詐欺脅威インテリジェンス

偽のドメイン更新メールにより、ウェブサイト運営者が詐欺師に金銭を支払わされる

ステファン・ダシッチ| 2026年6月25日
ソーシャル・エンジニアリング
Googleで優先ソースとして追加する

ウェブサイトのドメイン名の有効期限がまもなく切れることを知らせる警告メールが届きます。メールには「今すぐ更新してください。そうしないと、ウェブサイトやメールが利用できなくなる可能性があります」と書かれています。リンクをクリックすると、プロフェッショナルなデザインのページが開き、そこにはすでにあなたのドメイン名が記載されており、登録業者や有効期限が表示され、カウントダウンタイマーが動き始めます。

切迫感があり、自分事のように感じられるから、リアルに感じられる。

「Renovarix」という名称のこのサイトは、ドメインの更新を行っていません。その代わりに、訪問者を一連のページへと誘導し、そこで個人情報を収集し、最終的には支払い情報を取得しています。

偽のドメイン更新

詐欺の仕組み

ドメイン名の有効期限は確かに切れます。一度失うと、深刻な問題につながる可能性があります。 多くの人々や企業にとって、ドメインは単なるウェブアドレス以上のものです。それはあなたのブランドであり、メールアドレスであり、検索順位であり、顧客があなたを探そうとする際に打ち込む名前そのものです。もし有効期限が切れてしまうと、ウェブサイトやメールが利用できなくなる可能性があります。あなたが取り戻す前に他人が登録してしまうと、そのドメインを取り戻すことは困難、あるいは不可能になることもあります。失うものは非常に大きく、詐欺師たちはそのことをよく知っています。

この詐欺は、説得力のある偽の更新手続きを用いて、その不安につけ込んでいる。

そのメールとウェブサイトは偽物です。「リアルタイムの登録情報」も一部しか真実ではありません。「今すぐ更新」をクリックしても、ドメインは更新されません。その代わりに、一連のウェブサイトを経由させられ、まず氏名、住所、電話番号、メールアドレスを入力させられ、最終的には支払い情報の入力を求められます。

メールを削除した場合は、心配する必要はありません。リンクをクリックしてしまった場合は、そのページを閉じてください。個人情報や支払い情報を入力してしまった場合は、上記の指示に従ってください。

きっかけとなったメール

この詐欺はメールから始まりますが、その手口は様々です。中には非常に粗雑なものもあり、例えば「Domain Services Inc.」という汎用的な会社名から送られてくる、請求書番号と支払額が記載されただけの「ドメイン更新のお知らせ」といったものもあります。

偽の更新通知メール

一方、他のものははるかに洗練されており、「Renovarix」というブランド名や参照番号、そして信頼できそうなロンドンの事業所の住所が記載されています。

偽の更新通知メール

しかし、これらには共通する不審な点があります。「公式」とされるRenovarixの更新通知が、ごく普通のGmailアドレスから送信されていたのです。ロンドンにオフィスを構え、24時間365日のサポートを提供していると謳う企業が、Gmailから請求通知を送ってくることはまずありえません。ブランドイメージはプロフェッショナルに見えるものの、送信元がそれに見合わない場合、それは重大な危険信号です。

知りすぎているページ

このリンクをクリックすると、ページが開き、すぐに「検索」が実行されます。その過程で、「レジストリに接続中」や「WHOISレコードを取得中」といったメッセージが表示され、その後、ドメイン名、レジストラ、有効期限が表示されます。

偽のドメイン更新

これにより、そのサイトが公式のドメイン登録機関に照会を行ったかのように見えます。情報の一部は本物の公的記録に由来している可能性もありますが、そのページに信頼性があるように見せる要素の多くはでっち上げです。例えば、表示されている「レジストリID」は、いかなる登録機関からも取得されたものではありません。これは、あなたのドメイン名をもとにブラウザ内でローカルに生成されたものであり、単に公式に見えるようにするためのものです。

すべてが、あなたのパニックボタンを押させるように仕組まれている

そのダッシュボードが読み込まれると、ページ全体が、ユーザーを急かして行動させるように設計されたファネルへと変わる。

赤いバナーには、実際の有効期限に関係なく、ドメインの有効期限が「あと3日」で切れると表示されています。別のカウントダウンでは、9.99ユーロから2.00ユーロに値下げされた「特別価格」の有効期限があと15分で切れると表示されています。ページを閉じようとすると、「待ってください — ドメインが危険にさらされています!」という警告のポップアップが表示され、そのポップアップには「いいえ、結構です。リスクを冒します」と書かれた閉じるボタンがあります。

偽の更新の緊急性

正規のレジストラは、カウントダウンタイマーや罪悪感を煽るポップアップなどには頼りません。プレッシャーをかけること自体が詐欺なのです。

「刷新」など、何も刷新しない

何かがおかしいことを示す最も明らかな兆候は、「今すぐ更新」をクリックしても、レジストラに連絡が入ったり更新手続きが行われたりしないことです。単にブラウザが別のウェブサイトにリダイレクトされるだけです。

一部のバージョンでは、新しい有効期限や確認番号、そして領収書がメールで送信されたことを示すメッセージとともに、「更新完了!」という明るい確認メッセージが表示されることさえあります。しかし、これらはいずれも実際の取引を反映したものではありません。すべてがブラウザ内で生成されているのです。

個人情報は実際にどこへ送られるのか

このボタンをクリックすると、マーケティング用のアフィリエイトリンクを経由して、「Secure Checkout」というページに移動します。

データ収集のためのチェックアウト

このページでは、氏名、住所、郵便番号、都市名、電話番号、メールアドレスの入力が求められます。送信すると、さらにいくつかのページを経由し、最終的に支払いの要求が表示されます。

データ収集のためのチェックアウト

2つの点から、これは本物のドメインサービスではなく、再利用された詐欺キットであることがうかがえます。クリックしたリンクから自動的に個人情報を入力できるほか、偽の5つ星レビューには依然として「HappyPrizes」や「素敵な賞品が簡単に当たった」といった記述が残っており、これらは同じテンプレートを使用した以前の賞品詐欺の残骸です。

なぜ人々はそれに騙されるのか

この詐欺が成功するのは、人々の正当な懸念を悪用しているからです。詐欺は、信憑性のある前提から始まります。ドメインの更新はウェブサイトを運営する上でごく当たり前のことであるため、有効期限切れの通知は不自然には見えません。詐欺師たちは、説得力のあるブランドイメージ、公開されているドメイン情報、そしてでっち上げられた緊急性を駆使して、その信頼感をさらに強めていきます。

また、まるで自分に向けたもののように感じられてしまいます。多くの人が 、「詐欺師たちはなぜ自分のドメインを特定できたのか」と疑問に思います答えは、彼らはあなた個人を知っているわけではないということです。登録されたすべてのドメインは、WHOISやRDAPといった公開記録に掲載されており、そこにはドメイン名、レジストラ、重要な日付、場合によっては連絡先メールアドレスなどが含まれています。詐欺師たちはこの情報を一括で収集し、あなたのドメインの詳細を表示するリンクを生成します。見慣れた情報が表示されることで、たとえそれが公開記録から得られたものであっても、そのページは本物のように感じられてしまうのです。

最後に、この詐欺は緊急性を煽ります。カウントダウン タイマー、ドメインが危険にさらされているという警告、そして2.00ユーロの「特別オファー」などは、すべて、あなたがその主張をじっくり確認する前に行動を起こさせるよう仕組まれています。安価な価格自体が目的ではなく、あなたの個人情報や支払い情報を狙っているのです。

こうしたことがあっても、被害者が不注意だったということにはなりません。それは、被害者が人間であるということの表れであり、心配しているサイト運営者がどう反応するかを熟知している者たちから標的にされたに過ぎないのです。

どうすればいい

このようなメールを受け取った場合は、そのまま削除してください。ドメインの更新を処理する最も安全な方法は、とても簡単です:

  • メール内のリンクはクリックしないでください。お気に入り登録したページから、またはアドレスを直接入力してドメイン登録業者にアクセスし、そこで実際の有効期限を確認してください。万が一リンクをクリックしてしまった場合は、そのページを閉じてください。リンクを見ただけでは、ドメインに危険が及ぶことはありません。
  • 自分のレジストラがどこなのかを確認しておきましょう。更新手続きは、聞いたこともないウェブサイトではなく、すでに持っているアカウントで行われます。
  • 緊急性」は、急ぐ理由ではなく、警告のサインとして捉えましょう。真の刷新は、15分で片付くような緊急事態などではありません。
  • 差出人を確認してください。Gmailアドレスから送信された請求通知や、実際のプロバイダーとは一致しないブランド名で送られてきたものは、要注意です。
  • Malwarebytes Browser Guard は無料で、ブラウジング中に詐欺やフィッシングページをブロックするのに役立ちます。

すでに個人情報(氏名、住所、電話番号、メールアドレスなど)を入力済みの場合は

  • その後の詐欺に備えておきましょう。攻撃者は、電話やメールで連絡を取り、ドメイン登録業者を装ったり、あなたのドメインや「注文」、「更新」について言及したりしてくる可能性があります。
  • たとえ相手があなたのドメインに関する詳細を知っているように見えても、見知らぬ相手からの電話やメールを信用してはいけません。
  • 登録機関や銀行に連絡する必要がある場合は、メールや詐欺ページに記載されている連絡先ではなく、各機関の公式ウェブサイトに掲載されている連絡先をご利用ください。

支払いカードの詳細を入力した場合は:

カードが利用されたらすぐに通知が届くよう、取引アラートを有効にしてください。

直ちに銀行またはカード発行会社に連絡してください。不正なウェブサイトにカード情報を入力してしまったことを伝え、たとえ現時点で不正利用の請求が見られない場合でも、カードの利用停止や再発行を推奨するかどうかを尋ねてください。

アカウントを注意深く監視してください。詐欺師は、多額の取引を試みる前に、少額の「テスト」的な請求を行うことがあります。

侵害の兆候

  • renovarix[.]org — 偽のドメイン更新ページ
  • xe54ghj[.]com — リダイレクター
  • paysuccessful[.]site — 個人データ入力ページ
  • molipy8trk[.]com — リダイレクター
  • topprogressstores[.]online — 最終オファーの着地

脅威を報告するだけでなく、取り除く

サイバーセキュリティのリスクは、ヘッドラインを超えて広がるべきではありません。今すぐMalwarebytes ダウンロードして、デバイスに脅威を持ち込まないようにしましょう。

著者について

ステファン・ダシッチ

ステファン・ダシッチ

ウイルス対策ソリューションに情熱を燃やすStefanは、幼い頃からマルウェアのテストやAV製品のQAに携わってきました。Malwarebytes チームの一員として、Stefan はお客様の保護とセキュリティの確保に尽力しています。

最新記事

バグ
PixelSmash

「PixelSmash」の脆弱性により、動画ファイルが攻撃ツールに悪用される

6月24, 2026

研究者らは、攻撃者が悪意のある動画ファイルを利用して脆弱性のあるシステムを乗っ取る可能性のある、FFmpegの重大な脆弱性を発見した。

製品
羊の皮を被った狼

Malwarebytes装った更新詐欺に注意してください

6月24, 2026

詐欺師たちが、サブスクリプション料金が請求されたと偽ったソフトウェアの更新通知を送信しています。中には、Malwarebytes装う者もいます。

詐欺
片手に頭を抱え、もう片方の手に携帯電話を持った若者が座っていた。

「Total 」。セクストーション詐欺師が再び襲来

6月24, 2026

彼らは、動画やマルウェアを所持しており、あなたのデバイスを完全に掌握していると主張しています。ここでは、被害者ではなくセキュリティ研究者の視点で、セクストーションメールを読み解く方法をご紹介します。

Googleで優先ソースとして追加する

関連記事

投稿者アイコン

投稿者

脅威センターのアイコン

スレットセンター

ポッドキャスト・アイコン

ポッドキャスト

用語集アイコン

用語集

詐欺アイコン

詐欺