【注意喚起】「Amazon発送準備開始」スパムを暴く!Google Cloudを悪用した送信元を特定
このメールは「Amazon」を装ったフィッシング詐欺です。
送信元ドメイン・URL・IPアドレスを確認したところ、正規メールではありません。
絶対にリンクをクリックしないでください。
1. 最近のスパム動向
2026年に入り、AIを用いたより自然な日本語のフィッシングメールが急増しています。特にAmazonや電力会社、税務署を騙るケースが多く、報告件数は月間19万件を超える高い水準で推移しています。従来の「おかしな日本語」で見分ける手法は通用しなくなっています。
2. 今週のスパム傾向
今週は、高額商品の「発送準備開始」を装い、ユーザーに「心当たりのない注文」だと思わせて焦ってリンクをクリックさせる手口が多発しています。本物と見紛う注文確認メールのデザインを悪用しているのが特徴です。
3. 前書き:身に覚えのないプレゼント?
頼んでもいないイヤホンが勝手に発送準備に入ったそうです。しかもノイズキャンセリング機能付き。私の静寂な生活を心配してくれるなんて、スパマーさんは親戚の叔母さんよりお節介ですね。まあ、静かにしてほしいのは彼らの活動の方なのですが。
では、詳しく見ていくことにしましょう。
4. 件名
[spam] 【Amazon】注文商品の発送準備を開始しました
5. 件名の解析:なぜ [spam] と判定されたか
件名に [spam] が付与されているのは、送信元サーバーの信頼性が著しく低い、あるいは本文内のリンク先が既にフィッシングサイトとしてブラックリストに登録されているためです。フィルターが「これはゴミですよ」と親切に教えてくれている状態です。この時点でリンクはすべて無効(クリック不可)として扱うべきです。
6. 送信者・受信日時
送信者: “Amazon.co.jp” <no-reply@amazon.co.jp>
受信日: 2026-01-27
受信時刻: 11:56
7. 本文(全文表示)
荷物は配送待ちです。
注文済み
発送済み
配達中
配達済み
岡部博一 – 東京都
注文番号 563-6911164-5797958
※実際のリンク先:h**ps://www.amuazon.cfd/login(セキュリティのため伏字にし、リンクを無効化しています)
商品画像
Anker Soundcore P40i (Bluetooth 5.3) 【完全ワイヤレスイヤホン/ウルトラノイズキャンセリング 2.0 / マルチポイント接続 / 最大60時間再生 / PSE技術基準適合】
数量: 1
info
荷物を残す場所を伝えたい場合は、配送方法を追加してください。
?2026 Amazon.com. All rights reserved. Amazonのロゴ、Amazon.co.jpおよび、Amazon.co.jpのロゴは、 Amazon.com, Inc.またはその関連会社の商標です。
送信者:アマゾンジャパン合同会社
住所?各種お問い合わせについては、こちらの「販売業者」欄をご参照ください。
Amazon.co.jpプライバシー規約
8. 危険なポイント
送信者メールアドレスの偽装:
表示上の送信者は no-reply@amazon.co.jp となっており、一見本物に見えます。しかし、メールヘッダー(Received情報)を確認すると、実際にはGoogle Cloudの個人用サーバー(Compute Engine)から送信されていることがわかります。Amazon公式が自社のシステムを通さず、わざわざ他社のクラウドサーバーの個人貸出枠からメールを送ることは 100%あり得ません。
9. 推奨される対応
このメールは 即座に削除 してください。「注文をキャンセルしなきゃ!」と焦ってボタンを押すのが犯人の狙いです。どうしても注文状況が気になる場合は、メール内のリンクではなく、公式アプリやブラウザのブックマークからAmazonにログインして確認してください。そこには、このイヤホンの履歴など存在しないはずです。
10. Received関連(メールヘッダー情報)
解析結果:
カッコ内の情報は、受信サーバーが直接通信した相手の 「信頼できる送信者情報」 です。
ここに含まれる bc.googleusercontent.com は、Google Cloud (GCP) の利用者へ割り当てられるドメインです。つまり、Amazonではなく「誰かが借りているGoogleのサーバー」から送信されています。公式ドメインを偽装していますが、足跡は隠せていません。
11. リンク関連
リンク箇所: 「注文状況を確認する」のボタンおよびURL文字列
リンク先URL: h**ps://www.amuazon.cfd/login(伏字を含みリンクは無効化)
| 項目 | 解析データ(whois.domaintools.com等) |
|---|---|
| リンクドメイン | www.amuazon.cfd |
| IPアドレス | 104.21.65.198 (Cloudflare経由) |
| ホスティング社 | Cloudflare, Inc. |
| 国名 | United States (アメリカ) |
| ブロック有無 | ウイルスバスター/Google:現時点では無し(判定漏れ) |
12. URLが危険と判断できるポイント
ドメイン名が 「amuazon.cfd」 となっており、一文字多い「u」が含まれています(タイポスクワッティング)。また、.cfdという特殊なトップレベルドメインをAmazon公式がメインのログインページに使用することはありません。セキュリティソフトのブロックを回避するために、作成されたばかりの新しいドメインを使用している可能性が極めて高いです。
13. リンク先が稼働中かどうか
現在、稼働中 です。アクセスするとAmazonのログイン画面に酷似した偽ページが表示され、情報を入力すると即座に盗み取られます。
14. 詐欺サイトの画像
15. まとめ
今回のスパムは、送信元を公式に偽装しつつ、中身はGoogle Cloudから配信するという「ガワだけ立派な」典型例でした。ドメイン名の一文字違いを見抜けるかどうかが分かれ目です。身に覚えのない発送通知は、まず「嬉しい」ではなく「怪しい」と考える習慣をつけましょう。偽物のノイズキャンセリングでは、詐欺の警告音まで消せませんからね。