フィッシング

2026/4/23

「【重要】au Payご利用者様への重要なお知らせ」はフィッシング詐欺メール — ゼロ幅文字によるフィルタ回避の手口と対処法

フィッシングメール本文のスクリーンショット — フィッシングメール本文のプレビュー（参考表示・メーラー環境の完全再現ではありません）

記事を作成します。解析結果を元に、全IOCの難読化、3段構成の主張、防御啓発に限定した内容で構成します。

2026年4月22日、au PAY（KDDI）を装ったフィッシングメールの送信が確認された。件名は「【重要】au Payご利用者様への重要なお知らせ」で、マネーロンダリング防止を名目にau ID情報の確認を要求する内容だが、au PAYおよびKDDIとは一切無関係の詐欺メールである。送信元ドメインの不一致、メール認証の失敗、本文全体へのゼロ幅Unicode文字の大量挿入など、複数の証拠からフィッシング詐欺であることが確定している。

メール概要

見出し

1 メール概要
2 受信したメール本文（全文）
3 技術解析 — このメールがフィッシングである根拠
4 総合判断
5 IOC（侵害指標）一覧
6 このメールを受け取った場合の対処法
7 このメールを見分けるポイント

件名：【重要】au Payご利用者様への重要なお知らせ
差出人（表示名）：au Pay
差出人（実際のアドレス）：noreply[@]wauqqbvv[.]cemregumus[.]com
Return-Path：noreply[@]wauqqbvv[.]cemregumus[.]com
送信日時：2026年4月22日 13:47:54（JST）
送信元IP：82[.]124[.]101[.]82
SHA256：68dccd11c0c8d340a0c0ea770f1bea9d548c06472db4e28d35cb5cef8c3d023b

受信したメール本文（全文）

au PAYサービスからの重要なお知らせ

いつもau PAYをご利用いただき、誠にありがとうございます。

この度、マネーロンダリング防止法および安全なサービス提供のため、お客様の登録情報の最新性を確認させていただいております。

お手数ですが、期限までにau IDポータルサイトより、最新の情報に更新されているかご確認をお願い申し上げます。

■ 確認手続き期限
2026年04月22日

※期限を過ぎた場合、Pontaポイントの付与およびカード決済が一時制限される場合がございます。

au ID情報を確認する

※本手続きはサービスの安全性向上のための定期的な手続きです。
※au以外の回線をご利用のお客様も対象となります。

KDDI株式会社 / au PAY
URL： hxxps://www[.]auone[.]jp/

Copyright © KDDI CORPORATION, All Rights Reserved.

YZuz8vmUIoWmwaiv6MRFiWkPa6Z9I1yaA4UkQJxa5cVETppsRDkgYEFs8LEfs81KQ8dT6vYcIKdZvM02IHPQxKX1Y31M8upfAroXgmlCUkxkQN11inH8QazqMB4A9soDda0CpxC7GOcqG3tTQmDCjn2kpMzTdyXlokn9k02G6lyNwUjBa3PFRCiB7b1ygH5z

※上記は受信者に表示される可視テキストを再現したものである。実際のメールには後述するゼロ幅Unicode文字が件名・本文の全体にわたって大量に挿入されている。末尾のランダム文字列は、受信者ごとの追跡用トークンと考えられる。

技術解析 — このメールがフィッシングである根拠

1. 送信元ドメインがau PAY・KDDIと無関係

観測事実：このメールの差出人アドレスおよびReturn-Pathは、いずれも noreply[@]wauqqbvv[.]cemregumus[.]com である。表示名こそ「au Pay」と設定されているが、実際の送信ドメインは wauqqbvv[.]cemregumus[.]com である。

示唆：au PAYを運営するKDDI株式会社の公式ドメインは、一般に au[.]com や kddi[.]com として知られている。cemregumus[.]com という文字列はこれらと一切関連性がなく、ランダムに見えるサブドメイン wauqqbvv が付与されている。正規企業のメール配信において、このような無意味な文字列のドメインが使われることは通常ない。

判断：送信元ドメインがau PAY・KDDIの正規ドメインと完全に異なることは、このメールが正規の送信ではないことを示す直接的な証拠である。【確認済み】

2. メール認証（SPF・DKIM・DMARC）の検証結果

メール認証技術は、送信者が正規の配信基盤から送信しているかを検証する仕組みである。今回のメールでは、3つの認証すべてが不合格または認証不能の結果を示した。

SPF（Sender Policy Framework）：softfail
SPFは、送信元IPアドレスがそのドメインからの送信を許可されているかを確認する仕組みである。今回の結果「softfail」は、送信元IP 82[.]124[.]101[.]82 が送信ドメイン wauqqbvv[.]cemregumus[.]com のSPFレコードで明示的に許可されていない状態を意味する。つまり、このIPアドレスは当該ドメインの正規の送信サーバーとして登録されていない。

DKIM（DomainKeys Identified Mail）：neutral
DKIMは、メールに付与された電子署名を検証し、送信元の正当性と内容の改ざんの有無を確認する仕組みである。今回の結果「neutral」は、有効なDKIM署名による送信元の認証が得られなかった状態を示す。

DMARC（Domain-based Message Authentication, Reporting and Conformance）：fail
DMARCは、SPFとDKIMの結果を組み合わせてメールの正当性を総合判定する上位の仕組みである。今回の結果「fail」は、このメールがDMARCポリシーに準拠していないことを意味する。

示唆：SPF softfail・DKIM neutral・DMARC failの3件が揃っており、このメールが適切に管理されたメール配信基盤から送信されたものではないことを強く示唆する。なお、メール認証の失敗は単独ではフィッシングの確定根拠とならないが、他の証拠と合わせることで判断の信頼性が高まる。

3. ゼロ幅Unicode文字による検知回避

本メールの最も特徴的な手口は、件名および本文の全体にわたって「ゼロ幅Unicode文字」が大量に挿入されている点である。ゼロ幅文字とは、画面上には一切表示されないが、データとしては存在するUnicode文字のことである。

本メールで検出されたゼロ幅文字は以下の4種類である。

U+200B（ZERO WIDTH SPACE）— ゼロ幅スペース
U+200C（ZERO WIDTH NON-JOINER）— ゼロ幅非接合子
U+200D（ZERO WIDTH JOINER）— ゼロ幅接合子
U+FEFF（ZERO WIDTH NO-BREAK SPACE）— ゼロ幅ノーブレークスペース

観測事実：件名の「au Pay」は実際には各文字間にゼロ幅文字が挿入された状態であり、本文中の「マネーロンダリング」「登録情報」「確認手続き」「Pontaポイント」「カード決済」などフィッシング検知に使われやすいキーワードが同様に分断されている。フッターに表示される hxxps://www[.]auone[.]jp/ のURL文字列にもゼロ幅文字が埋め込まれている。

示唆：ゼロ幅文字は画面上では一切表示されないため、受信者にはごく自然な日本語メールに見える。しかし、機械的な文字列比較では「au PAY」という文字列と一致しなくなるため、メールフィルタのキーワード検知やブランド名マッチングを回避する効果がある。正規の企業メールでこのような手法が使われることは通常ない。

判断：メール全体にわたる4種類のゼロ幅文字の体系的な挿入は、スパムフィルタを意図的に回避するための手法であり、フィッシングメールに特徴的な挙動である。【確認済み】

4. 誘導先URLの解析

メール内には「au ID情報を確認する」というリンクが設置されており、以下のURLへ誘導する仕組みになっている。

実際の誘導先URL：hxxps://worcesterroofingandsiding[.]com/s/xmhretdrfn
リダイレクト：2段階のリダイレクトを経由
現在の状態：停止/エラー（アクセス不可）

観測事実：メールのフッターには、一般にau公式ポータルとして知られる www[.]auone[.]jp のURL表記があるが、実際のクリック先は worcesterroofingandsiding[.]com という、屋根・外壁工事を連想させる英語ドメインであり、au PAYとは一切関連がない。このURLは2段階のリダイレクトを経由する構成であったことが確認されている。本記事公開時点では誘導先は停止またはエラー状態であり、フィッシングページへのアクセスはできない。

判断：表示上のURLと実際の誘導先の不一致は、受信者を欺いて不正サイトへ誘導するための典型的なフィッシング手法である。リダイレクトの多段構成は、フィルタによるURL検知を回避し、追跡を困難にする目的で使われることが一般的に知られている。【確認済み】

総合判断

以下の複数の証拠を総合し、本メールはau PAY（KDDI）を装ったフィッシング詐欺であると確定する。

送信元ドメインの偽装：au PAY・KDDIと無関係なドメイン wauqqbvv[.]cemregumus[.]com から送信されており、表示名「au Pay」によるなりすましが行われている
メール認証の全項目が不合格または認証不能：SPF softfail、DKIM neutral、DMARC failの3件が揃い、正規の配信基盤からの送信ではないことを示す
ゼロ幅文字による組織的な検知回避：件名・本文の全体にわたり4種類のゼロ幅Unicode文字が体系的に挿入され、スパムフィルタの回避を図っている
誘導先URLの偽装：au公式サイトに見せかけた表示の裏に、無関係なドメインへの多段リダイレクトが仕込まれている

これらの証拠は単独でもフィッシングの疑いを示す指標であるが、4つが同一メール内で複合的に確認されたことにより、フィッシング詐欺であることが確定している。

IOC（侵害指標）一覧

送信元情報

送信元メールアドレス：noreply[@]wauqqbvv[.]cemregumus[.]com
送信ドメイン：wauqqbvv[.]cemregumus[.]com
親ドメイン：cemregumus[.]com
送信元IP：82[.]124[.]101[.]82

誘導先URL

hxxps://worcesterroofingandsiding[.]com/s/xmhretdrfn（2段階リダイレクト経由、現在停止）

誘導先ドメイン

worcesterroofingandsiding[.]com

ファイルハッシュ

メールSHA256：68dccd11c0c8d340a0c0ea770f1bea9d548c06472db4e28d35cb5cef8c3d023b

PhishTank登録状況

hxxps://worcesterroofingandsiding[.]com/s/xmhretdrfn — 本記事公開時点でPhishTankには未登録です。当社にて登録申請を行います。

このメールを受け取った場合の対処法

メールを開いただけ・リンクをクリックしていない場合：

メールを開封しただけでは被害は発生しない。そのまま削除すること
差出人アドレスが @wauqqbvv[.]cemregumus[.]com であることを確認し、同一ドメインからの受信を迷惑メールフィルタでブロックする

リンクをクリックしたが情報は入力していない場合：

現時点で誘導先は停止しているため、リダイレクト先に到達していない可能性が高い。ブラウザを閉じ、閲覧履歴とCookieを削除する

au IDやパスワード等を入力してしまった場合：

速やかにau IDのパスワードを変更する。メール内のリンクは絶対に使わず、ブラウザから直接 au[.]com にアクセスし、au IDの管理画面からパスワードを変更すること
二段階認証（2段階認証）を未設定の場合は、直ちに有効化する
au PAYに紐づいたクレジットカードや銀行口座がある場合は、カード会社・銀行に連絡し、不正利用の監視・一時停止を依頼する
au PAYの利用明細を確認し、身に覚えのない決済がないか確認する

通報先：

KDDIの迷惑メール報告窓口（公式サイト au[.]com のサポートページで確認可能）
フィッシング対策協議会（info[@]antiphishing[.]jp）
警察庁サイバー犯罪相談窓口（#9110）

このメールを見分けるポイント

差出人のメールアドレスを確認する：表示名が「au Pay」でも、メールアドレスの@以降が au[.]com や kddi[.]com でなければ偽物である。本件では @wauqqbvv[.]cemregumus[.]com というランダムな文字列のドメインが使われている
「本日中」の期限で焦らせる手口に注意：本メールは受信当日（2026年4月22日）を手続き期限とし、「Pontaポイントの付与およびカード決済が一時制限される」と脅かしている。正規のサービスからの通知であれば、十分な猶予期間が設けられるのが一般的である
リンク先のURLを事前に確認する：PC環境ではリンクにマウスカーソルを合わせる、スマートフォンではリンクを長押しすることで、実際のリンク先URLを確認できる。表示されたURLが auone[.]jp ではなく見慣れないドメインであれば、クリックしてはならない
メール内のリンクを使わず公式アプリ・ブックマークからアクセスする：au PAYに関する手続きが本当に必要かどうかは、メール内のリンクではなく、au PAY公式アプリまたはブラウザのブックマークから直接 au[.]com にアクセスして確認すること