【解析】Amazon返金に関する詳細情報の正体｜最新フィッシング詐欺レポート

【調査報告】最新の詐欺メール解析レポート

メールの解析結果と回線情報の相関エビデンス

最近のスパム動向

今回ご紹介するのは「Amazon」を騙るメールですが、その前に最近のスパムの動向を解説します。昨今、大手ECサイトのブランドを悪用し、「返金」や「二重請求」といった金銭的なフックでユーザーを焦らせる手法が再燃しています。これらのメールは一見本物に見えますが、送信元サーバー（Receivedヘッダー）を解析すると、正規のインフラとは全く無関係な海外の安価なレンタルサーバーやクラウドサービスが悪用されている実態が浮き彫りになります。

解析対象メールの基本構成

件名： [spam] Amazon返金に関する詳細情報

※件名の見出し：サーバー側で迷惑メールの疑いがある場合に付与される「[spam]」フラグが確認されました。この時点で、送信ドメイン認証（SPF/DKIM）の失敗や、送信元IPがブラックリストに登録されている可能性が極めて高いことを示しています。

送信者： “Amazon” <lj63s9@amazon.co.jp>

受信日時： 2026-02-03 12:03

メール本文の構造解析（忠実再現）

解析コメント：

本物のAmazonの通知レイアウトを模倣していますが、送信者アドレスの「lj63s9」というランダムな文字列が決定的な偽物の証拠です。公式サイトでも「Amazonがこのような不自然なアドレスから、返金を理由にログインを促すことはない」と明確に否定されています。

Received (送信元サーバーの解析結果)

これはメール送信に利用された実際の通信記録です。カッコ内のIPアドレスは、送信者の身元を特定する上で最も信頼できる情報です。

偽装判定： 送信者アドレスは amazon.co.jp を名乗っていますが、実際の送信サーバーは全く無関係な写真スタジオ（rolfephotography.com）のドメインを経由しています。これは典型的ななりすましです。

⇒ 送信元情報の根拠データを確認（ip-sc.net）

サイト回線関連情報 (誘導先偽ドメインの解析)

誘導先の詐欺サイトが利用しているインフラおよびドメインの登録状況です。

■ ドメイン登録日に関するセキュリティ分析：

この「amazoon（oが一つ多い）」を含むドメインは、解析時点からわずか約2週間前に登録されたばかりです。信頼性の高いAmazonのようなサービスが、急造された「.cfd」という安価なトップレベルドメインを使用することは絶対にありません。これは、攻撃者がセキュリティソフトのブラックリストを回避するために、新しいドメインを次々と取得しては捨てていることを示す決定的な証拠です。

⇒ サイト回線情報の解析詳細へ（ip-sc.net）

リンク先サイトの稼働状況と画像

状態： ウイルスバスター等により「フィッシング詐欺」としてブロック済み

【詐欺サイトの視覚的証拠】

リンク先は正規のログイン画面を精巧に盗用していますが、入力した情報はすべて窃取されます。現在は各セキュリティベンダーによりブロックが進んでおり、ブラウザでアクセスすると警告が表示される状態です。

まとめと総評

今回のケースは、Amazonの返金通知を装い、直近に取得された「使い捨てドメイン」へと誘導する典型的なフィッシング詐欺です。過去の事例と同様に、メール文面は完璧に見えても、ネットワークインフラ（IPアドレスやドメイン登録日）を調査することで、明確に悪意を特定することが可能です。公式サイトでも常に新しい手口が更新されていますので、不審なメールは開かずに公式ルートで確認することを徹底してください。