【要ログイン】ETC利用照会サービス登録継続のお願い（期限：4月15日）｜フィッシングメール注意喚起

注意: 本記事は自動解析で収集できた証拠が限定的です。追加の技術検証が推奨されます。

公開日：2026年4月1日　|　カテゴリ：フィッシング詐欺・注意喚起　|　対象ブランド：ETC利用照会サービス

概要

見出し

「ETC利用照会サービス」を装ったフィッシングメールが確認されました。
件名は 「【要ログイン】ETC利用照会サービス登録継続のお願い（期限：4月15日）」 で、
「120日間未ログインによるID自動解約」という期限を設けてログインを促す内容です。
本メールは複合的な証拠によりフィッシング詐欺と確定しています。
受信した場合はリンクを開かず直ちに削除してください。

⚠ 注意： 本記事で紹介するURLやドメインは調査・研究目的のみに掲載しています。アクセスしないでください。
ドメイン・IPアドレスはすべてIOC難読化表記（例：example[.]com）を使用しています。

メール概要

項目	内容
件名	【要ログイン】ETC利用照会サービス登録継続のお願い（期限：4月15日）
差出人（表示名）	ETC利用照会サービス <noreply[@]mail28[.]qzsiemens[.]com>
Return-Path	<noreply-info=ccsi[.]jp[@]mail28[.]qzsiemens[.]com>
受信日時	2026年4月1日（水）18:24:25 JST
メールSHA256	`e1b1924eaeed191ad5866fa28cae5090943ffd9081f4c13dc89e431485574402`
文字コード	UTF-8

メール本文（全文）

以下は受信したメールの本文全文です。読者が件名や文面で検索してこの記事にたどり着けるよう全文を掲載します。

ETC利用照会サービスお客様各位

平素よりETC利用照会サービスをご利用いただき、誠にありがとうございます。

━━━━━━━━━━━━━━━━━━━━
■ 登録継続のご確認について
━━━━━━━━━━━━━━━━━━━━

お客様のユーザーIDにつきまして、長期間ログインがない状態が続いております。

2026年4月15日までにログインいただけない場合、ユーザーIDの登録が自動的に解約（登録取消し）となります。

※本サービスは、120日間ご利用がない場合に自動的に登録取消しとなりますが、その前にご確認のお知らせを送信しております。

━━━━━━━━━━━━━━━━━━━━
■ 登録継続方法
━━━━━━━━━━━━━━━━━━━━

登録を継続するには、下記公式サイトよりログインをお願いいたします。

▼ ETC利用照会サービスログイン
hxxps://www[.]etc-meisai[.]jp/update/

※ログイン後、登録は自動的に継続されます
※パスワードをお忘れの場合は、ログインページの「パスワードを忘れた方」より再設定いただけます

━━━━━━━━━━━━━━━━━━━━
■ ご注意事項
━━━━━━━━━━━━━━━━━━━━

　登録が解約された場合、再度ご利用いただくには新規登録が必要です
　本メールは送信専用のため、ご返信いただいてもお答えできません
　ご不明な点は、ETC利用照会サービス事務局までお問い合わせください

━━━━━━━━━━━━━━━━━━━━

ETC利用照会サービス事務局
hxxps://www[.]etc-meisai[.]jp/

kMkgKhbW

末尾の「kMkgKhbW」はランダムな文字列です。スパムフィルタを回避するためのユニーク識別子である可能性があります（確定ではありません）。

フィッシング判定根拠（複合証拠）

本メールは単一の根拠ではなく、以下の複数の証拠を組み合わせてフィッシング詐欺と確定しています。

根拠①：差出人ドメインとブランドの不一致（確認済み）

観測事実：メールの「差出人」表示名は「ETC利用照会サービス」ですが、
実際のメールアドレスは noreply[@]mail28[.]qzsiemens[.]com です。
ETC利用照会サービスの公式サイトは一般に www[.]etc-meisai[.]jp として知られており、
qzsiemens[.]com はこのサービスとは無関係のドメインです。

示唆：表示名だけを正規ブランドに見せかけ、実際の送信元を隠蔽する「表示名詐称（Display Name Spoofing）」の手口です。
メールクライアントによっては表示名しか見えないため、気づきにくい偽装です。

補足（Return-Pathについて）：Return-Pathは noreply-info=ccsi[.]jp[@]mail28[.]qzsiemens[.]com です。
「=ccsi[.]jp」部分はVERP（Variable Envelope Return Path）形式に見えますが、
正規の配信でもバウンス管理のためにVERPを使うことは一般的です。
この形式自体が即フィッシングの証拠にはなりませんが、送信ドメインが qzsiemens[.]com である点は
ブランド詐称の補助指標となります。

根拠②：メール認証の評価（確認済み）

認証	結果	意味
SPF	pass（ただし限定的）	観測事実：`mail28[.]qzsiemens[.]com` からの送信がSPF認証を通過しています。示唆：これは「`qzsiemens[.]com` のSPFレコードでこのサーバーが許可されている」ことを意味するに過ぎず、 ETC利用照会サービス（`etc-meisai[.]jp`）が送信を承認していることを意味しません。攻撃者が自分でドメインを取得・設定すればSPF passを得ることは容易です。
DKIM	pass（ただし限定的）	観測事実：DKIM署名が検証されています。示唆：署名ドメインは `qzsiemens[.]com` であり、 ETC利用照会サービスのドメインとは異なります。 DKIM passは「送信者が主張するドメインと一致する署名がある」ことを示しますが、そのドメイン自体が攻撃者管理下のものであれば、なりすましの証拠にはなりません。
DMARC	検証結果が付与されていない	観測事実：DMARCの検証結果が付与されていません。示唆：DMARCはSPFまたはDKIMの署名ドメインがFromヘッダのドメインと一致するか検証します。本メールではFromドメイン（`qzsiemens[.]com`）とブランド（`etc-meisai[.]jp`）が一致しないため、 DMARC検証が適切に機能したとしてもドメイン詐称を完全には防げない状況です。

重要：SPFとDKIMがpassであっても、フィッシングでないことを意味しません。
攻撃者が自分のドメインで両方をpassさせた上で、表示名だけを正規ブランドに偽装することは技術的に容易です。

根拠③：不審な誘導URLの存在（確認済み）

観測事実：メール本文に記載されたリンク先URL（hxxps://www[.]etc-meisai[.]jp/update/）は
解析時点で停止・エラー状態です。また、メール内には直接記載されていないものの、
解析により hxxps://ninjalucky[.]com/bBhfZ0lYez という短縮URL形式のリンクが検出されており、
これは2ホップのリダイレクト（hxxps://www[.]a[.]com）を経て停止・エラー状態となっています。

示唆：複数の誘導経路が設定されていることは、フィッシングサイトが一方停止した場合の冗長化、
または段階的な誘導（Short URL → 中間リダイレクター → 最終フィッシングサイト）による
セキュリティスキャン回避の手口として知られています。

総合判断

上記の複合根拠—①正規ブランドを名乗りながら無関係ドメインから送信、②メール認証がブランドドメインではなく攻撃者ドメインに紐付く、
③不審な複数の誘導URLと短縮URLによるリダイレクト構造—を踏まえ、本メールをフィッシング詐欺と確定します。

技術的解析

送信元IPアドレスの解析

項目	内容
送信元IP	`35[.]243[.]109[.]17`
備考	本IPアドレスの詳細なRDAP情報については別途公開予定。一般的に `35[.]0[.]0[.]0/8` のレンジはクラウドサービスに割り当てられる範囲として知られている（確認が必要）。

正規のETC利用照会サービスが使用しているメール送信インフラと異なるIPアドレス・ドメインからの送信であることが、
なりすましを示す補助指標となります。

送信ドメイン「qzsiemens[.]com」について

このフィッシングメールの送信に使われたドメイン qzsiemens[.]com は、
ETC利用照会サービス・国土交通省・NEXCO各社のいずれとも無関係と判断されます。
ドメイン名に「siemens」を含む点は、別の有名ブランドを連想させる混乱誘導の可能性も否定できません（未確定）。

フィッシングインフラ：ninjalucky[.]com

観測事実：解析で検出された hxxps://ninjalucky[.]com/bBhfZ0lYez は
URL短縮・リダイレクトサービスの形式を持ち、2ホップのリダイレクトを経て最終的には hxxps://www[.]a[.]com へ誘導される構造でした（解析時点では停止・エラー）。

示唆：このような多段リダイレクト構造は、以下の目的で使用されることが一般的に知られています。

メールセキュリティ製品によるURL評価の回避（短縮URLは初段スキャン時点では無害に見える）
最終誘導先をいつでも差し替え可能にする（攻撃インフラの柔軟な運用）
被害者のアクセスを追跡・分析するためのトラッキング

手口の解説：緊急性を煽る心理的圧力

本メールは「2026年4月15日までにログインしないとIDが自動解約される」という期限を設けています。
これはフィッシング詐欺に共通する手口で、受信者に冷静な判断をさせないよう焦りを引き起こす
「緊急性の演出」です。正規のサービスであっても、このような期限付き警告メールを受け取った際は、
メール内のリンクを使わず、ブラウザのブックマークや検索エンジンから公式サイトへ直接アクセスして確認することを推奨します。

IOC（侵害指標）一覧

メールヘッダ

種別	値
SHA256（メール）	`e1b1924eaeed191ad5866fa28cae5090943ffd9081f4c13dc89e431485574402`
差出人アドレス	`noreply[@]mail28[.]qzsiemens[.]com`
Return-Path	`noreply-info=ccsi[.]jp[@]mail28[.]qzsiemens[.]com`
smtp[.]mailfrom	`noreply-info=ccsi[.]jp[@]mail28[.]qzsiemens[.]com`
送信元IP	`35[.]243[.]109[.]17`

ドメイン・URL

種別	値	状態
送信ドメイン	`mail28[.]qzsiemens[.]com`	稼働中（送信サーバー）
誘導URL（解析検出）	`hxxps://ninjalucky[.]com/bBhfZ0lYez`	停止/エラー（2ホップリダイレクト）
リダイレクト先	`hxxps://www[.]a[.]com`	停止/エラー
不審ドメイン	`ninjalucky[.]com`	要注意

PhishTank登録状況

URL	登録状況
`hxxps://ninjalucky[.]com/bBhfZ0lYez`	本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。
`hxxps://www[.]etc-meisai[.]jp/update/`	本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

対処方法

このメールを受信した場合

リンクをクリックしない：
メール内の本文中・メタデータ内のいかなるURLもクリックしないでください。
短縮URL（ninjalucky[.]com形式）は特に危険です。最終的な誘導先がいつでも変更可能なためです。
「ETC利用照会サービス」への直接アクセスで確認：
メール記載のURLではなく、ブラウザのアドレスバーに公式URLを直接入力するか、
検索エンジンで「ETC利用照会サービス」と検索して公式サイトを確認してください。
ログイン状態やID有効期限はそこで確認できます。
ID・パスワードを入力してしまった場合：
万一、誘導先でETC利用照会サービスのID・パスワードを入力してしまった場合は、
直ちに公式サイトからパスワードを変更してください。
同じパスワードを他のサービスでも使用している場合は、それらのサービスでも変更が必要です。
クレジットカード情報等の金融情報を入力した場合は、カード会社へ速やかに連絡してください。
メールの保存と報告：
このメールを迷惑メールとして報告するとともに、
フィッシング対策協議会（info[@]antiphishing[.]jp）への情報提供もご検討ください。

「ETC利用照会サービス」公式の確認方法

ETC利用照会サービスの公式サイトは一般に www[.]etc-meisai[.]jp として知られています（公式サイトで確認できます）。
メールのFrom表示や本文のURLだけを根拠に正規メールと判断せず、
必ず送信元メールアドレスのドメイン部分（@ 以降）を確認する習慣をつけてください。
正規サービスからのメールであれば、そのサービスの公式ドメインから送信されているはずです。

迷惑メールフィルタを過信しない

本メールはSPF・DKIMがいずれもpassとなっています。これは攻撃者が自前のドメインで認証設定を適切に行ったためです。
この事実は、「認証が通っているから安全」という判断が誤りであることを示しています。
メールセキュリティソリューションでも検出できなかった場合の最後の防衛線は利用者自身の確認です。

技術解説：SPF / DKIM / DMARC とは

SPF（Sender Policy Framework）: 特定のドメインのメールを送信してよいIPアドレスをDNSに登録する仕組みです。
本メールではSPF passですが、これは qzsiemens[.]com のSPFレコードで
35[.]243[.]109[.]17 が許可されていることを意味するに過ぎません。
ETC利用照会サービス（etc-meisai[.]jp）がこのサーバーを許可していることを意味しません。
DKIM（DomainKeys Identified Mail）: 送信ドメインが電子署名でメール内容を保証する仕組みです。
署名ドメインが攻撃者管理下のドメイン（qzsiemens[.]com）である場合、
DKIM passはブランドの正当性を保証しません。
DMARC（Domain-based Message Authentication, Reporting and Conformance）: SPF・DKIMの結果とFromヘッダのドメインを突き合わせ、一致しない場合にどう処理するかを指定する仕組みです。
本メールではDMARCの検証結果が付与されていません。
仮にDMARCが機能していても、表示名（Display Name）の詐称は防げません。