【受付中】生活費増加世帯の簡易確認──総務省統計局をかたるフィッシングメールを確認

注意: 本記事は自動解析で収集できた証拠が限定的です。追加の技術検証が推奨されます。

2026年4月6日（月）、総務省統計局を騙ったフィッシングメールが出回っていることを確認しました。件名「【受付中】生活費増加世帯の簡易確認」として送付されており、正規の行政機関を装い、偽サイトへの誘導を試みるものです。本記事では、メール・インフラ・誘導先サイトの技術的証拠を示しながら、フィッシングと判断した根拠を解説します。

フィッシングメール本文のスクリーンショット — フィッシングメール本文のプレビュー（参考表示・メーラー環境の完全再現ではありません）

フィッシングサイトのスクリーンショット — 誘導先サイトのスクリーンショット（解析時点）

メール概要

件名	【受付中】生活費増加世帯の簡易確認
差出人表示名	総務省統計局
実際の送信アドレス	subaru[.]nova5b[@]rivercloud16[.]tiantianlecart[.]com
Return-Path	subaru[.]nova5b[@]rivercloud16[.]tiantianlecart[.]com
受信日時	2026年4月6日（月）07:28:54 +0900
メールSHA256	`2b4495ff758fa386439b047f17a3b53fa447f9af37b23b8754e272a87b867609`
Subject文字コード	UTF-8
なりすましブランド	総務省統計局（カテゴリ: 公的機関）
フィッシング判定	確定

メール認証の分析

SPF・DKIM・DMARC の結果と正しい読み方

認証項目	結果	認証対象ドメイン
SPF	pass	rivercloud16[.]tiantianlecart[.]com
DKIM	pass	rivercloud16[.]tiantianlecart[.]com
DMARC	pass	rivercloud16[.]tiantianlecart[.]com

SPF・DKIM・DMARCがすべて「pass」であることに注意が必要です。これらの認証は「メールの差出人として主張しているドメイン（rivercloud16[.]tiantianlecart[.]com）が正しくメールを送っているか」を検証するものであり、そのドメインが実在する政府機関かどうかを保証するものではありません。

つまり、攻撃者は自分が管理するドメイン（rivercloud16[.]tiantianlecart[.]com）について SPF・DKIM・DMARC を正しく設定した上で、メールの表示名だけを「総務省統計局」と詐称しているという構造です。認証が pass であることは、送信元が管理されたドメインから正規手順で送信されたことを示すに過ぎず、むしろ攻撃者がスパムフィルターを回避するために認証設定に力を入れた痕跡と見ることができます。

送信元ドメインと正規ドメインの乖離（確認済み）

総務省統計局の公式メールは、一般に stat[.]go[.]jp を含む政府ドメインから送付されることが公式サイト等で確認できます。今回の送信元ドメイン rivercloud16[.]tiantianlecart[.]com は、政府機関とは無関係のドメインです。表示名と実アドレスの乖離は、フィッシングにおける最も基本的かつ有効な偽装手法の一つです。

送信インフラの分析

送信元IPアドレス

IPアドレス	34[.]104[.]195[.]136
所属組織	Google LLC
CIDR	34[.]64[.]0[.]0/10

観測事実：送信元IPは Google LLC が管理するクラウドIPレンジ（34[.]64[.]0[.]0/10）に属しています。

示唆：Google Cloud Platform（GCP）上に構築された仮想マシンまたはメールリレーがメール送信に利用されている可能性を示唆します。クラウドプロバイダーのIPは信頼スコアが高いため、スパムフィルターをすり抜けやすいという性質があります。

補足：クラウドIPを悪用したフィッシングは一般的な手口であり、Google LLC が攻撃に加担しているわけではありません。

誘導先URLの分析

URLの構造

初期URL	hxxps://htedai[.]com/soumu
リダイレクト	2 hop → hxxps://htedai[.]com/soumu/
状態	稼働中（確認済み）
Webサーバー	nginx/1[.]28[.]2
ソースサイズ	1,552 bytes（非常に小さい）

URLのパス偽装

URLのパス部分に /soumu（総務省の略称に相当）が含まれています。一般ユーザーが URL のドメイン部分（htedai[.]com）ではなくパス部分に注目した場合、公的機関のサイトと誤認させる意図が読み取れます。正規の総務省関連サービスは soumu[.]go[.]jp 等の政府ドメインで提供されており、htedai[.]com とは無関係です。

誘導先ドメインの登録情報

ドメイン	htedai[.]com
レジストラ	Easy Street Domains, LLC
登録日	2025年4月26日
ドメイン年齢	346日（確認済み）
ネームサーバー	a5[.]share-dns[.]com, b5[.]share-dns[.]net

観測事実：htedai[.]com は2025年4月26日に登録された、ドメイン年齢346日のドメインです。

示唆：ドメイン年齢が1年未満であり、キャンペーン用途に新規取得されたドメインである可能性を示唆します。政府機関や長期運営のサービスが1年未満のドメインを利用することは一般的ではありません。

ネームサーバーについて：share-dns[.]com / share-dns[.]net を使用した共有 DNS ホスティングが利用されています。これはフィッシングキャンペーンで複数ドメインを効率的に管理するために使われる構成と一致します。

ページソースサイズの異常

hxxps://htedai[.]com/soumu/ のHTMLソースサイズは1,552バイトと極めて小さい値です。正規の行政サービスページは通常、ナビゲーション・フッター・アクセシビリティ対応・マークアップ等で数十KB以上になることが一般的です。このサイズはJavaScriptによるリダイレクト専用ページや、TDS（Traffic Direction System：アクセス元を識別して誘導先を切り替えるシステム）の入口ページと一致する特徴です。スクリーンショット取得ができなかった事実とも整合します。

メール本文（全文）

以下は受信したメールの本文全文です。検索エンジンからこのページへ到達した方が同一メールかどうか確認できるよう、原文のまま掲載します。

家計負担変化に関する簡易確認のご案内

総務省統計局

家計負担変化に関する簡易確認のご案内

生活費の上昇に関する感じ方は、世帯構成や支出項目によって大きく異なります。本確認では、最近の家計負担の変化に関する傾向を幅広く把握するため、生活実感ベースでの簡易調査を実施しております。

食費、日用品費、交通費、光熱費など、日常的な支出の変化について「以前より明らかに増えた」と感じる方は、ぜひ確認ページをご覧ください。

主な対象の目安

ここ半年〜1年で支出増加を感じている方

生活費全体で約10〜20％前後の負担増を体感している方

今後の家計見直しや支援情報に関心のある方

本確認は短時間で完了する構成となっており、詳細は遷移先ページにてご案内しております。

受付期限：2026年4月6日（月）まで

確認ページを開く

確認方式外部確認ページでの簡易登録

所要時間約30秒〜1分

主な利用目的傾向把握・参考資料整理

回答形式匿名形式

総務省統計局

確認方式	外部確認ページでの簡易登録
所要時間	約30秒〜1分
主な利用目的	傾向把握・参考資料整理
回答形式	匿名形式

本文の社会工学的手法の分析

生活費高騰への便乗：インフレや物価上昇は現実に多くの人が感じている問題であり、受信者の共感を引き出しやすいテーマです。「以前より明らかに増えた」という問いかけは、ほぼすべての受信者に当てはまるよう設計されています。
緊急性の演出：「受付期限：2026年4月6日（月）まで」と期限を設定し、メール受信日当日を締切にすることで焦りを煽り、冷静な判断を妨げています。
匿名・短時間の強調：「約30秒〜1分」「匿名形式」という記述で心理的ハードルを下げ、リンクのクリックを促しています。
公的機関の権威利用：総務省統計局という実在の公的機関名を使うことで、受信者に正当なアンケートと誤認させています。

フィッシング確定の総合根拠

本メールをフィッシングと確定した根拠は、以下の複数要素の複合判断によるものです。

表示名と送信ドメインの乖離（確認済み）：表示名「総務省統計局」に対し、実際の送信ドメインは rivercloud16[.]tiantianlecart[.]com という無関係のドメインです。メール認証（SPF/DKIM/DMARC）は rivercloud16[.]tiantianlecart[.]com について正常に機能しているに過ぎず、なりすましを否定するものではありません。
誘導先が政府ドメイン外（確認済み）：メール本文内のリンクは hxxps://htedai[.]com/soumu/ に誘導しており、総務省・統計局が一般に使用する政府ドメイン（go[.]jp）とは一切関係がありません。
新規登録ドメインの使用（確認済み）：htedai[.]com はドメイン年齢346日であり、長期運営の公的サービスには使用されない短命ドメインです。
ページソースの異常な小ささ（確認済み）：誘導先ページのHTMLソースが1,552バイトであることは、正規の行政サービスページの特徴と一致せず、リダイレクト専用またはTDSシステムとしての機能を示唆します。
締切の誘導設計（確認済み）：メール受信当日を締切に設定することで、受信者が冷静に確認する時間を奪う意図が読み取れます。

これらの証拠を総合し、本メールは総務省統計局をかたったフィッシングメールと確定判断しました。

IOC（侵害指標）一覧

メール関連

種別	値
メールSHA256	`2b4495ff758fa386439b047f17a3b53fa447f9af37b23b8754e272a87b867609`
送信メールアドレス	subaru[.]nova5b[@]rivercloud16[.]tiantianlecart[.]com
Return-Path	subaru[.]nova5b[@]rivercloud16[.]tiantianlecart[.]com
送信ドメイン	rivercloud16[.]tiantianlecart[.]com
送信元IP	34[.]104[.]195[.]136
送信元IP CIDR	34[.]64[.]0[.]0/10
送信元IP組織	Google LLC

誘導先・インフラ関連

種別	値
フィッシングURL	hxxps://htedai[.]com/soumu/
フィッシングドメイン	htedai[.]com
ドメイン登録日	2025-04-26
レジストラ	Easy Street Domains, LLC
ネームサーバー1	a5[.]share-dns[.]com
ネームサーバー2	b5[.]share-dns[.]net
Webサーバー	nginx/1[.]28[.]2

PhishTank登録状況

本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

対処方法

このメールを受け取った場合

リンクを絶対にクリックしない：hxxps://htedai[.]com/soumu/ はフィッシングサイトと確定しています。すでにクリックした場合は、次のステップへ進んでください。
個人情報・認証情報を入力しない：誘導先ページで氏名・住所・マイナンバー・金融口座・パスワード等の入力を促された場合は、入力せず即座に閉じてください。
既に入力してしまった場合：入力した情報の種類に応じて、該当する機関（金融機関・マイナンバー担当窓口など）に速やかに連絡してください。パスワードを入力した場合は、同じパスワードを使い回しているすべてのサービスで変更してください。
総務省統計局への確認：件名「【受付中】生活費増加世帯の簡易確認」に関するアンケートや確認依頼について、総務省統計局の公式サイト（stat[.]go[.]jp）掲載の連絡先へ直接問い合わせることを推奨します。
メールの保存と報告：このメールを証拠として保存し、フィッシング対策協議会（antiphishing[.]jp）や消費者庁の窓口へ情報提供することで、被害拡大の防止に役立てることができます。

組織のセキュリティ担当者向け

送信元IPアドレス 34[.]104[.]195[.]136 および送信ドメイン rivercloud16[.]tiantianlecart[.]com をメールフィルターのブロックリストに追加することを推奨します。
フィッシングドメイン htedai[.]com へのDNS解決およびHTTPSアクセスをプロキシ・DNSフィルターでブロックすることを推奨します。
メール件名「【受付中】生活費増加世帯の簡易確認」をキーワードとした検索・隔離ルールの設定を検討してください。

検出されたドメイン・URL一覧