1. セキュリティ対策ラボ
  2. セキュリティニュース
  3. 情報セキュリティ
  4. Peatixのメッセージ機能を悪用したフィッシングメール(迷惑メール)が急増—本物の@peatix.comから届く【注意喚起】

Peatixのメッセージ機能を悪用したフィッシングメール(迷惑メール)が急増—本物の@peatix.comから届く【注意喚起】

セキュリティニュース

投稿日時: 更新日時:

Peatixのメッセージ機能を悪用したフィッシングが急増—本物の@peatix.comから届く【注意喚起】

2026年6月11日頃から、Peatix(ピーテックス)のイベントメッセージング機能を悪用したフィッシングメールによる詐欺が急増しています。

Peatix公式ヘルプページも「Peatixを装ったフィッシングメールにご注意ください。Peatixを騙り、不審なURLへ誘導するメールが確認されています。

個人情報の入力やリンクのクリックは行わず、疑わしい場合は、Peatix公式サイトやヘルプページにて正しい情報をご確認ください」という注意喚起を掲載しています。今回確認されている攻撃の最大の特徴は、送信元が本物の「[email protected]」であるという点です。

攻撃者はPeatixのアカウントを作成し、イベント参加者向けメッセージ送信機能を通じてフィッシングメッセージを送付しています。このため、メールがPeatixの公式サーバーから送信されることになり、一般的なスパムフィルターをすり抜けてしまいます。誘導先URL「https://come.ac/peatix-verify」はPeatixとは無関係のドメインであり、このリンクは絶対にクリックしないでください。本記事では実際に届いた不審メールのサンプルをもとに、8つの見分け方・クリックしてしまった場合の対処法・Peatixの正規の連絡方法を解説します。

サマリー

  • Peatix公式が注意喚起を発出:参加者ヘルプ・主催者ヘルプの両ページにフィッシング警告を掲載中
  • 攻撃の仕組み:Peatixのメッセージング機能を悪用→送信元は本物の「[email protected]」→スパムフィルターをすり抜ける
  • 偽URLhttps://come.ac/peatix-verify.acはアセンション島のTLD。Peatixとは無関係)
  • 典型的な文言:「本人確認」「24時間以内に確認が行われない場合、アカウントが停止されます」
  • 見分ける8つのポイント:①偽URL ②キリル文字「Р」によるなりすまし ③文脈に不自然な文言 ④絵文字の多用 ⑤24時間の緊急圧力 ⑥送信専用アドレスからの行動要求 ⑦サービスとの不一致 ⑧件名の番号
  • リンクを踏んだ場合:直ちにPeatixパスワードを変更、同一パスワードを使い回しているサービスも変更、クレジットカード情報を入力した場合はカード会社に連絡

実際に届いたフィッシングメールのサンプル

以下は実際に報告されているフィッシングメールです。

差出人:セキュリティ対策.Lab(ラボ) <[email protected]> 件名:本人確認-#50901

多発するサイバー攻撃、複雑化するセキュリティ運用をどう強化するか? に関してРеatix ✓さんから Peatix メッセージが届いています。

日時: 2026/06/23 11:00 – 12:00 JST

あなたへの重要なお知らせ ❗️

安全な出会いのため、お客様の情報を確認・更新してください。

そのための専用リンクはこちらです:https://come.ac/peatix-verify

本人確認は24時間以内に行ってください。この期間内に確認が行われない場合、アカウントが停止されますのでご注意ください。

その他、何か問題がございましたら、サポートチームまでご連絡ください。担当者が喜んでお手伝いいたします。

敬具 テクニカルサポート ❤️

購入手続きをするとチケット購入サイトのメッセージを受領し銀行口座入力画面へ遷移

文中のURLから後購入手続きをすると、最終的に以下販売ページへ遷移させようとします

チケット販売の確認

チケット販売の確認を選択すると以下へ遷移し、恐らくリアルタイムフィッシングor攻撃者の口座などへ不正送金をさせようとしています

https://peatix.protect4932432.shop/209722268

 

peatix-message-phishing-alert

peatix-message-phishing-alert

このメールの送信元が本物のPeatixサーバーであるため、受信トレイに正常に届き、メールクライアントの「送信者認証済み」表示が出ることがあります。しかしながら以下に示す8つのポイントから、このメールが詐欺であることは明確に判別できます。

8つの見分け方——なぜこれが詐欺とわかるか

① URLのドメインが「peatix.com」ではない

最も重要な確認ポイントです。

偽URL:https://come.ac/peatix-verify  ← 絶対にクリックしない
本物URL:https://peatix.com/...

come.acはアセンション島(南大西洋の英国海外領土)のccTLDであり、短縮URLサービスやリダイレクトに転用されています。Peatixの公式URLは必ずpeatix.comドメインであり、come.acや他のドメインにリダイレクトされることはありません。リンクをクリックする前に、マウスカーソルをリンクに重ねてリンク先URLを確認する習慣をつけてください。

② 「Р」はキリル文字——Unicode視覚的なりすまし(Homograph攻撃)

メール本文中の「Реatix ✓」をよく見ると、先頭の「Р」はキリル文字(ロシア語等で使われるアルファベット)であり、ラテン文字の「P」とは異なる文字コードです。これは「Unicode Homograph攻撃」と呼ばれる手法で、見た目が似た別の文字を使って本物のサービス名を偽装する技術です。「Peatix」ではなく「Рeatix」です。

③ 「安全な出会いのため」——サービスの性質と矛盾する文言

Peatixはイベントチケット販売・管理プラットフォームです。「安全な出会いのため」という表現はマッチングアプリ等で使われる文言であり、イベントサービスとして全く文脈が合いません。攻撃者が別のフィッシングテンプレートを流用した際に文言の修正が不十分だったと考えられます。

④ 絵文字の多用と不自然な敬称

「あなたへの重要なお知らせ ❗️」「テクニカルサポート ❤️」など、企業の公式連絡として不自然な絵文字が使われています。Peatixの正規のサポートメールにハートマークの絵文字が含まれることはありません。

⑤ 「24時間以内」という緊急圧力

「本人確認は24時間以内に行ってください。この期間内に確認が行われない場合、アカウントが停止されます」という表現は、フィッシング詐欺の典型的な手口です。被害者を焦らせて冷静な判断を妨げ、URLを確認せずにクリックさせることが目的です。正規サービスが一方的なメッセージで24時間以内のアカウント停止を告知することは通常ありません。

⑥ 送信専用アドレスからの行動要求の矛盾

メール末尾に「送信専用のアドレスから送られています。このメールには返信しないでください。」と記載されているにもかかわらず、URLクリックや個人情報の入力を求めています。返信窓口を持たないアドレスから「担当者が喜んでお手伝いします」と連絡を促すのは矛盾しており、問い合わせ先への誘導ではなくURLクリックだけを目的としていることがわかります。

⑦ 本文中のメッセージ送信者の表示に注目

「セキュリティ対策.Lab(ラボ)」という名前がメールの差出人欄に表示されているのは、攻撃者がPeatixのメッセージ機能でこのユーザー(セキュリティ対策Lab)宛にメッセージを送ったからです。Peatixのシステムは「あなたへのメッセージが届いています」という形式でこのようなメールを生成します。つまり攻撃者はPeatixアカウントを作成してメッセージ送信機能を悪用していることがわかります。

⑧ 件名の番号は無意味

「本人確認-#50901」のような番号は、正式な問い合わせ管理番号のように見せかけるための演出です。クリックを促す信頼性の演出に過ぎず、実際には何の意味も持ちません。

なぜスパムフィルターをすり抜けるのか——攻撃の技術的な仕組み

通常のフィッシングメールは、偽のドメイン(例:[email protected]など)から送信されるためSPF・DKIM・DMARCのメール認証で検知・拒否されます。

今回の攻撃が危険な理由は、攻撃者がPeatixの正規サーバーを経由して送信していることにあります。Peatixのメッセージング機能でイベント参加者にメッセージを送ると、Peatixのサーバーが代理で[email protected]から通知メールを送信します。攻撃者はこの仕組みを悪用し、フィッシングリンクを本文に埋め込んだメッセージを送ることで、スパムフィルターに引っかからずに受信者の受信トレイに届けることができます。

この手法はPlatform Abuse(プラットフォーム悪用)と呼ばれるフィッシング技術の一種で、TikTok・Instagram Reelsを使ったVidar Stealer配布など、正規のプラットフォームのインフラを悪用する攻撃は2026年に急増しています。

Peatixが繰り返しフィッシングの標的になる背景

Peatixは2020年10月16〜17日に第三者による不正アクセスを受け、約460万件のユーザー情報(氏名・メールアドレス・暗号化パスワード等)が漏洩したことを公表しています(公式FAQ)。この際に流出したメールアドレスリストは地下市場で流通しており、Peatixユーザーを標的にしたフィッシングキャンペーンが2020年以降継続的に行われています。

2026年6月に確認されているフィッシングは、メッセージ送信機能を悪用する新しい手法を加えたもので、過去の手口より発見が困難になっています。

リンクをクリックしてしまった場合の対処法

情報を入力していない場合:ページを開いただけであればリスクは限定的ですが、念のため以下を実施してください。

  1. そのページを閉じる(バックボタンではなくウィンドウを完全に閉じる)
  2. ブラウザの閲覧履歴・キャッシュをクリア
  3. Peatixアカウントのパスワードを念のため変更する

メールアドレス・パスワードを入力してしまった場合

  1. 直ちにPeatixのパスワード変更ページでパスワードを変更する
  2. 同一のパスワードを使い回しているすべてのサービスでパスワードを変更する(メール・SNS・銀行・ECサイト等)
  3. パスワードマネージャーを使って各サービスに異なる強固なパスワードを設定する

クレジットカード情報を入力してしまった場合

  1. 直ちにカード会社(裏面の緊急連絡先)に電話してカードの利用停止と再発行を依頼する
  2. 身に覚えのない決済がないか明細を確認する

Peatixの正規の連絡方法

Peatixが本人確認を求める際は、登録済みのメールアドレスへの公式メールとアプリ内通知を通じて行われます。以下の原則を覚えておいてください。

  • Peatixは「24時間以内にリンクをクリックしないとアカウント停止」という形の本人確認を行いません
  • 不審なメールを受け取った場合は、メール内のリンクからではなくブラウザで直接peatix.comを入力してアクセスし、公式サイト内でアカウント状態を確認してください
  • Peatixへの問い合わせは参加者ヘルプまたは主催者ヘルプから行ってください
  • 不審なメッセージを受け取った場合は、Peatixの報告機能でそのアカウントを報告してください

参考情報

関連記事

WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063)WindowsのTCP/IP IPv6を使用する全てのシステムに影響を与える緊急度の高い 脆弱性(CVE-2024-38063) フーシ派参戦でイラン紛争が拡大|紅海・ホルムズ海峡封鎖と日本の原油への影響フーシ派 参戦でイラン紛争が拡大-紅海・ホルムズ海峡封鎖と日本の原油への影響 株式会社イセトーがランサムウェア感染と被害を発表イセトーのランサムウェアとサイバー攻撃による情報漏洩のまとめ いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年最新】いえらぶCLOUDへの不正アクセスによるサイバー攻撃 被害 企業や概要まとめ【2026年5月29日時点】 Default ThumbnailWelcomeHRを運営するワークスタイルテックが約15万人の個人情報漏洩を発表 自衛隊員の中国大使館侵入事件が移す地政学リスク-局地的事象から波及する認知戦自衛隊 員の中国大使館 侵入 事件が映す地政学リスク-局地的事象から波及する認知戦 ランサムウェア 事例解説|被害の内容をランサムウェアの種類別に紹介ランサムウェアの事例を解説 仮想通貨エアドロ「ハムスターコンバット」は世界的に1億5000万人がインストールされているとされています。ESETはこの「ハムスターコンバット」の偽のダウンロードページでマルウェアが配布されている事を警告しました。偽のハムスターコンバットでマルウェア配布を確認 トロイの木馬化された「jQuery」がnpmやGitHubで拡散トロイの木馬化された「jQuery」がnpmやGitHubで拡散