2025年4月10日現在、ヤマト運輸を装った詐欺メール「お荷物の再配達手続きが必要です」が出回っています。
このメールは、荷物が宛先不明のため配送できなかったとして、ヤマト運輸を装ったフィッシングサイトへ誘導する詐欺メールなので注意してください。
目次
「お荷物の再配達手続きが必要です」詐欺に注意
2025年4月10日現在、ヤマト運輸を装った詐欺メール「お荷物の再配達手続きが必要です」が出回っており、XなどのSNSで受信を報告する投稿が増えています。
このメールは、宛先不明で配送できなかった荷物があるとして、指定のリンクから配送情報を更新するよう促されますが、リンク先はヤマト運輸を装ったフィッシングサイトなので、クリックしないよう注意してください。
フィッシングサイトでクレジットカード情報を入力してしまった場合は、不正利用される可能性があるため、カード裏面などに記載されている窓口に連絡し、フィッシングサイトでカード情報を入力した旨を必ず報告してください。
お客様、いつもヤマト運輸をご利用いただきありがとうございます。
お客様が送信された荷物に関しまして、宛先不明のため配送ができなかったことをお知らせいたします。
宛先や電話番号に誤りがあった可能性があるため、現在配送が保留されております。
状態: 配送情報の更新をお待ちしております 。。
配送情報の更新
【ご注意】
48時間以内に更新が確認できない場合、安全上の理由からお客様のアカウントに制限をかけさせていただく場合がございます。予めご了承ください。
※本メールは送信専用です。返信は受け付けておりません。ヤマト運輸株式会社
(後略)
他社ドメインの差出人メールアドレス
詐欺メール「お荷物の再配達手続きが必要です」は、筆者のメールアドレス宛にも30通以上届いており、差出人の名前には「ヤマト運輸株式会社」や「ヤマト」と表示されていました。
送信元メールアドレスは偽装されており、ソニーやホットペッパーといった、他社のドメインを含むメールアドレスが悪用されていました。以下が実際に届いたメールの一例です。
| 差出人 | IPアドレス | 国 |
|---|---|---|
| ヤマト <0○○○@gtbs.com> | 99.245.180.52 | カナダ |
| ヤマト運輸株式会社 <f○○○@mail.sony.jp> | 75.84.247.178 | アメリカ |
| ヤマト運輸株式会社 <z○○○@olightstore.jp> | 45.48.203.215 | アメリカ |
| ヤマト運輸株式会社 <y○○○@hotpepper.jp> | 76.93.119.64 | アメリカ |
ヤマト運輸はユーザーに対してメールを送る際、以下のドメインを使用しているので、筆者のパターンであれば差出人メールアドレスだけでも「偽物」と判別できます。
ヤマト運輸が使用しているドメイン(2025年4月時点)
- @kuronekoyamato.co.jp
- @ml.kuronekoyamato.co.jp
- @ml2.kuronekoyamato.co.jp
ただ、普段なら一目で詐欺メールと判断できるものでも、受信したタイミングによっては、日頃から十分に注意していても引っかかるケースがあります。
実際に筆者も、Amazonでの買い物直後に偶然届いた時や、寝起きなど判断力が鈍っている時に届いた時には、うっかりリンクをクリックしそうになった経験が何度かあるので十分に注意してください。
※ 差出人メールアドレスが「@kuronekoyamato.co.jp」となっている詐欺メールも確認されているため、差出人メールアドレスを過信しないよう注意してください。
再配達はヤマト公式サイト、不安がある場合はサービスセンターへ
ヤマト運輸を装った詐欺メールは、メールヘッダを確認することでも判別できる場合もありますが、やや専門的な知識が必要となるため、一般的な対策としてはお勧めできません。
最も安全な対策は「メールのリンクをクリックしないこと」ので、再配達に関するメールが届いた場合は公式サイトの再配達依頼ページを利用し、その他の内容で真偽を判別できない場合は、サービスセンターへの問い合わせをお勧めします。
(付録)ヤマト運輸を装った詐欺メールと正規メールのヘッダの違い
メールヘッダでは、送信元の正当性を確認できる認証の結果を確認できますが、筆者に届いたメールでは、「DKIM」と「SPF」が「none」となっており、署名が付与されていませんでした。
○○○; dkim=none; spf=none smtp.helo=gtbs.com; spf=none smtp.mailfrom=gtbs.com; arc=none smtp.client-ip=99.245.180.52
2025年4月上旬に受信した、ヤマト運輸の正規メールのヘッダを確認したところ、こちらは「DMARC」と「DKIM」が「PASS(成功)」となっていたので、この違いからも詐欺メールと判別できます。
○○○; dmarc=pass header.from=kuronekoyamato.co.jp; dkim=pass; spf=none smtp.helo=o7.ptr9307.ml.kuronekoyamato.co.jp; spf=none smtp.mailfrom=em8451.ml.kuronekoyamato.co.jp; arc=none smtp.client-ip=167.89.53.5
※ヤマト運輸では「なりすましメール」の対策としてドメイン認証技術SPF(Sender Policy Framework )を導入しています。
引用:ヤマト運輸
コメントを投稿する(承認後に反映)