Amazonを騙る「返金確認」偽メールを公開:Google Cloud経由のスパム配信経路を特定
【調査報告】最新の詐欺メール解析レポート
解析ステータス:フィッシングサイト確認済み / メール解析結果:Amazon騙りスパム | 1. 最近のスパム動向と前書き
昨今、大手ECサイトを装った「返金」や「アカウント停止」を通知するスパムが巧妙化しています。単なる情報の窃取だけでなく、正規のクラウドサービス(GCP等)を悪用してフィルタを潜り抜ける手法が目立ちます。本レポートでは、収集された検体を基に、その背後の通信構造を明らかにします。
| 2. 受信メールの基本情報 | 件名 | [spam] amazon.co.jp返金の確認 | | 件名の見出し | 冒頭の「[spam]」表記は、サーバーの検閲によりスパム判定を受けたことを示しています。 | | 送信者 | “Amazon.co.jp/ビジネス” <no-reply-3nfD@kuronekoyamato.co.jp> | | 受信日時 | 2026-02-14 03:21 | 3. メール本文の再現(解析用データ) 
| 注文履歴 | アカウントサービス | Amazon.co.jp |
Amazon.co.jpをご利用いただき、誠にありがとうございます。
下記の返金明細より、お支払いいただいたクレジットカードをご確認いただき、
ログインアカウントへの入金をご確認ください。 返金状況を確認 こちらから。 Amazon.co.jp をご利用いただきありがとうございます。
このメールアドレスは配信専用です。このメールには返信しないようお願いいたします。 | ※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。 メールの感想とデザイン
本メールはAmazonのブランドロゴを無断使用し、公式通知に酷似したレイアウトを構築しています。しかし、送信ドメインが「kuronekoyamato.co.jp(ヤマト運輸のドメイン)」となっており、Amazonとは一切無関係なドメインである点が最大の特徴です。
4. 危険なポイント・注意点・対処法
【アドレス比較】
公式:no-reply@amazon.co.jp
今回:no-reply-3nfD@kuronekoyamato.co.jp(完全な偽装) 【対処法】
このようなメールを受け取った場合、本文内のリンクは絶対に開かず、ブックマークや公式アプリから状況を確認してください。
| 5. 送信元サーバー解析(Received) | 以下はヘッダーから抽出した「送信に利用された情報」であり、カッコ内のIPは信頼性の高いデータです。 | | 送信元ドメイン | C202602131432078.local (偽装の可能性大) | | 送信者IPアドレス | 167.148.186.6 | | ホスティング/ホスト名 | bc.googleusercontent.com (Google Cloud Platform) | | 国名 | United States (アメリカ合衆国) | 6. リンク先サイト(詐欺サイト)の構造 | 誘導先URL | hxxps://amazozo.woyayao.co* /henkin/co.jp/
(※安全のため伏せ字を含み、リンクを無効化しています) | | ブロックの有無 | Google Safe Browsing:ブロック対象 / ウイルスバスター:警告表示 | | 稼働状態 | 稼働中(偽のエラーページを表示) | 詐欺サイトの画像(リンク先) | 
解析結果:「Sorry, your request timed out.」と表示されていますが、これは通信遮断を偽装し、ユーザーを油断させて裏でスクリプトを実行させる、あるいは解析を逃れるための偽のエラー画面である可能性が高いです。 | | 7. リンク先ドメイン・回線情報 | リンクドメイン | amazozo.woyayao.com | | ドメインIPアドレス | 195.86.143.116 | | ホスティング/国 | [Cloudflare] / [アメリカ合衆国] | | ドメイン登録日 | 2026年01月13日(最近) | ■ サイト回線関連情報・解析エビデンス
ドメイン登録日が非常に最近である理由は、警察やプロバイダによる凍結から逃れるため、攻撃者が短期間で使い捨てる「防弾ホスティング」や「新規ドメイン」を利用しているためです。
8. まとめと公式サイトでの確認 |