【注意喚起】「サブスクリプションの更新について」— Apple Fitness+ を騙るフィッシングメール（2026年4月確認）

概要

2026年4月3日、Apple Inc. を詐称したフィッシングメールが確認されました。件名「サブスクリプションの更新について」として届き、Apple Fitness+ の試用期間終了を装い、リンクのクリックを誘導する手口です。本記事は解析結果に基づき、手口・インフラ・IOCを公開し、被害防止を目的として公開します。

フィッシング判定の根拠

本メールをフィッシングと確定した根拠は、単一の技術的指標ではなく、以下の複合的証拠の組み合わせです。

1. 送信元ドメインと Apple 公式インフラの乖離（確認済み）

観測事実： 差出人アドレスの表示名は「Apple」ですが、実際のメールアドレスは noreply[@]mail30[.]runyecn[.]com であり、Apple が一般に公式送信元として使用することが知られている apple[.]com ドメインとは完全に異なります。

示唆： 表示名だけを偽装し、実際の送信ドメインを隠す古典的なブランド詐称手法です。メールクライアントの設定によっては表示名しか見えないため、受信者が正規メールと誤認するリスクがあります。

総合判断： Apple の公式サイト（apple[.]com）で確認できる正規の送信ドメインと一致しない送信元ドメイン・IPという事実は、Appleになりすました第三者による送信であることを強く示唆します。

2. 含まれるURLがPhishTankにより「フィッシング確認済み」（確認済み）

観測事実： 本文中に埋め込まれた URL hxxps://nbjtyy[.]com/oeAiIQMOLJ は、フィッシング情報共有データベース「PhishTank」にて、フィッシングURLとして検証・確認済みです（phish_id: 9382598）。

示唆： PhishTank は第三者による検証プロセスを経て登録されるデータベースです。検証済みステータスは、このURLが実際にフィッシング行為に使用されていることを独立した第三者機関が確認したことを意味します。

総合判断： 送信元の詐称に加え、埋め込みURLが第三者によってフィッシングURLと確認されていることは、複合根拠としてフィッシング確定の決定的証拠です。

3. 海外送信元インフラ（確認済み）

観測事実： メールを送信したサーバーの IP アドレスは 111[.]82[.]198[.]104 であり、RDAP（Internet レジストリの登録情報）によると所在国は 台湾（TW）、CIDR は 111[.]82[.]0[.]0/16 です。

示唆： Apple Japan からの公式通知が、台湾の IPアドレスから送信されることは一般的ではありません。

4. メール認証結果の評価

補足： SPF・DKIM が pass であっても、それは runyecn[.]com というApple非公式ドメインにおいて正しく設定されているという意味に過ぎず、Apple 公式の送信であることを証明するものではありません。フィッシング攻撃者が自前のドメインに SPF・DKIM を設定することは技術的に容易です。

フィッシングURLの解析

埋め込みURL

メール本文内に以下のURLが含まれていました：

リダイレクト追跡

このURLは2ホップのリダイレクトを経由し、最終的にエラー状態となっていることが確認されています。解析時点では誘導先が停止・エラー状態でしたが、フィッシングサイト自体はすでに使用実績があり、PhishTankによる確認済みフィッシングURLとして登録されています。

フィッシングドメイン登録情報

ドメイン年齢について： 337日という年齢は、フィッシングドメインとしては比較的長期間維持されているドメインです。一般的にフィッシングドメインは短命のことが多いですが、このケースでは発覚を避けつつ複数の攻撃キャンペーンに使い回されていた可能性があります。

ネームサーバーについて： alidns[.]com は Alibaba Cloud が提供する DNS サービスです。クラウド DNS サービス自体は正規のサービスですが、低コストでグローバルな DNS 管理ができるため、攻撃インフラに悪用されるケースがあります。

メール本文（全文引用）

実際に受信されたメール本文を以下に全文引用します。件名でこの記事にたどり着いた方は、以下の文面と照合してください。

Apple Fitness+ サブスクリプション更新のご案内
━━━━━━━━━━━━━━━━━━━━
お客様の Apple ID 宛て

日頃よりAppleサービスをご愛顧いただき、誠にありがとうございます。
お客様にご利用いただいております Apple Fitness+ 3ヶ月間のお試し体験 につきまして、2026年4月4日（土） をもちまして終了となります。
お試し期間終了後は、月額プランへの自動更新が行われる予定です。

━━━━━━━━━━━━━━━━━━━━
■ 現在ご契約中の内容
━━━━━━━━━━━━━━━━━━━━
　サービス名：Apple Fitness+
　体験終了日：2026年4月4日（土）
　自動更新後のプラン：月額メンバーシップ（自動更新）
　更新料金（税込）：980円/月
　お支払い方法：ご登録中の支払い方法が適用されます

━━━━━━━━━━━━━━━━━━━━
■ 自動更新を解除される場合
━━━━━━━━━━━━━━━━━━━━
自動更新をご希望されない場合は、2026年4月4日（土）の24時間前までに、下記リンクよりキャンセル手続きを完了してください。

▼ サブスクリプションを管理する
hxxps://www[.]apple[.]com/jp/subscriptions/
※ログイン後、「サブスクリプション」メニューからお手続きをお願いいたします

━━━━━━━━━━━━━━━━━━━━
■ ご確認いただきたい事項
━━━━━━━━━━━━━━━━━━━━
　自動更新をご希望の場合は、特に操作は必要ございません
　キャンセル手続き後も、4月4日までは通常どおりご利用いただけます
　ご不明な点がございましたら、Appleサポートまでお問い合わせください

━━━━━━━━━━━━━━━━━━━━
Apple Japan
[郵便番号] [住所]
六本木ヒルズ森タワー

本メールは、Apple Fitness+ のお試し期間終了が近いお客様にお送りしております。
購読管理ページでは、すべてのサブスクリプションの確認および管理が可能です。

Copyright © 2026 Apple Inc. All rights reserved.
hxxps://www[.]apple[.]com/

本文の巧妙な点

• 実在サービスを使った緊急性の演出： Apple Fitness+ は実在するサービスです。「翌日（4月4日）に自動更新される」という期限を設けることで、受信者に焦りを感じさせ、冷静な判断を妨げる典型的な手口です。
• 正規URLの混在： 本文中の「▼ サブスクリプションを管理する」リンクには、表示上は hxxps://www[.]apple[.]com/jp/subscriptions/ という正規ドメインが記されています。しかし、実際のリンク先が nbjtyy[.]com に設定されていた可能性があります（HTMLメールのリンクでは表示テキストとhref属性が異なる場合があります）。本文末尾には実際のフィッシングURL hxxps://nbjtyy[.]com/oeAiIQMOLJ が含まれていました。
• 住所・著作権表記の偽装： 「Apple Japan」「六本木ヒルズ森タワー」「Copyright © 2026 Apple Inc.」といった記述で正規メールに見せかけていますが、これらは誰でも本文に書き込める情報です。メールの正規性を証明するものではありません。
• 980円という具体的な金額： Apple Fitness+ の月額料金（税込）として現実的な金額を記載することで、実際の契約者に信憑性を感じさせます。

攻撃インフラの全体像

本フィッシングキャンペーンで使用されたインフラを整理します。

送信インフラ

• 送信メールサーバー: mail30[.]runyecn[.]com
• 送信元IP: 111[.]82[.]198[.]104（台湾・TW、CIDR: 111[.]82[.]0[.]0/16）
• From/Return-Pathドメイン: runyecn[.]com（Apple非公式、SPF・DKIM設定済み）

フィッシングサイトインフラ

• フィッシングURL: hxxps://nbjtyy[.]com/oeAiIQMOLJ
• ドメイン登録: Gname[.]com Pte. Ltd.（2025-05-01登録）
• DNS管理: Alibaba Cloud DNS（ns7[.]alidns[.]com、ns8[.]alidns[.]com）

送信インフラ（台湾IP）とフィッシングドメイン管理（Alibaba Cloud DNS）を組み合わせたアジア系クラウドインフラの活用が見られます。これらはいずれも正規のクラウドサービスが悪用されているケースです。

このメールを受け取った方への対処法

リンクをクリックした場合

1. Apple IDのパスワードを即時変更： Apple の公式サポートページ（直接ブラウザに appleid[.]apple[.]com と入力してアクセス）からパスワードを変更してください。メール内のリンクは絶対に使わないでください。
2. 二要素認証の確認： Apple ID の設定から、自分以外のデバイスが登録されていないか確認してください。
3. クレジットカード情報を入力した場合： カード会社に連絡し、不正利用の有無を確認の上、必要であればカードの停止・再発行を依頼してください。
4. Apple IDの支払い情報を確認： 公式の Apple ID 管理ページから、身に覚えのない支払い方法が追加されていないか確認してください。

リンクをクリックしていない場合

1. メールを削除し、迷惑メールとして報告してください。
2. Apple Fitness+ の契約状況は、メール内のリンクからではなく、公式サイト（appleid[.]apple[.]com をブラウザに直接入力）から確認してください。

正規のAppleメールとの見分け方

• Apple からの正規メールは、一般に @apple[.]com または @email[.]apple[.]com 等の Apple 公式ドメインから送信されると知られています。runyecn[.]com のような全く無関係のドメインから送信されることはありません。
• メールクライアントで「差出人」を詳細表示し、表示名（Apple）だけでなく実際のメールアドレスを確認する習慣をつけてください。
• Apple の公式サポートページでは、Apple からのメールの見分け方が公開されています。

IOC（侵害指標）一覧

PhishTank登録状況

フィッシングURL hxxps://nbjtyy[.]com/oeAiIQMOLJ は、PhishTank にてフィッシング確認済みとして登録されています。

• phish_id： 9382598
• 検証状態： 確認済み（verified）

技術解説：なぜSPF/DKIMがpassでもフィッシングなのか

本メールは SPF・DKIM ともに「pass」という結果が記録されています。これを見て「認証が通っているから安全では？」と思う方もいるかもしれません。しかし、この認証結果は安全性を意味しません。

SPF・DKIMが検証するのは「ドメインの一致」だけ

SPF は「このIPアドレスから runyecn[.]com を名乗って送信することが許可されているか」を確認します。DKIM は「このメールが runyecn[.]com の秘密鍵で署名されているか」を確認します。いずれも「runyecn[.]com は本当に Apple のドメインか？」は検証しません。

つまり、攻撃者は自前のドメイン runyecn[.]com を取得し、そのドメインの SPF レコードと DKIM 鍵を正しく設定するだけで、両方の認証を通過できます。これは技術的に難しいことではなく、フィッシングキャンペーンでは広く行われている手法です。

DMARCが「不明」の意味

DMARC は SPF・DKIM の結果を元に、送信ドメインのポリシーに従ってメールの扱いを決定する仕組みです。本メールでは DMARC の検証結果が付与されていない状態でした。これは受信メールサーバーによる DMARC ポリシーの適用が確認できないことを示します。

本来の防衛線としての DMARC

正規ブランドが DMARC ポリシーを厳格に設定（policy=reject）している場合、自前ドメインからの詐称メールが正規ドメインになりすますことを抑止できます。ただし、本メールのように送信ドメイン自体を別途詐称ドメイン（runyecn[.]com）に設定する手法では、DMARC の保護範囲外となります。

まとめ

本メールは以下の複合的根拠によりフィッシングと確定しています：

• 差出人ドメインが Apple 公式ドメインと一致しない（runyecn[.]com からの送信）
• 送信元 IP が台湾（111[.]82[.]198[.]104）であり、Apple Japan の正規インフラとは一致しない
• 埋め込まれた URL（hxxps://nbjtyy[.]com/oeAiIQMOLJ）が PhishTank にてフィッシング確認済み（phish_id: 9382598）
• フィッシングドメインが第三者レジストラ経由で取得されており、Apple とは無関係

「翌日に自動更新される」という焦りを誘う文面は、冷静な判断を奪うためのソーシャルエンジニアリングです。Apple からの通知に見えるメールを受け取っても、メール内のリンクは使わず、必ずブラウザに公式URLを直接入力してアクセスしてください。