| 確認日 | 2026年6月10日 |
|---|---|
| 分類 | フィッシング詐欺(確定) |
| 差出人 | Windows IT Support <no-reply[@]microsoft[.]com> |
| 件名 | 【重要】Windowsアカウントのパスワード有効期限に関するお知らせ |
| ターゲット | 企業・組織の従業員 |
| 手口 | 社内情報システム部を装い、パスワード期限切れの緊急性を煽ってAzure上のフィッシングサイトへ誘導 |
2026年6月10日、企業の情報システム部を装ったフィッシングメールが確認されました。差出人アドレスにmicrosoft[.]comドメインを詐称していますが、メール認証(SPF・DMARC)がいずれも失敗しており、送信元IPアドレスはアフガニスタンに所在しています。誘導先URLにはMicrosoft Azureのストレージサービスが悪用されており、windows[.]netドメイン配下のURLで正規サービスを装っています。これらの複合的証拠からフィッシング詐欺であることが確定しています。
フィッシングメール本文(全文引用)
見出し
以下は、実際に配信されたフィッシングメールの全文です。このメールを受信した場合、本文中のリンクは絶対にクリックしないでください。
社員各位
お疲れ様です。情報システム部です。
社内のセキュリティポリシーおよびWindowsドメイン(Active Directory)の定期更新に伴い、お客様のログインパスワードの有効期限が残り24時間で切れます。
期限が切れた場合, Windowsへのサインイン、およびMicrosoft 365(Outlook、Teams等)、社内ネットワークへのアクセスができなくなります。
業務への支障を防ぐため、以下のリンクより速やかにパスワードの更新・同期手続きを行ってください。
▼ Windowsアカウントのパスワード更新はこちら
hxxps://bibulanodo[.]z38[.]web[.]core[.]windows[.]net/※本メールはシステムより自動配信されています。
※不審な点がある場合や、手動での更新方法を確認したい場合は、社内ポータルの「Windowsアカウント管理マニュアル(FAQ ID: WIN-202)」をご参照ください。————————————————–
情報システム部 インフラ管理課
Windows System Administration Team
————————————————–
このメールの手口と技術的分析
1. メール認証結果(SPF / DKIM / DMARC)
| 認証方式 | 結果 | 意味 |
|---|---|---|
| SPF | fail(失敗) | 送信元IPがmicrosoft[.]comのSPFレコードで許可されていない |
| DKIM | 不明(検証結果が付与されていない) | DKIM署名の検証結果がメールヘッダーに記録されていない状態 |
| DMARC | fail(失敗) | SPF・DKIMのいずれもDMARCアライメントを満たしていない |
SPF failの意味
観測事実:差出人ドメインmicrosoft[.]comに対するSPF認証がfail(失敗)しています。送信元IPは125[.]213[.]198[.]58です。
示唆:SPF(Sender Policy Framework)は、ドメイン所有者が「このIPアドレスからの送信を許可する」と宣言する仕組みです。failは、送信元IP125[.]213[.]198[.]58がmicrosoft[.]comの正規送信サーバーとして登録されていないことを意味します。
総合判断:DMARC failと合わせ、このメールはMicrosoftの正規メールインフラから送信されたものではありません。
DMARC failの意味
観測事実:DMARC(Domain-based Message Authentication, Reporting and Conformance)認証がfailしています。
示唆:DMARCは、SPFまたはDKIMの少なくとも一方がパスし、かつドメインの整合性(アライメント)を満たす必要があります。DMARCの失敗は、ドメイン所有者であるMicrosoftが定めたポリシーに基づき、このメールが正当な送信者からのものではないと判定されたことを示します。
総合判断:一般に、microsoft[.]comのような大手ドメインはDMARCポリシーを厳格に設定していることが知られています。SPF fail + DMARC failの組み合わせは、このメールの差出人アドレスが詐称されている強い根拠となります。
2. 送信元インフラの調査
| 項目 | 値 |
|---|---|
| 送信元IP | 125[.]213[.]198[.]58 |
| 所在国 | AF(アフガニスタン) |
| 運営組織 | IRT-IOGLOBAL-AF |
| CIDR | 125[.]213[.]192[.]0/19 |
| Dateヘッダーのタイムゾーン | +0430(参考値) |
観測事実:送信元IPアドレス125[.]213[.]198[.]58は、RDAP(Registration Data Access Protocol)の照会結果によりアフガニスタン(AF)に所在し、IRT-IOGLOBAL-AFが運営するネットワーク(125[.]213[.]192[.]0/19)に属しています。
示唆:一般に、Microsoftの正規メールインフラは米国・アイルランド・日本等の主要データセンターから送信されることが知られています。アフガニスタンのネットワークからの送信は、Microsoftの正規配信経路とは大きく異なります。
補足:メールのDateヘッダーに記録されたタイムゾーン「+0430」はアフガニスタン時間(AFT)に該当し、送信元IPの所在国と矛盾しない値です。ただし、Dateヘッダーは送信者側が任意に設定可能なフィールドであるため、送信元所在地の根拠としては採用できません。送信元がアフガニスタンのネットワークに所在するという判断は、あくまでRDAP照会によるIPジオロケーション情報に基づくものです。
3. HTMLメールの構造
観測事実:このメールはHTML形式のみ(738文字)で構成されており、テキスト形式(text/plain)の本文は含まれていません。
示唆:一般的に、正規の企業メールやシステム通知メールは、HTML版とテキスト版の両方を含むマルチパート形式で送信されることが一般的です。HTML版のみの構成は、フィッシングメールに多く見られる特徴の一つです。
HTML本文内で観測されたリンクは1件です。
| 表示文言 | リンク先URL | 直前の文脈 |
|---|---|---|
hxxps://bibulanodo[.]z38[.]web[.]core[.]windows[.]net/ |
hxxps://bibulanodo[.]z38[.]web[.]core[.]windows[.]net/ |
「業務への支障を防ぐため、以下のリンクより速やかにパスワードの更新・同期手続きを行ってください。 ▼ Windowsアカウントのパスワード更新はこちら」 |
このリンクは「パスワードの更新・同期手続き」として、「残り24時間」という期限を設定して緊急性を煽り、クリックを誘導するCTA(Call To Action)として機能しています。
4. フィッシングURLの分析 — Azureストレージの悪用
本件で最も注目すべき点は、フィッシングサイトのURLに Microsoft Azure のインフラが悪用されていることです。
URLの構造
|
1 2 3 4 |
hxxps://bibulanodo[.]z38[.]web[.]core[.]windows[.]net/ ^^^^^^^^^^ ^^^ ^^^ ^^^^ ^^^^^^^^^^^^^^^^^^^ ストレージ ゾーン Static Azure Microsoftの アカウント名 番号 Website 基盤 正規ドメイン |
観測事実:フィッシングURLはhxxps://bibulanodo[.]z38[.]web[.]core[.]windows[.]net/です。このURL形式(<アカウント名>.z<番号>.web[.]core[.]windows[.]net)は、Azure Blob StorageのStatic Website(静的Webサイトホスティング)機能で使用される標準的なURL形式です。
示唆:windows[.]netはMicrosoftが所有・管理する正規ドメインです。しかし、Azureのストレージアカウントは誰でも作成可能であり、Static Websiteホスティングを有効にするとweb[.]core[.]windows[.]net配下のサブドメインが自動的に割り当てられます。つまり、URL内にwindows[.]netが含まれていても、そこにホスティングされたコンテンツがMicrosoftの公式なものであることは一切保証されません。
なぜ危険か:この手法は以下の理由から非常に巧妙です。
- URLに
windows[.]netという正規ドメインが含まれるため、一見すると正規のMicrosoftサービスに見える - SSL証明書もMicrosoft(Azure)が発行した正規のものが使用されるため、ブラウザのアドレスバーに鍵アイコンが表示される
- URLフィルタリングやセキュリティソフトが
windows[.]netドメインを信頼済みとして通過させてしまう場合がある
5. 誘導先サイトの調査
| 項目 | 値 |
|---|---|
| URL | hxxps://bibulanodo[.]z38[.]web[.]core[.]windows[.]net/ |
| 状態 | 稼働中(2026年6月10日時点) |
| ページタイトル | 依頼 #36354 |
| サーバー | Windows-Azure-Web/1.0 Microsoft-HTTPAPI/2.0 |
| ソースサイズ | 28,300 bytes |
観測事実:誘導先サイトは調査時点で稼働中であり、ページタイトルは「依頼 #36354」と表示されています。サーバーヘッダーからAzure上でホスティングされていることが確認されています。
示唆:正規のMicrosoftパスワード変更ページであれば、「パスワードの変更」「アカウントのセキュリティ」等の明確なタイトルが表示されるのが一般的です。「依頼 #36354」というチケット番号風のタイトルは、パスワード更新ページとして不自然であり、認証情報の窃取を目的としたフィッシングページであることを強く示唆します。
フィッシング判定の総合根拠
以下の複合的な証拠から、本メールはフィッシング詐欺であると確定しています。単一の根拠ではなく、複数の独立した証拠が同一の結論を指し示しています。
| # | 証拠 | 確度 | 内容 |
|---|---|---|---|
| 1 | SPF認証失敗 | 確認済み | 送信元IPがmicrosoft[.]comの正規送信サーバーとして登録されていない |
| 2 | DMARC認証失敗 | 確認済み | ドメイン所有者のポリシーに基づき、正当な送信者ではないと判定 |
| 3 | 送信元IP所在国 | 確認済み | アフガニスタン(AF)のネットワークから送信(RDAP照会に基づく)。Microsoftの正規インフラとは不整合 |
| 4 | Azureストレージ悪用 | 確認済み | Azure Blob StorageのStatic Websiteを使用し、windows[.]net配下に偽サイトを設置 |
| 5 | 誘導先ページタイトルの不整合 | 確認済み | パスワード変更ページにもかかわらず「依頼 #36354」というタイトル |
このメールを見分ける5つのポイント
- メール認証結果を確認する:メールヘッダーを確認し、SPFやDMARCが「fail」であれば、差出人アドレスが詐称されています。多くのメールクライアントでは、ヘッダー詳細表示やソース表示で確認できます。
- 「残り24時間」等の緊急性を煽る表現に注意:「期限が切れるとアクセスできなくなる」と不安を煽り、冷静な判断を妨げるのはフィッシングの常套手段です。実際のパスワード有効期限通知は、通常もっと余裕を持った期間で複数回通知されます。
windows[.]netのURLでも安心しない:Azure Blob StorageのStatic Websiteは誰でも作成でき、<任意の名前>.z<番号>.web[.]core[.]windows[.]net形式のURLが割り当てられます。windows[.]netが含まれているだけでは、コンテンツの正当性は保証されません。- パスワード変更は社内の正規手順で行う:Active Directoryのパスワード変更は、Windowsのロック画面(Ctrl+Alt+Delete)や社内ポータル経由で行うのが正規の手順です。メール内のリンクからパスワードを変更することは、正規の運用ではまず求められません。
- 情報システム部に直接確認する:不審なメールを受け取った場合は、メール内の連絡先ではなく、社内の電話帳やポータルサイトから情報システム部の連絡先を調べて直接確認してください。
IOC(侵害指標)一覧
セキュリティ製品への登録やブロックリスト作成にご活用ください。
| 種別 | 値 | 備考 |
|---|---|---|
| 件名 | 【重要】Windowsアカウントのパスワード有効期限に関するお知らせ | 完全一致 |
| 差出人 | no-reply[@]microsoft[.]com |
詐称アドレス |
| 送信元IP | 125[.]213[.]198[.]58 |
AF / IRT-IOGLOBAL-AF / 125[.]213[.]192[.]0/19 |
| フィッシングURL | hxxps://bibulanodo[.]z38[.]web[.]core[.]windows[.]net/ |
稼働中(2026-06-10時点) |
| ホスティング基盤 | Azure Blob Storage Static Website | windows[.]net正規ドメイン配下 |
| メールSHA256 | e41b766219641b22249fcf48ac2f9e390769ce7e8b0d91023d5fbb02de0bfe5e |
EMLファイルのハッシュ |
PhishTank登録状況
hxxps://bibulanodo[.]z38[.]web[.]core[.]windows[.]net/:本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
このメールを受け取った場合の対処法
リンクをクリックしていない場合
- メールを削除またはスパム報告してください
- 同僚にも同様のメールが届いていないか確認し、注意喚起を行ってください
- 社内の情報システム部門にフィッシングメールの受信を報告してください
リンクをクリックしたが、情報は入力していない場合
- ブラウザのキャッシュとCookieを削除してください
- 念のため、ウイルス対策ソフトでフルスキャンを実施してください
- 情報システム部門に報告してください
パスワードや認証情報を入力してしまった場合
- 即座にWindowsパスワードを変更してください。ロック画面で Ctrl+Alt+Delete → 「パスワードの変更」から、または情報システム部に依頼してActive Directoryパスワードをリセットしてください
- 同じパスワードを使用している他のサービス(個人のメール、SNS等)があれば、すべてのパスワードを変更してください
- Microsoft 365のアカウントで不審なサインイン履歴がないか確認してください
- 多要素認証(MFA)が未設定であれば、この機会に有効化してください
- 情報システム部門に直ちに報告し、アカウントの不正利用がないか調査を依頼してください
組織のセキュリティ担当者向け
- メールゲートウェイでのSPF/DMARC検証を強化し、fail時の処理ポリシー(quarantine/reject)を見直してください
- Azure Static Website形式のURL(
*.web[.]core[.]windows[.]net)をプロキシやURLフィルタリングの監視対象に追加することを検討してください - 本記事のIOC情報をSIEMやEDRのブロックリストに登録してください