条件によって誘導先を振り分けます。これにより、セキュリティ研究者によるクロールや自動スキャンには無害なページを返し、一般ユーザーには実際のフィッシングページを表示するといった回避が可能になります。本記事公開時点での観測ドメイン: gecowipuso[.]z16[.]web[.]core[.]windows[.]net(1種)。

6. ゼロ幅文字による難読化(確認済み)

【観測事実】 Azureホスト上のページタイトルは メッセー‌ジ 0x‍19877 と記録されており、視覚上は「メッセージ 0x19877」に見えますが、実際にはゼロ幅文字(U+FEFF: BOM、U+200C: ゼロ幅非結合子、U+200D: ゼロ幅結合子 等)が埋め込まれています。

【示唆】 ゼロ幅文字はレンダリングされても視覚的に認識できないため、文字列の完全一致によるフィルタリング・シグネチャ検知を回避する目的で利用されます。フィッシングページのタイトルや本文にゼロ幅文字を意図的に挿入する手法は、自動検知ツールへの対抗策として一般的に知られています。

フィッシング判定根拠(複合証拠)

本メールのフィッシング判定は、以下の4件の複合証拠に基づきます。単一の指標ではなく、複数の独立した証拠の組み合わせにより確定しています。

# 証拠 確度 根拠
1 SPF softfail 確認済み sg-p[.]jpのSPFレコードが103[.]105[.]177[.]224からの送信を許可していない
2 DMARC fail 確認済み SPF/DKIMのいずれもFromドメインとのアライメントが成立せず
3 送信元IP国: IN(インド) 確認済み RDAP情報: IRT-REACHTEL-IN / 103[.]105[.]176[.]0/22
4 日本銀行のなりすまし 確認済み From表示名「Bank of Japan」、送信ドメインはboj[.]or[.]jpではなくsg-p[.]jp

IOC(侵害指標)一覧

メールハッシュ

差出人・メールアドレス

送信元IPアドレス

フィッシングURL(難読化済み)

誘導先ドメイン

PhishTank登録状況

本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

  • hxxps://gecowipuso[.]z16[.]web[.]core[.]windows[.]net/:未登録
  • hxxps://plus[.]sugumail[.]com/usr/boj/mail-user/entry/3ym5xqgcth4c5v3ym5xqgcth4c5v3ym5:未登録
  • hxxps://m[.]sugumail[.]com/m/boj/mail-user/entry/qgcth4c5v3ym5xqgcth4c5v3ym5xqgct:未登録

このメールを受け取った場合の対処方法

URLをクリックしていない場合

  1. メールを開かずに削除する(または迷惑メールとして報告する)。HTMLメールであれば開封だけでもトラッキングピクセルによるアクセス確認が行われる場合があります。
  2. 件名「登録方法のご案内」に覚えがある場合でも、送信元アドレスを必ず確認してください。日本銀行の公式ドメインは boj[.]or[.]jp であり、それ以外のドメインからのメールは正規メールではありません。
  3. 受信したメールを情報機関へ報告してください(後述の相談窓口参照)。

URLをクリックし、情報を入力した可能性がある場合

  1. 入力した情報の種類を確認してください。メールアドレス・パスワード・クレジットカード番号・銀行口座情報・マイナンバーなど、それぞれに応じて対応が異なります。
  2. パスワードを即時変更してください。特にそのパスワードを他のサービスと使い回している場合は、全サービスで変更が必要です。
  3. クレジットカード・銀行情報を入力した場合は、カード会社・金融機関に直ちに連絡し、不正利用停止と取引の確認を依頼してください。
  4. 今後、同一または類似のフィッシングメールがより精緻化されて届く可能性があります(入力したアドレス・氏名が攻撃者に渡った場合、個人情報を埋め込んだ標的型メールが来ることがある)。

企業・組織のセキュリティ担当者向け

  • 本記事のIOC一覧を参照し、メールゲートウェイや社内プロキシへ送信元IP・ドメインのブロックルールを追加してください。
  • sugumail[.]com を経由したリダイレクトURLは正規サービスのドメイン配下にあるため、ドメイン単位でのブロックを行うと正規の利用に影響が出る可能性があります。URL全体のシグネチャ(/boj/ パスなど)でのフィルタリングを検討してください。
  • Azureのホスト名(*.z16[.]web[.]core[.]windows[.]net)はMicrosoftの正規インフラのため、ドメイン全体のブロックは過剰対応となります。個別URLまたはホスト名(gecowipuso[.]z16[.]web[.]core[.]windows[.]net)単位でのブロックを推奨します。
  • Microsoftへの不正利用報告(abuse報告)を行い、Azureのホスティングを停止させることを検討してください。

相談・報告窓口

  • IPA(情報処理推進機構): 不審メール・フィッシングの報告受付(公式サイトで確認可能)
  • フィッシング対策協議会: フィッシングメールの報告窓口(公式サイトで確認可能)
  • 警察庁・都道府県警察のサイバー犯罪相談窓口

まとめ

今回確認された「登録方法のご案内」フィッシングメールは、以下の点で巧妙な設計がなされています。

  • 件名の汎用性:特定サービスを名指ししないことで、より多くの受信者が「心当たりがある」と感じやすくしている
  • 正規サービスの踏み台利用sugumail[.]com という実在するリダイレクトサービス上にパスを作成し、URLフィルタリングを回避
  • Azureインフラの悪用:Microsoftの信頼される正規クラウドインフラ上にフィッシングページをホスティングすることで、ブロックの困難さと信頼感を演出
  • TDSによる分析妨害:セキュリティ研究者・自動クローラーと一般ユーザーを判別し、異なる応答を返すことで調査・ブラックリスト登録を困難にする
  • ゼロ幅文字によるシグネチャ回避:ページタイトルへのゼロ幅文字埋め込みで、文字列マッチング型の検知ツールを回避

日本銀行は一般消費者に向けてメールマガジン登録等を直接案内することはないため、このような文面のメールを受け取った場合は、URLをクリックせず即座に削除することを強く推奨します。URLリンクは現在も稼働中であり、引き続き注意が必要です。

本記事に掲載されているURLおよびIPアドレスはすべて難読化処理済みです。セキュリティ調査目的以外でのアクセスは絶対に行わないでください。

`

検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
plus[.]sugumail[.]com 入口URL 稼働中 メール本文
m[.]sugumail[.]com 入口URL 稼働中 メール本文
gecowipuso[.]z16[.]web[.]core[.]windows[.]net 入口URL 稼働中 メール本文

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,,