サイバー脅威
1,300 万通以上 の偽メールを観測:日本の個人・組織の両方を狙うサポート詐欺キャンペーンの手口を解説
2025 年 12 月中旬から 2026 年 5 月にかけて、偽警告サイトへメールで誘導するサポート詐欺 (テクニカルサポート詐欺、Technical Support Scam) のキャンペーンが大規模かつ継続的に観測されています。
注記: 本記事には一部、サイバー攻撃者による正規ツールの悪用事例を説明している箇所があります。記事内で言及している製品やサービス自体に脆弱性があることやセキュリティ上の不備があることを示すものではありません。
手口の概要
2025 年 12 月中旬から 2026 年 5 月にかけて、偽警告サイトへメールで誘導するサポート詐欺 (テクニカルサポート詐欺、Technical Support Scam) のキャンペーンが大規模かつ継続的に観測されています。トレンドマイクロでは、約 5 か月半 (165 日間) で 24万件以上のIPアドレスから1,300 万通以上 のメールが配信され、誘導先として 33,000 以上の偽警告サイトが使い捨てで用いられていたことを確認しました。
- 大規模かつ継続的:165日間で1,300万通以上を観測、94%が「.jp」のメールアドレス宛
- 広域・大量の配信インフラ:メールの送信/中継元は世界各地の約24万個のIPアドレスに分散
- 誘導先サイトの短期切替:メールの誘導先は短期間で構築と廃棄を繰り返し、33,000以上のサイトを観測
- 法人組織も標的に:5月以降は組織内個人を狙ったと推測されるメールも観測
サポート詐欺とは?
サポート詐欺とは、PC やスマートフォンに「ウイルスに感染した」「アカウントが侵害された」などの偽セキュリティ警告によってテクニカルサポートに誘導し、サポートを名目に金銭を騙し取ろうとする詐欺行為を指します。攻撃者は (1) 偽警告サイトへの 誘導、(2) サポート担当者を装った 遠隔操作、(3) サポート料金請求や送金による 金銭搾取 の 3 段階で被害者から金銭を奪います。
トレンドマイクロが公開した 国内サポート詐欺レポート 2024 年版 では、サポート詐欺を日本のコンシューマ分野における最大級の脅威と位置付けており、2023 年には「ウイルスバスター クラウド」※で日本語のサポート詐欺関連サイトへのアクセスを年間のべ 900 万件以上検出・ブロックしました。これは「ウイルスバスター クラウド」利用者の約 1 割が何らかの形でサポート詐欺サイトに接触したことを示す規模です。
※Windows PC版のみ。
また警察庁が公表した令和 7 年における特殊詐欺及び SNS 型投資・ロマンス詐欺の認知・検挙状況等について でも、サポート詐欺に該当する「サポート名目」の架空料金請求詐欺の認知件数は 1,048 件 (前年比 -31.2%)、被害額は 14.9 億円 (前年比 +48.1%) に達しており、認知件数は減少傾向にある一方で 1 件あたりの被害額は約 2 倍に増加 しています。
近年では被害者を偽警告サイトに誘導する手段としてWeb 広告などの 不正広告経由 が主流でしたが、2025 年 12 月中旬からメールによる大規模な誘導が観測されています。本記事では、この大規模キャンペーンの全体像を解説します。
規模と推移
本キャンペーンは 2025 年 12 月中旬以降継続的に観測 されており、165 日間で 約1,338 万通 (1 日平均 約 8.1 万通) が観測されました。トレンドマイクロで観測されたメールの約 94% は「.jp」 のドメイン宛て、つまり日本のメールアドレスでした。
メールの配信量は 2026 年 2 月にピーク (約 445 万通、1 日平均 約 16 万通) に達した後は減少していますが、5 月時点でも 1 日平均 約 3 万通の配信が継続しています。
メールの受信時刻は 日本時間 9〜21 時 に集中しており、配信スケジュールが日本での活動時間帯に合わせて運用されていることが分かります。
※エンドポイントのPCではメールの配信時刻や中継/送信元IPアドレスが正確に取得できない場合があるため、一部の図についてはメールゲートウェイ製品に絞った統計を算出している。
誘導先の偽警告サイトは、165 日間で 33,000件以上 観測されました。攻撃の初期から100件以上、1月以降は400~1,000件がほぼ毎日観測されており、大量のWebサイト(URL)を「使い捨て」にすることで、セキュリティ製品の検出の回避が試みられています。メール量が 2 月のピーク以降減少していた一方、誘導先サイトのユニーク数に大きな変化はありません。
メールの特徴
本キャンペーンのメールは、
(1) 偽の警告文:セキュリティやアカウントに問題が発生しているという警告を装う
(2) アダルト・ポルノ:性的な文章で興味を引く
(3) 特定の組織へのなりすまし:大手 EC サイト・公的機関・セキュリティ企業などを装う
(4) 組織内の個人を狙ったもの:企業の社内通知(人事評価・給与改定)などを装う
の 4 種に分類できます。
(1) (2) については今回のキャンペーンの初期から全期間を通じて観測されており、メールの大部分を占めます。
(3) のなりすましメールは 2026 年 4 月中旬から観測され始め、大手ECサイト、交通/金融機関、国税庁 (未払税金督促)、求人情報などを装うものが含まれます。
(4) の組織内個人を狙ったメールは 2026 年 5 月から観測され始め、例えば「人事評価」などのメールで企業などの組織内の個人を偽警告サイトに誘導する内容になっています。
サポート詐欺の主な標的は個人のPC利用者ですが、法人組織においても以前から被害が発生しており、インターネットバンキングに誘導した上で遠隔操作され、高額な金銭被害につながる事例も確認されています。今回のキャンペーンにおいて(4)の組織内個人を狙ったメールが観測され始めたことは、攻撃者がより高額な金銭の窃取を目的に法人組織にも狙いを移していることを示唆します。
以下は今回のキャンペーンのメールの内、件名に「人事評価」「給与改定」などのキーワードを含むメールの割合の日次推移です。
2026年5月に観測された、法人組織を狙った可能性のあるメールについて、以下の件名が観測されています。
- 【至急】社内ネットワークセキュリティ監査:不審な端末アクティビティおよびログ確認のお願い
- 【機密】2026年度下半期の人事評価および昇進対象者リストの先行公開について
- 【重要/全従業員共通】2026年度下半期給与改定および評価フィードバックの確認について(ID: HR-SYS-{数字})
- 【福利厚生】創立記念に伴うAmazonギフトカード(デジタル)全社員配布のお知らせ
- 【大切なお知らせ】通勤交通費の精算ルール変更および再申請手続きについて
- 【先行公開】お疲れ様でした!今期の評価と嬉しいお知らせ(次期昇進リスト)
- 【通知】{企業ドメイン} 宛てコンプライアンス違反(苦情)に関する事実確認
- 【重要】緊急連絡先および安否確認システムの再登録について
- 【重要】社内システム一斉メンテナンスに伴うログイン試行と設定確認のお願い
- 【至急】「定額減税」および過誤納金還付手続に関する確認のお願い
送信元メールアドレスは 9 割以上が宛先アドレスや正規サービスのアドレスに偽装 されており、受信者に自組織のシステム管理者や正規サービスから送信されたものと信じ込ませる意図があります。特定の組織を名乗るメールでは、対象組織が実際にユーザに配信するために使用するアドレスへの偽装も確認されています。
送信元メールアドレスの偽装により受信者はより騙されやすくなる一方、送信ドメイン認証技術 (SPF / DKIM / DMARC) の活用により、今回の大規模攻撃キャンペーンで観測された攻撃メールの多くは検知できる可能性があります。
(関連記事)
フィッシングメール訓練の進め方は何から?攻撃手口の把握と訓練の考え方
メール配信インフラ
メールの中継/送信元として、世界各地に分散した 24 万個以上のIPアドレスが観測されています。メールの件数ではブラジル (BR) が最も多く、ユニークな送信/中継元のIPアドレスの数では中国 (CN) が最も多いことが確認できました。
このような大量のIPアドレスが観測される理由として、正規のIoT機器などが攻撃者に乗っ取られ、メールを配信するインフラとして悪用されている可能性が挙げられます。またメールヘッダに記載されている時刻と、実際の受信時刻に規則的なずれがあるなど、配信元インフラに依存しているとみられる特徴的な振る舞いも観測しています。
※エンドポイントのPCではメールの配信時刻や中継/送信元IPアドレスが正確に取得できない場合があるため、一部の図についてはメールゲートウェイ製品に絞った統計を算出している。
メールの送信元として観測されたIPアドレスのうち、送信イベント数の上位1万のIPアドレスの調査を実施し、Shodanに記録されている情報を確認しました。調査の結果、5,940件についてサービス稼働の確認が不可、残り4,060件については何らかのサービスが稼働していることを確認できました。
そのうち、3,231 件のIPアドレスが MikroTik のデバイス上で動作していると思われるサービスで運用されていることが確認できました。そのうち 2,657 件のIPアドレスにおいて TCP/2000 番のポートが外部より到達可能な状態でした。これら多くのIPアドレスを送信元として、ポートスキャンやスパムメールの配信などの攻撃に類する通信が行われたことが観測されており、何らかの悪意ある挙動が行える状態となっているものと推測されます。該当IPアドレスにて動作しているサービスについて、MikroTikのデバイスの次に多かったサービスはOpenSSH(284件)、nginx(184件)、Apache(144件)となっており、IoT機器やWebサーバなどが動作していたことが確認されています。
誘導先の偽警告サイト
今回の大規模攻撃キャンペーンで観測されたメール内のリンクをクリックすると、偽の警告メッセージが表示される偽サイトが開きます。誘導先のサイトの偽の警告メッセージは、従来観測されていたサポート詐欺とほぼ同様で、PCにセキュリティ上の問題が発生しているという嘘の内容を表示します。
偽警告サイトは Microsoft Azure Blob Storageの静的 Web ホスティングサービスを用いて構築されています。こうした正規ホスティングサービスの悪用は、ストレージに設置した「html/js」ファイルを容易にHTTPSアクセスで公開可能という点で、攻撃者にとって利点があると思われ、サポート詐欺の手口では常套手段となっています。
(関連記事)
「日本で撮影されたUFO」 - 不正広告で誘導するサポート詐欺に注意
約 33,000 件のサイトのうち 約 9 割はメール内のリンクとして 1 日のみの使用に留まり、攻撃者はクラウドのサービスを悪用して使い捨てでサイトの構築と廃棄を繰り返し、セキュリティ製品などによる検出を回避しようと試みています。
※エンドポイントのPCではメールの配信時刻や中継/送信元IPアドレスが正確に取得できない場合があるため、一部の図についてはメールゲートウェイ製品に絞った統計を算出している。
誘導先の偽警告サイトでは、解析を回避するためにサイトのコンテンツの暗号化などが行われています。この偽警告サイトと同様の構造は、Barracuda Networks により詳細に解説されています。
詐欺に悪用される電話番号
メールの誘導先の偽警告ページには、サポート詐欺のコールセンターにつながる電話番号が記載されています。
下記の図はサポート詐欺サイト内に表示された電話番号を 2026 年 2 月下旬以降に収集・確認したものの日次件数です。今回、観測された電話番号はいずれも主に北米で用いられている国際電話番号でした。偽警告サイトが1日程度の短期間しか使用されていない一方、詐欺電話番号の大部分は1週間以上の比較的長期間にわたり使用されています。
約3か月間(2026年2月26日~5月31日)で 4,721 の偽警告サイトを確認しましたが、サイト内に記載されていた電話番号はわずか 11 個で、1 つの番号が数百のサイトで使い回されています。そのため、詐欺電話対策製品などによる電話番号でのブロック (架電前のユーザへの注意喚起すること) は攻撃の主要経路を断つ有効な対策と考えられます。
まとめ
サポート詐欺は、被害者の不安や恐怖を煽って判断力を低下させ、考える時間と相談する機会を奪うことで成立します。本キャンペーンも例外ではなく、緊急性を演出する件名や警告画面、正規サービスを装う送信元、画面ロックや警告音による恐怖の演出など、複数の心理操作が組み合わされています。しかし、サポート詐欺はその手口を理解していれば対処は決して難しくありません。偽警告画面が表示されてもWebブラウザを閉じるだけで対処でき、実際に大多数の人は遠隔操作を許すことなく対処できています。被害を防ぐためには、以下のような 心理面 と 技術面 の対策を組み合わせて備えておくことが重要です。
心理面での対策
「即時の判断」を求めるメッセージは詐欺を疑う:サポート詐欺に限らずフィッシングなどに共通していますが、「今すぐ対応しないとデータが消失する」「アカウントが停止される」といった緊急性を煽る警告は、被害者から冷静な判断を奪うための常套手段です。緊急に対応を求める警告に出会った時点で、それ自体が詐欺の典型サインだと認識してください。
正規サービスの「名前」と「実際の連絡先」を区別する:攻撃者は Microsoft・Apple・大手 EC サイト・金融機関などの名前を悪用します。正規のセキュリティ製品やプラットフォームは、警告画面で電話番号を案内することはありません。画面に表示された電話番号やメール内のリンクは使わず、必ず公式 Web サイトをブックマークから開いて確認してください。
不安を感じたら、その画面から離れて落ち着く:警告音・画面ロック・「あなたの個人情報が流出した」などのメッセージは、被害者を冷静さから引き離すための演出です。画面が固まったように見えても、慌てずに Webブラウザを閉じる (難しい場合はタスクマネージャーから終了する) ことで多くのケースは復旧します。
事前に「相談できる相手」を確保しておく:家族・同僚・信頼できる友人と日頃からサポート詐欺の手口について話し合っておくこと、また正規のサポート窓口や消費生活センターなどの 外部の相談窓口を事前に把握しておく ことが、いざという時の最大の防御になります。特に高齢の家族など被害者になりやすい立場の身近な人がいる場合は、定期的に手口を共有して警戒心を高めておきましょう。組織に所属している場合は、セキュリティ部門などの連絡窓口が用意されていることも多いでしょう。
被害者を責めない:詐欺師は非常に巧妙で、誰でも同様の被害に遭う可能性があります。万一被害に遭った場合は、被害者を責めるよりも、警察・消費生活センター・金融機関へ速やかに相談することが最善の対応です。経験を周囲に共有することで、同じ手口による被害の拡大を防ぐことにも繋がります。
技術面での対策
サポート詐欺は (1) 偽警告サイトへの 誘導、(2) サポート担当者を装った 遠隔操作、(3) サポート料金請求や送金による 金銭搾取 という段階で進行します。早い段階での対策ほど被害回避が容易になるため、誘導段階で食い止めることが最も効果的です。
個人向け
セキュリティ製品の利用: 詐欺メール・詐欺サイト・詐欺電話番号のブロック機能を持つ製品を導入し、誘導の入口を自動で遮断する
メール内のリンクは直接クリックしない: 緊急性を煽るメールほどリンクを直接クリックせず、公式 Web サイトをブックマークから開いて確認する習慣を持つ
偽警告画面の対処方法を覚える: ブラウザの 全画面表示の解除方法 (Esc キー長押し、Ctrl + Alt + Del など) を把握しておく
組織・管理者向け
送信ドメイン認証の徹底: 送信ドメイン認証技術 (SPF / DKIM / DMARC) を活用することで、本キャンペーンの主要手口である送信元メールアドレスのなりすましメールを大幅に削減できる
メールセキュリティゲートウェイの強化: 受信メールの本文・添付・URL を多層的に検査するセキュリティ製品を導入し、ブランド偽装メールやフィッシング URL のフィルタを継続的に更新する**
遠隔操作ソフトの制限と監視: 攻撃者は LogMeIn / UltraViewer / ScreenConnect / RustDesk / AnyDesk / TeamViewer などの 正規の遠隔操作ソフトを悪用 するため、アプリケーションコントロールや XDR での監視を行う
国際電話発信のモニタリング: PBX などで国際電話発信を制限・警告することで、攻撃の最終段階を断つ有効な対策となる
従業員教育・フィッシング訓練: サポート詐欺の手口や本キャンペーンのような大規模な詐欺事例を定期的に共有し、問題が発生した場合に報告ができる風通しの良い組織を作る
トレンドマイクロのソリューション
トレンドマイクロでは、本キャンペーンに該当するメール・誘導先サイト・電話番号誘導手口を継続的に観測・検出しています。
個人向け
詐欺対策に特化したスマホ向け防犯アプリ「トレンドマイクロ 詐欺バスター」は、AI 技術を組み合わせて巧妙化する詐欺の脅威から利用者を守ります。「Web 脅威対策機能」で詐欺サイトなどの不正 Web サイトへのアクセスをブロックしたり、「詐欺電話対策機能」では詐欺電話や国際電話の発着信に警告を表示・ブロックしたりすることができます。
パソコンをご利用の場合は、「ウイルスバスター トータルセキュリティ」の「詐欺メール対策機能」で詐欺メールをブロックしたり、「Web 脅威対策機能」で不正 Web サイトへのアクセスをブロックしたりすることができます。
法人向け
企業において求められる対策は「該当する不審なメールの流入を防ぐこと」および「不要なアプリケーション実行の抑制」が有効な対策となり得ます。メールの対策では、TrendAI Vision One™ Email and Collaboration Securityの相関インテリジェンスの機能を利用することで、URL が持つドメインが作られた期間の浅さ、観測数の少なさ、本文に日本語が用いられているなどの複数の条件から判断したルールにより、悪意あるメール流入を軽減することができます。アプリケーション実行の抑制には、TrendAI Vision One™ Endpoint Securityのアプリケーションコントロール機能にて、正規の遠隔操作ソフトが用いる証明書を指定して制御することで、特定の遠隔操作ソフトの実行を抑制することが可能です。
(関連記事)
DMARC認証をすり抜けるフィッシング攻撃メールの手口を分析
侵入の痕跡(IoC: Indicators Of Compromise)
本記事に関する侵入の痕跡は、こちらをご参照ください。
執筆者:
岩井 雄大(Sr. DevOps Platform Engineer)
調査協力:
佐藤 佑哉(アドバンストサイバーディフェンスグループ Senior Incident Response Consultant)
河田 芳希(Principal Threat Researcher)