メールSHA256: 251b975de588d1bda8b0022d39cf57cf109f05aed4f24831bc3d1526509d93a7
概要
見出し
2026年5月19日、Microsoftを騙り「異常なサインインアクティビティの検出」を装うフィッシングメールの受信を確認しました。本メールは、差出人アドレスに受信者自身のメールアドレスを設定する「自己送信偽装」の手法を用い、あたかも自身のアカウントから送信されたかのように見せかけています。メール内のリンクは、MicrosoftのAzure Static Websiteインフラ(core[.]windows[.]net)を悪用したフィッシングサイトに誘導され、さらにTDS(Traffic Direction System)によるリダイレクト制御が確認されています。
本記事では、このフィッシングメールの技術的特徴を解説し、見分け方と対処方法を案内します。
メール本文(全文引用)
件名: 【重要】Microsoftアカウントの異常なサインインアクティビティの検出
Microsoft セキュリティアラート
Microsoft
お使いの資格情報が危険にさらされている可能性があります
Microsoft アカウントの安全を確保するため、システムが不審なサインインアクティビティを検出した際に自動通知を行っています。
ご本人によるサインインであるか確認できないため、現在セキュリティ上の理由から組織アカウントの一部機能へのアクセスを制限しています。サインインの詳細:
日時: 2026年5月17日 04:15 (JST)
IP アドレス: 103[.]250[.]21[.]xx (ロシア連邦)
プラットフォーム: Linux / Chrome Browserこれがお客様ご本人によるアクセスの場合は、このメールを無視していただいて構いません。
心当たりがない場合 は、第三者による不正アクセスのリスクがあります。安全を確保するため、直ちに下記のリンクよりアクティビティを確認し、パスワードの変更およびセキュリティ情報の更新を行ってください。
最近のアクティビティの確認
Microsoft アカウント保護チームの通知設定は、アカウントの [セキュリティ設定] から変更できます。
本メールは自動送信専用です。このメッセージに返信してもサポートを受けることはできません。
Microsoft Corporation, One Microsoft Way, Redmond, WA 98052
プライバシーの声明 | Microsoft アカウント特約
差出人アドレスの偽装分析
観測事実
- 差出人(From): 受信者自身のメールアドレス([@]crossandcrown[.]jp ドメイン)
- Return-Path: 同上(受信者自身のアドレス)
- smtp[.]mailfrom: 同上
- 実際の送信元IP: 203[.]210[.]87[.]28(インドネシア)
示唆されること
本メールはMicrosoftのセキュリティ通知を装っていますが、差出人アドレスには受信者自身のメールアドレスが設定されています。これは「自己送信偽装」と呼ばれる手法であり、受信者に「自分のアカウントが侵害されたのではないか」という不安を抱かせる効果を狙ったものです。
Microsoftの正規セキュリティ通知は、一般にaccount-security-noreply[@]accountprotection[.]microsoft[.]comなどMicrosoft所有のドメインから送信されることが公式サイトで確認できます。受信者自身のドメインからMicrosoftのセキュリティアラートが届くことは通常ありません。
タイムゾーンの矛盾
メールヘッダの日時は +0700(東南アジア時間帯)で記録されています。送信元IPがインドネシア(国コード: ID)に所在することと整合しますが、Microsoftの正規インフラやその委託配信サービスとは一般的に関連しない地域です。
メール認証の検証結果
| 認証方式 | 結果 | 対象ドメイン |
|---|---|---|
| SPF | pass | 受信者ドメイン(crossandcrown[.]jp) |
| DKIM | 検証結果が付与されていない | — |
| DMARC | 検証結果が付与されていない | — |
認証結果の読み方
SPF(Sender Policy Framework)は、エンベロープFromドメインに対して送信元IPが正規の送信サーバーであるかを検証する仕組みです。本メールではSPFがpassとなっていますが、これは受信者自身のドメイン(crossandcrown[.]jp)に対する評価です。Microsoftのドメインに対するSPF検証ではありません。
重要な教訓: SPFがpassしているからといって、メールの内容が正当であるとは限りません。SPFはあくまでエンベロープFromドメインと送信元IPの整合性を確認するものであり、メール本文で詐称しているブランドの正当性は保証しません。本件はSPF passであってもフィッシングである典型例です。
DKIM(DomainKeys Identified Mail)およびDMARC(Domain-based Message Authentication, Reporting and Conformance)については、検証結果が付与されていません。DKIMの電子署名やDMARCポリシーによる追加的な送信元認証が行われていないことを意味します。
HTMLメール構造の観測事実
- HTML本文: あり(3,399文字)
- プレーンテキスト本文: なし
- HTML内リンク数: 1件
検出されたリンク(確認済み)
| 表示文言 | リンク先URL | 種別 |
|---|---|---|
| 「最近のアクティビティの確認」 | hxxps://megotoyoli[.]z1[.]web[.]core[.]windows[.]net/ |
CTA・誘導ボタン候補 |
このリンクの直前には「不正アクセスのリスクがあります。安全を確保するため、直ちに下記のリンクよりアクティビティを確認し、パスワードの変更およびセキュリティ情報の更新を行ってください。」という緊急性を煽る文言が配置されており、受信者に即座のクリックを促す構造になっています。
また、本メールにはプレーンテキスト版(text/plain)が含まれていません。一般的に、正規の大手サービスからの通知メールはHTML版とプレーンテキスト版の両方を含むmultipart/alternative形式で送信されることが多く、HTML版のみの構成は注意すべき特徴の一つです。
送信元サーバーの分析
| 項目 | 値 |
|---|---|
| 送信元IP | 203[.]210[.]87[.]28 |
| 所在国 | インドネシア(ID) |
| 管理組織 | IRT-STARNET-ID |
| CIDR | 203[.]210[.]87[.]0/24 |
観測事実: 送信元IPアドレス 203[.]210[.]87[.]28 は、RDAP(Registration Data Access Protocol)情報によりインドネシアのISP「IRT-STARNET-ID」に割り当てられたアドレスです。
示唆: Microsoftの正規メールインフラは、一般にMicrosoft所有のIPレンジから送信されることが知られています。インドネシアのISPから直接Microsoftのセキュリティ通知が送信されることは通常考えられません。
誘導先URLの分析
Azure Static Websiteの悪用
メール内のリンク先URLは以下の構造を持ちます:
hxxps://megotoyoli[.]z1[.]web[.]core[.]windows[.]net/
このURLは、Microsoft AzureのStatic Website(静的Webサイトホスティング)機能を利用しています。Azure Static Websiteでは、ストレージアカウント名に続いて .z[ゾーン番号].web[.]core[.]windows[.]net というサブドメインが割り当てられます。
- megotoyoli — 攻撃者が作成したAzureストレージアカウント名
- z1[.]web[.]core[.]windows[.]net — Azureが自動付与する正規のホスト名
この手口が巧妙な理由:
- URLに「windows[.]net」というMicrosoftの正規ドメインが含まれるため、受信者が正規サイトと誤認しやすい
- HTTPS証明書はAzureによって正規に発行されたものであり、ブラウザに警告が表示されない
- Azureアカウントは誰でも作成可能であり、攻撃者が正規のクラウドインフラを悪用している
確認済み: 本記事公開時点で、このURLは稼働中です。
TDS(Traffic Direction System)の検出
本URLではTDS(Traffic Direction System)の動作が検出されています。TDSとは、アクセス元のIPアドレス・ブラウザ情報・地理的位置などに基づいて、訪問者を異なるURLへ動的にリダイレクトする仕組みです。
TDSが使われる目的として、一般的には以下が知られています:
- セキュリティベンダーや研究者からのアクセスを検知した場合に無害なページを表示し、検出を回避する
- ターゲットの地域・言語に応じて最適化されたフィッシングページを表示する
- 同一のURLから複数の異なるフィッシングキャンペーンを運用する
今回の観測では、最終到達URLとして以下が確認されています:
hxxps://megotoyoli[.]z1[.]web[.]core[.]windows[.]net/dhsp7vcpxnl6[.]html
ファイル名「dhsp7vcpxnl6[.]html」はランダムな文字列であり、URL単位のブロックリストを回避するために動的に生成されている可能性があります。
誘導先サイトの分析
| 項目 | 値 |
|---|---|
| 最終URL | hxxps://megotoyoli[.]z1[.]web[.]core[.]windows[.]net/dhsp7vcpxnl6[.]html |
| ページタイトル | 内容 REF-S07FQ021 |
| サーバー | Windows-Azure-Web/1[.]0 Microsoft-HTTPAPI/2[.]0 |
| ソースサイズ | 90,268 bytes |
観測事実: ページタイトルは「内容 REF-S07FQ021」という参照コード形式であり、Microsoftの正規ページタイトル(一般に「Microsoftアカウント」「サインイン」等の説明的なタイトル)とは明らかに異なります。このコードはフィッシングキャンペーンの追跡識別子として使用されている可能性があります。
観測事実: ページのソースサイズは90,268バイトと大きく、難読化されたJavaScriptやBase64エンコードされたリソースが含まれていることが示唆されます。
観測事実: サーバーヘッダ「Windows-Azure-Web/1[.]0 Microsoft-HTTPAPI/2[.]0」は、Azure Static Websiteの標準的なレスポンスヘッダであり、Azureインフラ上でホストされていることが確認されます。
メール本文中の偽装情報
メール本文には以下の「サインインの詳細」が記載されていますが、これらは攻撃者が受信者に恐怖心を抱かせるために記述したものであり、実際の不正アクセスを示す証拠ではありません:
| 記載項目 | 記載内容 | 評価 |
|---|---|---|
| 日時 | 2026年5月17日 04:15 (JST) | 攻撃者による記載。裏付けなし |
| IPアドレス | 103[.]250[.]21[.]xx (ロシア連邦) | 攻撃者による記載。このIPは攻撃者のインフラとは無関係 |
| プラットフォーム | Linux / Chrome Browser | 攻撃者による記載。裏付けなし |
「ロシア連邦」「深夜4時台」「Linux」という組み合わせは、受信者の日常的な利用パターンと異なる印象を与え、「不正アクセスされた」と錯覚させるソーシャルエンジニアリングの典型です。これにより、受信者がパニックを起こしてメール内のリンクをクリックするよう仕向けています。
総合判定
分類: フィッシング(確定)
以下の複合的な証拠に基づき、本メールはMicrosoftを騙るフィッシング詐欺であると判定します:
- ブランド詐称(確認済み): メール本文はMicrosoftのセキュリティアラートを模倣しているが、差出人アドレスは受信者自身のドメイン(crossandcrown[.]jp)であり、Microsoft所有のドメインではない
- 送信元の不整合(確認済み): 送信元IPはインドネシアのISP(IRT-STARNET-ID)に属しており、Microsoftの正規メールインフラとは関連しない
- フィッシングURL(確認済み): 誘導先URLはAzure Static Websiteを悪用しており、Microsoftの正規サービスページ(一般に account[.]microsoft[.]com 等として知られるドメイン)ではない
- TDS検出(確認済み): 誘導先URLにTDS(Traffic Direction System)の動作が確認されており、検出回避の仕組みが組み込まれている
- 認証の欠如: DKIMおよびDMARCの検証結果が付与されておらず、送信元の正当性を追加的に確認する手段がない
IOC(侵害指標)一覧
| 種別 | 値 | 備考 |
|---|---|---|
| メールSHA256 | 251b975de588d1bda8b0022d39cf57cf109f05aed4f24831bc3d1526509d93a7 |
フィッシングメール本体 |
| 送信元IP | 203[.]210[.]87[.]28 | インドネシア / IRT-STARNET-ID |
| 送信元CIDR | 203[.]210[.]87[.]0/24 | 同組織管理下 |
| フィッシングURL | hxxps://megotoyoli[.]z1[.]web[.]core[.]windows[.]net/ |
Azure Static Website悪用・TDS検出・稼働中 |
| ランディングページ | hxxps://megotoyoli[.]z1[.]web[.]core[.]windows[.]net/dhsp7vcpxnl6[.]html |
ページタイトル: 内容 REF-S07FQ021 |
| Azureストレージアカウント | megotoyoli | 攻撃者が作成 |
PhishTank登録状況
本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処法
絶対にやってはいけないこと
- メール内の「最近のアクティビティの確認」リンクをクリックしない
- リンク先のページでMicrosoftアカウントのメールアドレスやパスワードを入力しない
- メールに返信しない(本文中にも「返信してもサポートを受けることはできません」と記載がありますが、これ自体が正規メールを模倣した文言です)
すぐに行うべきこと
- メールを削除してください。 迷惑メールとして報告してから削除することで、同種のメールのフィルタリング精度向上に貢献できます
- 万が一リンクをクリックしてしまった場合:
- 認証情報を入力していなければ、ブラウザを閉じてキャッシュを削除してください
- 認証情報を入力してしまった場合は、直ちにMicrosoftの正規サイト(ブラウザのアドレスバーに直接 account[.]microsoft[.]com と入力)からパスワードを変更し、多要素認証(MFA)を有効にしてください
- 同じパスワードを使用している他のサービスがあれば、それらのパスワードも変更してください
- Microsoftアカウントの「最近のアクティビティ」を確認してください。 ただし、必ずブラウザのアドレスバーに直接URLを入力するか、ブックマークからアクセスしてください。このフィッシングメール内のリンクは使用しないでください
このフィッシングメールの見分け方
本件のように巧妙に作られたフィッシングメールを見分けるために、以下のポイントを確認してください:
- 差出人アドレスを確認する: Microsoftのセキュリティ通知が、自分自身のメールアドレスや自社ドメインから届くことはありません。差出人が自分のアドレスになっている場合は、自己送信偽装の可能性が高い
- リンク先URLを確認する: リンクにカーソルを合わせ(クリックせずに)、表示されるURLを確認してください。本件では
megotoyoli[.]z1[.]web[.]core[.]windows[.]netというURLであり、「windows[.]net」が含まれていても、これはAzureのストレージサービスであり、Microsoftアカウントの管理ページではありません - 緊急性を煽る文言に注意する: 「直ちに」「不正アクセスのリスク」「アクセスを制限しています」といった表現で冷静な判断を妨げようとしています
- メール内のリンクを使わない習慣をつける: セキュリティに関する通知を受け取った場合、メール内のリンクではなく、ブラウザからサービスの公式サイトに直接アクセスして状況を確認してください
組織の管理者向け対策
- DMARC ポリシーの導入・強化: 自組織のドメインに対してDMARCポリシー(p=quarantine または p=reject)を設定することで、自組織ドメインを詐称したメールの配信を抑制できます。今回の「自己送信偽装」のような攻撃への有効な対策となります
- 従業員への注意喚起: Azure Static Website(core[.]windows[.]net)を悪用するフィッシングは、URLに「windows[.]net」が含まれるため正規サイトと誤認しやすい手口です。「windows[.]net が含まれていても安全とは限らない」ことを周知してください
- メールゲートウェイでの対策: 自組織ドメインから送信されたメールであるにもかかわらず、外部IPから着信する場合にフラグを立てるルールの追加を検討してください