堀口英利の「【重要】堀口英利を騙ったWebサイトの改竄および電子メールの送信について」の検証

　堀口英利が 2025年1月25日に公開したnote記事「【重要】堀口英利を騙ったWebサイトの改竄および電子メールの送信について」について整理し検証を行った。

記事について

　当該のnote記事は2025年1月25日 13:40 に投稿された。その後、翌日の1月26日19時過ぎに「考えられる原因について」に追記が行われた。
　詳細な差分に関してはウェブ魚拓で確認してもらいたい。

魚拓 2025年1月26日 21:39
魚拓 2025年1月25日 15:47

魚拓リスト - https://note.com:443/hidetoshi_h_/n/n6935c91eea2d

　堀口による記事では、記述や説明が不足している部分が多く、内容が掴みにくいものとなっている。概要と詳細をまとめたが、筆者の憶測を多分に含んだものとなることに留意されたい。

　筆者もメールシステムなどに知見があるわけではない為、誤りがあるかもしれない。その場合はコメント等で指摘してほしい。

概要

　堀口は記事の中で、下記３点を報告している。

• ホームページの改竄が行われた。その改竄されたホームページで堀口英利のプロフィールを表示している。

• 何者かが、堀口英利を騙るなりすましメールを送信した。

• 風俗店の利用客から風俗店に宛てたメールが、堀口英利に転送されている。

ホームページの改竄

　改竄が確認できたホームページは以下となる。

• 国境なき楽団

• IRM感情科学プログラム

• 株式会社アイリスマネジメント

• 合同会社ロクテック

• Spray10周年特設サイト

• 八戸工業大学第二高等学校

• 高松丸亀町商店街webサイト

• のじり地域包括支援センター

• 和歌山憲法研究会

• TEAM-VISION合同会社

• 日本ゲームシナリオライター協会

• 株式会社ビーワン・クリエイト

• 上州あかぺら市場

• 長期熟成酒研究会

• 株式会社リアルエステート・アドバイザーズ

• 合同会社ネオインベント

• 京都税理士協同組合

• 農業バンク

• 一般財団法人京都ユースホステル協会

• NPO法人CAN

• 株式会社ブルーチップ・コンサルティング

• 町田デリヘル Midara(淫ら)

• 衆議院議員 古屋圭司

• オーダースーツ専門店ツキムラ

• スイム一礼株式会社

• 有限会社シンコウビルダーズ

• パナソニック松愛会

※ 改竄されたという情報はあったが、魚拓等で改竄を確認できなかったホームページは掲載していない。

メールのなりすまし送信

　ホームページが改竄されたサーバから、堀口英利を騙るメールアドレスで、不特定多数に向けて「個人情報が流出した」「サイバー攻撃を実施した」という旨のメールが送信された。

風俗店メールの転送

　風俗店から発信されたメール、及び風俗店へのメールが堀口英利に送信された。

下記2件が記事に挙げられている。

差出人：デリヘリタウン @dto.jp　宛先：人妻隊 @hitodumatai.jp
差出人： docomo携帯　宛先：人妻隊 @hitodumatai.jp

この件に関しては、情報が少ないため詳細は不明である。

詳細

ホームページの改竄

改竄内容
　ホームページが「【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました」「このウェブサイトは、キングス・カレッジ・ロンドン社会科学・公共政策学部 戦争学科の堀口英利によって改ざんされました。ご協力ありがとうございました。」のメッセージと堀口英利のプロフィール写真に置き換えられた。

改竄されたホームページの一例
　2025/01/23(木) 11:18 の報告以前

　2025/01/23(木) 11:18 の報告以降のホームページ改竄はメッセージが変更された。題名は「ハッキング実施のお知らせ」から「サイバー攻撃を実施しました」に変更、「ご質問は下記のメールアドレスまで。」とメールアドレスが記載されるようになった。また、プロフィール写真にロンドン大学のロゴが付与された。

改竄されたホームページの一例
　2025/01/23(木) 11:18 の報告以降
https://note.com/hidetoshi_h_/n/n6935c91eea2d

　1/26(日)以降の改竄においては「【重要】貴殿のウェブサイトをサイバー攻撃から保護しました」「このウェブサイトには深刻な脆弱性が存在したため、キングス・カレッジ・ロンドン社会科学・公共政策学部 戦争学科の堀口英利が先んじて保護しました。ご質問は以下のメールアドレスまで。」と文言が変更された。

改竄されたホームページ

　以下のホームページが改竄された。

国境なき楽団

改竄前の内容

国境なき楽団 Top page

改竄された内容

【魚拓】http://www.gakudan.or.jp/

IRM感情科学プログラム

IRM感情科学プログラム

改竄された内容

【魚拓】https://irm-co.jp:443/

株式会社アイリスマネジメント

株式会社 アイリスマネジメント

改竄された内容

【魚拓】https://www.ilis-m.co.jp:443/

合同会社ロクテック

トップページ - 合同会社ロクテック (Roku Tech LLC)

改竄された内容

https://archive.md/https://www.rokutech.jp/

Spray10周年特設サイト

改竄前の内容

Spray10周年特設サイト

改竄された内容

【魚拓】http://www.spray.ne.jp/10th/

八戸工業大学第二高等学校

八戸工業大学第二高等学校

改竄された内容

【魚拓】https://www.kodai2-h.ed.jp:443/

高松丸亀町商店街webサイト

亀頭3兄弟webサイト kame3.jp

改竄された内容

【魚拓】https://kame3.jp:443/

のじり地域包括支援センター

タイトル未設定

改竄された内容

【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました

和歌山憲法研究会

和歌山憲法研究会　モバイル版サイト

改竄された内容

【魚拓】http://kenpo.kinokuni.qcweb.jp/m/index.html

TEAM-VISION合同会社

あこがれが成長モデル【チーム・ビジョン】チーム育成研修・人材育成研修in愛知県名古屋市

改竄された内容

【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました

日本ゲームシナリオライター協会

日本ゲームシナリオライター協会 | Japan Game ScenarioWriters Association

改竄された内容

【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました

株式会社ビーワン・クリエイト
改竄前の内容

独自の５Ｓコンサルティングで「会社の変化」と「社長の望み」の実現を加速する、株式会社ビーワン・クリエイト

改竄された内容

【魚拓】https://www.beone-c.com:443/

上州あかぺら市場
改竄前の内容

『上州あかぺら市場2019』出演者発表！（速報版） | 上州あかぺら市場

改竄された内容

【魚拓】https://acappella-ichiba.org:443/

長期熟成酒研究会
改竄前の内容

長期熟成酒研究会 | Association for Long Term Aged Sake

改竄された内容

【魚拓】http://www.vintagesake.gr.jp/

株式会社リアルエステート・アドバイザーズ
改竄前の内容

不動産ビジネスの基本

改竄された内容
https://archive.md/http://sssb.jp/

合同会社ネオインベント

NeoInvent co.,Ltd

改竄された内容

【魚拓】https://www.neoinvent.co.jp:443/

京都税理士協同組合

京都税理士協同組合

改竄された内容

【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました

農業バンク

農業バンク | 日本最大の農業資材・器具販売サイト 農業資材の販売/買取

改竄された内容

【魚拓】https://www.nogyo-bank.com:443/

一般財団法人京都ユースホステル協会

きょうと・ユースホステル通信 - 一般財団法人京都ユースホステル協会｜京都発　新しい旅と、旅する青少年を応援するサイト

改竄された内容

【重要】貴殿のウェブサイトをサイバー攻撃から保護しました

NPO法人CAN

NPO法人CAN

改竄された内容

【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました

株式会社ブルーチップ・コンサルティング

ベトナム投資のブルーチップ・コンサルティング

改竄された内容

【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました

町田デリヘル Midara(淫ら)

町田デリヘル Midara(淫ら)

改竄された内容

【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました

衆議院議員 古屋圭司
改竄前の内容

衆議院議員 古屋圭司オフィシャルサイト

改竄された内容

【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました

オーダースーツ専門店ツキムラ

【公式】オーダースーツ専門店 ツキムラ 3着55,000円～｜ツキムラ

改竄された内容

【魚拓】https://www.tukimura.com:443/

スイム一礼株式会社

今日もプールに一礼から始めよう！

改竄された内容

【魚拓】http://swim10.co.jp/

有限会社シンコウビルダーズ

シンコウビルダーズ

改竄された内容

【重要】貴殿のウェブサイトに対しサイバー攻撃を実施しました

パナソニック松愛会

【魚拓】パナソニック松愛会

改竄された内容

【魚拓】https://www.shoai.jp:443/

　国境なき楽団、Spray10周年特設サイト、のじり地域包括支援センター、株式会社ビーワン・クリエイト、上州あかぺら市場、株式会社リアルエステート・アドバイザーズ、京都税理士協同組合、衆議院議員 古屋圭司、スイム一礼株式会社、有限会社シンコウビルダーズ、パナソニック松愛会は一時的に停止している（2025/2/3 現在）。

　上記以外は1月31日現在では復旧している。

※ 改竄されたという情報はあったが、魚拓等で改竄を確認できなかったホームページは掲載していない。

改竄の報告

　ホームページの改竄は5ちゃんねるのタキシードぱんだスレなどで1月16日から報告されていた。

2025/01/16(木) 01:01

【暇アノン】暇な空白/暇空茜/ひまそらあかね ★1233【これ最新バージョンだったみたいですね】

2025/01/16(木) 03:40

タキシードぱんだ🐼と堀口くん👔ふぁんくらぶ 示談1589件目

2025/01/16(木) 21:19

タキシードぱんだ🐼と堀口くん👔ふぁんくらぶ 示談1590件目

2025/01/19(日) 19:24

タキシードぱんだ🐼と堀口くん👔ふぁんくらぶ 示談1593件目

2025/01/20(月) 07:16

タキシードぱんだ🐼と堀口くん👔ふぁんくらぶ 示談1593件目

2025/01/23(木) 11:18
これ以降の改竄には、メールアドレスが記載されるようになった。

タキシードぱんだ🐼と堀口くん👔ふぁんくらぶ 示談1596件目

2025/01/23(木) 17:40

タキシードぱんだ🐼と堀口くん👔ふぁんくらぶ 示談1596件目

2025/01/25(土)20:25

【暇アノン】暇な空白/暇空茜/ひまそらあかね ★1242【SEKIRO逃げ太郎】

2025/01/26(日) 22:01

タキシードぱんだ🐼と堀口くん👔ふぁんくらぶ 示談1599件目

2025/01/30(木) 19:54

タキシードぱんだ🐼と堀口くん👔ふぁんくらぶ 示談1602件目

2025/02/02(日) 17:08

タキシードぱんだ🐼と堀口くん👔ふぁんくらぶ 示談1606件目

メールのなりすまし送信

　堀口英利を騙る発信者からのメールが不特定多数に送信された。このメール送信は転送されてきたエラーメールから把握した事であり、堀口が送信先からの照会などで確認したわけではない。

　エラーメールに添付されていた内容から、発信元として下記2件が挙げられている。この2件は記事に挙げられているものだけであり、他のホームページを改竄されたサーバからも送信されている可能性はある。

• 国境なき楽団PLUS  @gakudan.or.jp

• 株式会社アイリスマネジメント @ilis-m.co.jp

　この発信元はサーバを乗っ取られホームページを改竄されたドメインとなっており、その乗っ取られたサーバから送信された。

メールの内容

　差出人は前述の国境なき楽団PLUSおよび株式会社アイリスマネジメント、宛先アドレスの i.softbank.jp はソフトバンクの iPhoneやスマートフォンに設定されるメールアドレス、yahoo.de はドイツのyahooメールのアドレスとなっている。
　差出人、宛先には堀口の名前やメールアドレスは無い。本文内のメッセージに氏名やメールアドレスが記載されている。

差出人：国境なき楽団PLUS
宛先：i.softbank.jp
題名：【謹告】貴殿の個人情報が国境なき楽団から流出しました

国境なき楽団
「後述する送信エラーを告げる電子メールに添付されていた.emlファイル」から抜粋https://note.com/hidetoshi_h_/n/n6935c91eea2d

差出人：株式会社アイリスマネジメント
宛先： yahoo.de
題名：【重要】貴殿のメールシステムに対しサイバー攻撃を実施しました

株式会社アイリスマネジメント
「後述する送信エラーを告げる電子メールに添付されていた.emlファイル」から抜粋
https://note.com/hidetoshi_h_/n/n6935c91eea2d

　これらのメールがエラーとなって堀口にエラーメールとして配送されたとしている。

メールシステム（MAILER-DAEMON）のメール

　堀口はメールシステム（MAILER-DAEMON）のメールからのエラー通知のメールを挙げている。
　それによると、メールシステムからのエラーメールが届いたという。

国境なき楽団
発信サーバ：step-mrelay4.mediawars.ne.jp
内容：<■■@i.softbank.jp>: host msv.softbank.jp[117.46.7.40] said: 550 Invalid recipient: <■■@i.softbank.jp> (in reply to RCPT TO command)

エラーの意味：送信先アドレスが存在しない。
国境なき楽団 gakudan.or.jp から i.softbank.jp のメールサーバに接続したところ、550 Invalid recipient が返された。

国境なき楽団
「送信エラーを告げるMAILER-DAEMONからの電子メール」から抜粋
https://note.com/hidetoshi_h_/n/n6935c91eea2d

株式会社アイリスマネジメント
発信サーバ：sv8054.xserver.jp
内容：<■■@yahoo.de: host mx-eu.mail.am0.yahoodns.net [188.125.72.74] said: 421 4.7.0 [TSS04] Messages from 183.181.88.55 temporarily deferred due to unexpected volume or user complaints - 4.16.55.1; see https://postmaster.yahooinc.com/error-codes (in reply to MAIL FROM command)

エラーの意味：Yahoo!メールの一定の規則によりメールの配信が停止されている状態。宛先不明のメールを一定時間内に多数送信し、一時的に拒否されていると思われる。

Yahoo!メールヘルプ

株式会社アイリスマネジメント
「送信エラーを告げるMAILER-DAEMONからの電子メール」から抜粋https://note.com/hidetoshi_h_/n/n6935c91eea2d

メールの発信元

　記事によれば、メールシステム（MAILER-DAEMON）からのエラー通知が堀口英利に対して送信されているという。

　メール上に表示される宛先（ヘッダTO）や差出人（ヘッダFrom）は表示上は自由に改変できる。しかし、メールシステムでやりとりするときの配信先（エンベロープTO）や発信元（エンベロープFrom）は改変できない。
　メールシステムからのエラー通知が堀口英利に配送されている以上、メールの発信元（エンベロープFrom）は contact@hidetoshi-h.com  等の堀口英利のメールアドレスになっていたと推定できる。

　公開されたエラー通知では2通とも、それぞれのドメインのメールシステム（MAILER-DAEMON）から送信されている。
　このことからなりすましメールは、改竄されたWebサーバから、不特定多数に向けて、堀口英利のメールアドレスを発信元（エンベロープFrom）として送信されたものと思われる。

メールの送信先

　エラーメールの内容からソフトバンクやyahooのアドレスが確認されている。これ以外のメールアドレスについては不明である。
　改竄されたホームページで運用しているメルマガ等に登録してあるメールアドレスが悪用された可能性は高い。

送信されたメール件数

　記事にも記載されていない為、件数は不明。国境なき楽団PLUSの告知に「メールが届いたという連絡を複数の方からいただきました」とあり、それなりの件数は送信されていると思われる。
　また、@yahoo.de 送信時のエラーメッセージから、yahoo宛のアドレスだけで複数の宛先不明アドレスがあったことが推定できる。
　このことから、改竄した各サーバから数十件以上のメールを配信したのではないかと推測する。

疑問点

　今回の事象の疑問点・不審点などを挙げる。

noteでの記事の表示

　noteの堀口英利のクリエーターページにおいて、当該記事「【重要】堀口英利を騙ったWebサイトの改竄および電子メールの送信について」が表示されない。

堀口 英利 | Horiguchi Hidetoshi のクリエーターページ （2025/1/25 21:25）
https://note.com/hidetoshi_h_  

　しかし、検索結果では表示される。

2025/1/25 21:25 時点での「堀口英利」での検索結果
https://note.com/search?context=note&q=%E5%A0%80%E5%8F%A3%E8%8B%B1%E5%88%A9&sort=new

　noteではシャドウバンとなった場合、検索には記事は表示されなくなるが、クリエーターページには表示される。記事への直接アクセスはともに可能である。

　また、特定の記事が公開停止された場合は「あなたがアクセスしたページはnote運営事務局により公開停止されています。」とメッセージが表示される。

記事が公開停止されたときのメッセージ

　上記から、当該記事は公開停止するほどではないが、積極的には公開できないものであると、note運営事務局に判断されている可能性がある。これは過去において不正や違法性の高い記事を投稿しているIPアドレスや組織からの投稿に対する自動的処置ではないかと推測する。

　過去、堀口英利のnote記事で今回のようなケースは発生していない。今回のみ、note運営事務局が警戒しているIPアドレスやＶＰＮを経由して投稿されたものではないかと推測する。

（2025/1/26 追記）
　noteの機能でクリエイターページで特定の記事を非表示することが可能となった（2025年1月17日実装）。この機能を使用して、非表示にしたと思われる。
　この場合、敢えて非表示にした理由は不明である。

（2025/1/26 22:30 追記）
　2025年1月26日19時過ぎに「考えられる原因について」に追記があった。それ以後クリエーターページに表示されるようになった。

堀口 英利 | Horiguchi Hidetoshi のクリエーターページ （2025/1/26 22:30）
https://note.com/hidetoshi_h_

outlook のフォルダ： inbox と deleteditems

　堀口は過去の報告において inbox にメールを保管している。2023年2月27日に受信したメールを証拠として3月3日に資料として作成している。その時は inbox のフォルダに保管している。

「公開メールアドレスへの嫌がらせ被害に関するお知らせ」より抜粋
読者登録の認証依頼（大手メールマガジン配信サービス運営企業）
堀口 英利 | Horiguchi Hidetoshi - Mar 3, 2023 https://twitter.com/Hidetoshi_H_/status/1631508976709033984

　今回の記事で提示されたメールは deleteditems のフォルダに保管されている。deleteditems は削除したメールのフォルダであり、証拠のメールをこのフォルダに保管することはあり得ない。

「送信エラーを告げるMAILER-DAEMONからの電子メール」より抜粋
【重要】堀口英利を騙ったWebサイトの改竄および電子メールの送信について
https://note.com/hidetoshi_h_/n/n6935c91eea2d

　但し、一件だけ異なるフォルダに整理されたメールがある。風俗関連のメールが「id」のフォルダに保管されている。

「風俗店の利用客から風俗店に宛てて送信されたとみられる電子メール」より抜粋
【重要】堀口英利を騙ったWebサイトの改竄および電子メールの送信についてhttps://note.com/hidetoshi_h_/n/n6935c91eea2d

「風俗店の利用客から風俗店に宛てて送信されたとみられる電子メール」より抜粋
【重要】堀口英利を騙ったWebサイトの改竄および電子メールの送信についてhttps://note.com/hidetoshi_h_/n/n6935c91eea2d

改竄時期

　ホームページの改竄は5ちゃんねるのタキシードぱんだスレなどで1月16日から報告されていた。
　事件の発生（1月16日）から記事の発表（1月25日）まで9日間のタイムラグがある。この間に何のアクションもなかった理由は不明である。

過去の同様事例との相違

　堀口英利は2023年3月3日に氏名とメールアドレスが悪用された「なりすまし」の被害を報告している。
　今回の記事は過去の報告と比較して以下の相違がある。

ヘッダ
　今回の記事のメールのスクリーンショットではヘッダに Outlook のロゴが記載されている。堀口英利が公開したメールのスクリーンショットでこのロゴが表示されているのは初出である。

「後述する送信エラーを告げる電子メールに添付されていた.emlファイル」よりより抜粋【
重要】堀口英利を騙ったWebサイトの改竄および電子メールの送信について
https://note.com/hidetoshi_h_/n/n6935c91eea2d

「騙って」「なりすまし」
　堀口英利は過去の事例において、メールアドレスやアカウント、名前を騙られたときには「なりすまし」との言葉を多用しており、「騙って」は使用していない。特に自分になりすまされる意味での使用は一件しか確認できなかった。

堀口 英利 | Horiguchi Hidetoshi on Twitter

もし当事者じゃなかったら、全国にいる大勢の弁護士からどうやって弁護士を当てて、事件の詳細を説明できるんですかね？
また、他の人が私を騙る目的や理由は何ですかね？ 話が通じない意味不明な言い掛かりを何度も付けてきているのは貴殿です。

堀口 英利 | Horiguchi Hidetoshi - Aug 3, 2023
https://twitter.com/Hidetoshi_H_/status/1687097021147299840

メールアドレスの表現
　今回の記事において、メールアドレスの概念や表現が以前と異なっている。

　以前は「メールアドレスへの嫌がらせ」と称しており、メールアドレス＝自分というスタンスであった。今回は「当方の管理する電子メール(@hidetoshi-h.comドメインの電子メール)」という表現をしており、管理者としての立場が感じられる。

上記のWebサイトを含む複数のドメインのメールアドレスから、当方を騙って「個人情報が流出した」「サイバー攻撃を実施した」旨の電子メールが送信されました。

また、これらのドメインのメールアドレスに宛てて送信された電子メールが当方の管理する電子メール(@hidetoshi-h.comドメインの電子メール)に宛てて転送されており、当方は、送信エラーを告げる電子メール(MAILER-DAEMONからの電子メール)によって、一連の被害を把握しました。

この他にも、風俗店の運営会社に宛てて送信されたと見られる電子メールが当方の管理する電子メール(@hidetoshi-h.comドメインの電子メール)に宛てて転送される事態も発生しています。

原因の解析
　1月26日19時過ぎに「考えられる原因について」に追記があった。そこではエラーメールを解析した結果サーバ上のプログラムの脆弱性が原因ではないかと指摘している。さらに、関連情報へのリンクを記載している。

この他に当方に届いた電子メールを解析したところ、差出人となる複数の企業および団体がエクストライノベーション株式会社のメール配信システム「acmailer」を使用していた形跡を確認しました。

【重要】堀口英利を騙ったWebサイトの改竄および電子メールの送信について
https://note.com/hidetoshi_h_/n/n6935c91eea2d

　過去において、堀口は原因を解析し関連資料を提示するような行為はしたことはなく、異例なことといえる。

　さらに、記事によれば堀口はエラーメールから特定のプログラムの痕跡を発見できるほどの知見を持っている事になる。今までの彼の経歴や発言等からこのような知見を得ていることは確認されていない。

　以上の事項から、今回の記事と過去の記事とでは大きな相違が感じられ、書き手が異なる可能性が高い。

資料

改竄された組織の告知

国境なき楽団  (2025/1/25 12:35)

国境なき楽団をご支援くださっている皆様、
今朝、
「【謹告】貴殿の個人情報が国境なき楽団から流出しました」というメールが届いたという連絡を複数の方からいただきました。
成りすましですので、反応なさらないようにお願いいたします。
ご迷惑をおかけして申し訳ありません。

https://www.facebook.com/NPO.MusiciansWithoutBorders/posts/911805211162153

【魚拓】国境なき楽団 - 国境なき楽団をご支援くださっている皆様、 今朝、... | Facebook

株式会社アイリスマネジメント (2025/1/27)

当サイトがサイバー攻撃を受けました | 株式会社 アイリスマネジメント

一般財団法人京都ユースホステル協会 (2025/1/28)

【ご報告】当協会ホームページへの不正アクセスについて

IRM感情科学プログラム (2025/1/28)

【お詫び】HP一時閲覧不可に関して | IRM感情科学プログラム

NPO法人CAN (2025/1/28)

NPO法人CAN

検証ライブ （暇空茜）

やっぱり堀口英利くん殺されてると思います  （2025/1/25）

過去の同様事例

---