セキュリティー

OpenRouterから「認識されないデバイス」のログイン通知メールが届いた時のチェックポイントと、IPアドレスの謎

メールセキュリティー

OpenRouterや様々なWEBサービスを利用していると、突然 「Unrecognized device signed in to your account(アカウントに見知らぬデバイスからログインがありました)」 という英語のセキュリティメールが届くことがあります。

「不正アクセス!?」「でも、場所は自分が住んでいる地域になっている…」 「それに、普段確認している自分のIPアドレスと数字が全然違う!」

そんな時、焦ってパスワードを変える前に確認すべきポイントと、 インターネットの少し不思議な仕組みについて、専門知識を交えて分かりやすく解説します。

 まず確認!そのメールは本当に「本物」か?(3つのセキュリティ認証)

不審なメールが届いたとき、最初に疑うべきは 「有名サービスを騙ったフィッシング詐欺メール(偽メール)ではないか」 という点です。

メールが本物、つまり公式から送られたものかどうかを見極めるには、 メールの裏側にある「ヘッダー情報」に含まれる、以下の3つの電子認証を確認します。

  • SPF(Sender Policy Framework): 送信元のサーバーが公式に許可されたものかを確認する仕組み
  • DKIM(DomainKeys Identified Mail): メールが途中で改ざんされていないかを電子署名で確認する仕組み
  • DMARC(Domain-based Message Authentication): SPFやDKIMの認証結果が、送信ドメインと正しく一致しているかを確認する仕組み

実際のメールヘッダーを解析したところ、これらはすべて 「PASS(成功)」 となっていました。

確認結果:
SPF、DKIM、DMARCがすべてPASSしているため、 他人がOpenRouterを騙って送った偽メールではなく、 OpenRouter、またはその認証システムから正しく送信された通知である可能性が非常に高い と判断できます。

 リンクURLのドメインチェック:これが「公式」と言える重要ポイント

リンクアドレス

フィッシング詐欺メールの多くは、本物そっくりのデザインで 「パスワードを変更してください」「ログアウトしてください」とボタンをクリックさせ、 偽のサイトに誘導しようとします。

今回のメールには、身に覚えがない場合にデバイスを強制ログアウトさせるための、 以下のような長いURLが含まれていました。

https://clerk.openrouter.ai/v1/tickets/accept?ticket=eyJhbGciOiJ...

このURLで最も重要なのは、最初の https:// に続く ドメイン名 です。

今回の場合、ドメインは以下の通りです。

clerk.openrouter.ai

clerk.openrouter.aiとは?

OpenRouterは、ユーザー認証、ログイン、アカウント管理の基盤システムとして、 「Clerk(クラーク)」という認証プロバイダを利用しています。

そのため、 clerk.openrouter.ai というURLは、OpenRouterがClerkと連携して用意している 認証用の正規サブドメイン と考えられます。

偽物の詐欺メールであれば、例えば以下のような、OpenRouterとは無関係な怪しいドメインに誘導されることが多いです。

  • openrouter-security-check.com
  • openrouter-login-update.net
  • clerk-login-support.example

しかし今回は、 SPF/DKIM/DMARCがすべてPASSしていること に加えて、 リンク先ドメインもOpenRouterの正規ドメイン配下であること が確認できています。

結論:
メール認証とリンク先ドメインの両方が整合しているため、 今回の通知メールおよびリンクは、 正規のOpenRouter関連通知である可能性が高い と判断できます。

ただし、セキュリティ上の基本として、少しでも不安がある場合は、 メール内のリンクを直接クリックするのではなく、 ブラウザからOpenRouter公式サイトへ直接アクセスして確認する方法が最も安全です。

 なぜ「広島県」のように具体的な場所がわかるのか?

メールには、以下のようにログインされた場所が記載されていました。

Location: Hiroshima, Japan
2404:7a87:780:bf00:7942:xxxX:xxxx:xxxx

「なぜシステムは、IPアドレスという文字列だけで、自分が広島県からアクセスしたと分かるの?」 と疑問に思うかもしれません。

この仕組みには、インターネット上の住所録のような GeoIP(ジオアイピー)データベース が使われています。

GeoIPで場所が分かる仕組み

  1. プロバイダによる地域割り当て
    契約しているインターネット回線会社、つまりプロバイダは、 「このIPアドレスの範囲は広島エリア用」「この範囲は東京エリア用」 というように、地域ごとにIPアドレスを割り当てています。
  2. 位置情報データベースへの登録
    世界には、IPアドレスの割り当て情報を調査・更新している専門企業があり、 それらの情報をもとに巨大な位置情報データベースを作成しています。
  3. ログイン時にシステムが照合
    OpenRouterのようなサービスは、ログインが行われた瞬間に 「このIPアドレスはどの地域で使われているか」をデータベースに照合します。 その結果、「Hiroshima, Japan」のような地域情報が表示されます。

つまり、メールに記載されている場所は、GPSのように端末の正確な位置を取得しているわけではなく、 IPアドレスの割り当て情報から推定された地域 です。

「普段のIPアドレス」と「通知のIPアドレス」が違う理由

ここで多くの人が混乱するのが、 「自分が普段確認しているIPアドレスと、メールに書かれているIPアドレスが全然違う」 という現象です。

例えば、以下のような違いです。

  • 普段確認しているIPアドレス: 126.109.XXX.xxx
  • メールに書かれていたIPアドレス: 2404:7a87:780:bf00:7942:xxxx:xxxx:xxxx

結論から言うと、 これらはどちらも、あなたのインターネット回線に関連するIPアドレスである可能性があります。

現在のインターネットでは、1つの契約回線に対して、 2種類のIPアドレス規格が同時に使われることがあります。

規格特徴
IPv4アドレス昔から使われている数字中心のIPアドレス。現在も広く利用されている。126.109.XXX.XX
IPv6アドレスIPv4アドレス不足を解消するために作られた新しい規格。数字とアルファベットで表記される。2404:7a87:...

現代の日本のインターネット回線では、このIPv4とIPv6の両方を同時に使える デュアルスタック や、それに近い仕組みが一般的になっています。

例えるなら、あなたに対して 「携帯電話番号(IPv4)」「LINEのID(IPv6)」 の両方が割り当てられているような状態です。

表記はまったく違って見えますが、どちらも同じインターネット回線からの通信として扱われることがあります。

なぜ今回はIPv6の方が表示されたのか?

「現在のIPアドレス確認サイト」などでは、IPv4アドレスを優先して表示するサイトも多いため、 普段は 126.x.x.x のようなIPv4アドレスを見ることが多いかもしれません。

一方で、OpenRouterのような新しいWebサービスや認証システムは、IPv6にも対応しています。

そのため、ログイン時にあなたの回線がIPv6で接続された場合、 メールのログには 2404:7a87:... のようなIPv6アドレスが記録されることがあります。

ポイント:
普段見ているIPv4アドレスと、通知メールに記載されたIPv6アドレスが違っていても、 それだけで不正アクセスとは判断できません。 場所、日時、利用端末、メール認証、リンク先ドメインを総合的に確認することが重要です。

 自分でログインしたのに「認識されないデバイス」と言われる原因

「自分自身のアクセスなのは分かったけど、なぜ『認識されないデバイス』なんて警告されるの?」 と思うかもしれません。

これは、システムが 「いつもと少し環境が違う」 と判断したときに起こります。

主に、以下のようなタイミングで通知されることがあります。

  • 初めてそのパソコンやブラウザからログインした
  • ブラウザのシークレットモードを使った
  • ブラウザの履歴やCookieを削除した直後だった
  • スマホのテザリングを使った
  • ルーターを再起動してIPアドレスが変わった
  • OSやブラウザのアップデート後にログインした
  • VPNやセキュリティソフト経由で接続した

つまり、この通知は必ずしも不正アクセスを意味するわけではありません。 ユーザーを守るための 「念のためのセキュリティ通知」 と考えると分かりやすいです。

まとめ:メールが届いたときの最終判断

OpenRouterからログイン通知メールが届いたら、以下の基準で落ち着いて確認しましょう。

日時・場所・端末に心当たりがある場合

判断: 問題ない可能性が高いです。

ログイン日時に心当たりがあり、場所も自分の行動範囲と一致している場合は、 自分自身のログインが通知されただけと考えられます。

今回のように、SPF/DKIM/DMARCがすべてPASSし、 リンク先ドメインも正規のOpenRouter関連ドメインであれば、 正規通知である可能性は高いです。

まったく心当たりがない場合

判断: 不正アクセスの可能性があります。

全くログインした覚えがない、あるいは海外など見知らぬ地域からのアクセスだった場合は、 すぐに対処した方が安全です。

  • OpenRouter公式サイトに直接アクセスする
  • ログイン中のデバイスを確認する
  • 不審なセッションがあればログアウトさせる
  • パスワードを変更する
  • 可能であれば二段階認証を有効にする

ネットのセキュリティ通知は、一見すると難しく見えます。 しかし、確認すべきポイントは決して多くありません。

  • メール認証がPASSしているか
  • リンク先ドメインが正規のものか
  • ログイン日時に心当たりがあるか
  • 表示された地域が自分の行動範囲と一致しているか
  • IPv4とIPv6の違いを理解しているか

これらを順番に確認すれば、焦らず冷静に判断できます。

正しい知識を身につけて、安全にOpenRouterやAIツールを活用していきましょう。

サイト内検索

-セキュリティー