フィッシング

「【JP SMART SIM】通信サービス停止の予告と未払い料金のお願い」はフィッシング詐欺です

フィッシングメール本文のスクリーンショット
フィッシングメール本文のプレビュー(参考表示・メーラー環境の完全再現ではありません)
フィッシングサイトのスクリーンショット
誘導先サイトのスクリーンショット(解析時点)

教訓と方針を確認しました。記事を作成します。

公開日: 2026年4月22日
メールSHA256: 4ea53a1863c6999115d7c5d9443756b28609d2c2ffc4d149fabb774bdb735a2a

概要

2026年4月22日、格安SIMサービス「JP SMART SIM」を装ったフィッシングメールの流通を確認しました。メールは「通信サービス停止の予告」と称し、未払い料金 ¥7,850 を本日23:59までに支払うよう求める内容です。記載されたリンクをクリックすると、TDS(Traffic Direction System)を経由してフィッシングサイトへ誘導される仕組みになっています。

以下では、このメールがフィッシング詐欺である証拠を一つ一つ解説します。同様のメールを受け取った方は、リンクをクリックせず、メールを削除してください

受信したメールの全文

以下は、実際に送信されたフィッシングメールの本文を全文引用したものです。検索でこの記事にたどり着いた方は、受信メールと見比べてください。

JP SMART SIM

お客様

平素はJP SMART SIMをご利用いただき、誠にありがとうございます。

お客様のご利用料金につきまして、誠に恐縮ではございますが、本日現在でお支払いの確認が取れておりません。

※行き違いでお支払い済みの場合は、何卒ご容赦ください。

【重要】通信サービス停止の予告

ご請求金額 ¥7,850
お支払い期日 本日 23:59まで

上記期日までにお支払いが確認できない場合、約款に基づき、明日より順次、通信サービス(データ通信および音声通話)のご利用を停止させていただきます。

至急、下記の専用ページよりお手続きをお願い申し上げます。

[お支払い手続きはこちら]
※このリンクはフィッシングサイトへの誘導です。絶対にクリックしないでください。

※現在はオンライン即時決済のみ受付可能です。
※サービス再開にはお支払い確認後、最大2時間程度かかる場合がございます。
※本メールは送信専用アドレスより自動送信されています。

発行:JP SMART SIM お客様サポートセンター

この詐欺メールを見分けるポイント

1. 「本日23:59まで」の極端な緊急性

このメールは、支払い期日を「本日 23:59まで」とし、期日を過ぎると「明日よりサービス停止」と記載しています。正規の通信事業者が未払い通知を送る場合、一般的には数日から数週間の猶予期間を設けます。受信当日中の支払いを要求し、即座の回線停止を示唆するのは、冷静な判断を妨げて偽サイトへ誘導するための典型的な手口です。

2. 差出人アドレスと実際の送信元が異なる

メールの表示上の差出人(From)は contact[@]jpsmart[.]net ですが、実際のメール返送先(Return-Path)は contact[@]partner-kaiyun[.]com という全く別のドメインです。

正規のサービス事業者がメールを送信する場合、一般的にFromアドレスとReturn-Pathのドメインは一致するか、同一組織の管理下にあります。今回のように全く無関係なドメインが使われていることは、第三者による送信を強く示唆します

3. リンク先が正規ドメインではない

メール内の「お支払い手続きはこちら」のリンク先は hxxps://www-pay[.]top-28dog[.]com/ です。JP SMART SIMの公式サイトで確認できるドメインとは明らかに異なります。top-28dog[.]com というドメインは、正規サービスとは無関係のフィッシング専用インフラです。

技術解析

メール認証の検証結果

認証方式 結果 解説
SPF softfail 送信元IPアドレスが、Return-Pathドメイン partner-kaiyun[.]com のSPFレコードで許可された範囲に含まれていないことを示します。softfailは「認証に失敗したが、受信拒否までは求めない」という状態であり、ドメイン所有者が送信を正式に認可していない可能性を示唆します。
DKIM 不明 DKIM署名の検証結果が付与されていない状態です。署名が付与されていないか、受信サーバーが検証を実施しなかった可能性があります。いずれの場合も、メールの送信者を暗号学的に検証できない状態です。
DMARC 不明 DMARC検証結果が付与されていない状態です。DMARCはSPFとDKIMの結果を組み合わせてドメインの正当性を判断する仕組みですが、その検証が行われていません。

観測事実: SPFがsoftfailとなり、DKIM・DMARCの検証結果は付与されていません。
示唆: メールの送信元が、表示されている差出人のドメインの正規インフラから送信されたものではないことを示唆します。
補足: SPF softfail単独ではフィッシングの確定根拠にはなりません(正規メールでもsoftfailとなるケースは存在します)。後述するFrom/Return-Pathの不一致やブランド詐称と合わせて総合的に判断しています。

送信インフラの調査

項目 確認結果
送信元IPアドレス 34[.]116[.]227[.]147
IPアドレス管理組織 Google LLC
CIDRブロック 34[.]64[.]0[.]0/10
From(表示上の差出人) contact[@]jpsmart[.]net
Return-Path(実際の返送先) contact[@]partner-kaiyun[.]com

観測事実: メールはGoogle Cloud(GCP)のIPアドレスレンジから送信されています。FromヘッダとReturn-Pathのドメインが完全に異なっています。

示唆: 攻撃者がGCPのインスタンスを利用してメールを送信したと推定されます。クラウドサービスは匿名性が高く、フィッシングメールの送信インフラとして悪用されるケースが一般的に知られています。Return-Pathの partner-kaiyun[.]com はJP SMART SIMとは無関係のドメインであり、ブランドを詐称した第三者による送信であることを裏付けます。

フィッシングURLの解析

メール内のリンクから、TDS(Traffic Direction System)と呼ばれるアクセス振り分けシステムの存在が検出されました。

項目 確認結果
メール記載URL hxxps://www-pay[.]top-28dog[.]com/NYMKOscyy25X9
状態 稼働中(確認済み)
TDS検出 検出
観測された最終ドメイン www-pay[.]mobile-tiantianyingqiu[.]com
最終ページタイトル JP SMART SIM
最終ページサーバー Cloudflare

TDS(Traffic Direction System)とは

TDSとは、アクセスしたユーザーの環境(IPアドレス、ブラウザ、地域など)に応じて、異なるサイトへ自動的に転送する仕組みです。このフィッシング攻撃では、アクセスごとに異なるドメインへリダイレクトされることが確認されています。

この手法により、セキュリティベンダーやブラウザのフィルターによるブロックを回避しやすくなり、フィッシングサイトの寿命を延ばす効果があります。今回の調査では最終的に www-pay[.]mobile-tiantianyingqiu[.]com へ誘導され、JP SMART SIMを模倣した偽の支払いページが表示されることを確認しました。

フィッシング判定の総合根拠

以下の複数の証拠を総合的に評価し、本メールをフィッシング詐欺と判定しました。単一の指標ではなく、複合的な根拠に基づく確定判断です。

  1. ブランド詐称(確認済み): 差出人名に「JP SMART」を使用し、メール本文・誘導先ページのタイトルでもJP SMART SIMを名乗っていますが、送信ドメインは正規のものではありません。
  2. From/Return-Pathの不一致(確認済み): 表示上の差出人は jpsmart[.]net ですが、実際の送信に使われたドメインは partner-kaiyun[.]com であり、完全に異なります。
  3. SPF softfail(確認済み): 送信元IPがReturn-Pathドメインの認可範囲外から送信されています。
  4. TDS型フィッシングインフラ(確認済み): 誘導先URLにアクセスするたびに異なるドメインへリダイレクトされる攻撃インフラの使用が検出されました。
  5. 偽装支払いページ(確認済み): リダイレクト先にはJP SMART SIMを模倣した偽の支払いページが存在し、クレジットカード情報等の窃取を目的としていると推定されます。

IOC(侵害指標)一覧

セキュリティ担当者・研究者向けに、本フィッシング攻撃に関連する侵害指標を以下にまとめます。ファイアウォールやメールフィルターへの登録にご活用ください。

種別 備考
メールSHA256 4ea53a1863c6999115d7c5d9443756b28609d2c2ffc4d149fabb774bdb735a2a EMLファイルのハッシュ
送信元IP 34[.]116[.]227[.]147 Google LLC / GCP
Return-Path ドメイン partner-kaiyun[.]com 実際の送信ドメイン
フィッシングURL hxxps://www-pay[.]top-28dog[.]com/NYMKOscyy25X9 TDS入口
リダイレクト先ドメイン www-pay[.]mobile-tiantianyingqiu[.]com 偽支払いページ(今回観測分)

PhishTank登録状況

hxxps://www-pay[.]top-28dog[.]com/NYMKOscyy25X9 は、本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

このメールを受け取った場合の対処法

リンクをクリックしていない場合

  • メールを削除してください。返信も不要です。
  • JP SMART SIMの利用状況が気になる場合は、メール内のリンクではなく、ブラウザで公式サイトに直接アクセスしてマイページから確認してください。
  • 同様のメールが繰り返し届く場合は、メールサービスの迷惑メールフィルターに登録してください。

リンクをクリックしてしまった場合

  • 偽サイトでクレジットカード情報や個人情報を入力した場合は、直ちにカード会社に連絡し、カードの利用停止・再発行を依頼してください。
  • ID・パスワードを入力した場合は、JP SMART SIMの公式サイトから速やかにパスワードを変更してください。他のサービスで同じパスワードを使用している場合は、そちらも変更が必要です。
  • 最寄りの警察署、または警察庁サイバー犯罪相談窓口(#9110)へ被害を届け出てください。
  • 国民生活センター(消費者ホットライン: 188)への相談も有効です。

企業・組織のセキュリティ担当者の方へ

  • 上記IOC一覧をメールゲートウェイやWebフィルターに登録し、組織内への到達をブロックしてください。
  • TDSを使用しているため、リダイレクト先ドメインは随時変更される可能性があります。入口URL(www-pay[.]top-28dog[.]com)のブロックが最も効果的です。
  • 従業員への注意喚起を実施し、同様の手口への警戒を促してください。

まとめ

本件は、格安SIMサービス「JP SMART SIM」を装い、通信サービス停止という緊急性で判断を急がせ、偽の支払いページでクレジットカード情報等を窃取しようとするフィッシング攻撃です。TDS(Traffic Direction System)による動的なリダイレクトを用いており、単純なURL単位でのブロックが困難な点が特徴です。

「本日中に支払わなければサービス停止」という趣旨のメールを受け取った場合は、メール内のリンクを使わず、必ず公式サイトに直接アクセスして確認してください。正規の通信事業者が、受信当日中の即時支払いをメール一通で要求し、翌日のサービス停止を通告することは通常ありません。

検出されたドメイン・URL一覧
ドメイン 区分 状態 検出方法 登録情報
www-pay[.]top-28dog[.]com 入口URL 稼働中 メール本文
www-pay[.]mobile-tiantianyingqiu[.]com 最終遷移先 稼働中 リダイレクト追跡

関連記事

著者紹介:CCSIセキュリティメディア編集部

CCSIセキュリティメディア編集部 サイバーセキュリティメディア、CCSI編集部です。


カテゴリ:
タグ:,,,