【緊急調査】短時間に集中するAmazon偽装スパムの解析

ステータス：波状攻撃確認 / 脅威インテリジェンス・レポート

最近のスパム動向：10分間で10通超の波状攻撃

今回ご紹介するのは「アマゾン」を騙るメールですが、その前に最近のスパムの動向を解析します。現在、特定のターゲットに対し、数秒から数十秒間隔で件名を変えて大量送信する「バースト型」の攻撃が確認されています。

以下の画像は、実際に短時間で受信したリストです。「お米5kg」という共通のワードを使いつつ、件名に微細な変化を加えてフィルターを突破しようとする執拗な手口が分かります。

受信メール基本パラメータ

送信ドメインの不審点と偽装判定

送信元アドレス「lecatex.com」はAmazonの正規ドメインではありません。表示名を「アマゾンジャパン」とすることで、スマートフォンの通知画面では一見本物に見えるよう偽装されています。
もし送信者が「aaa@bbb.co.jp」のような形式で、受信者のアドレスと同一だった場合は、あなたのメールアドレスを盗用して「自分から自分へ届いた」ように見せかける、より悪質な偽装工作です。

メール本文の解析（原文再現）

※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。

攻撃の目的とデザインの異常性

【犯人の目的】
本メールの目的は、Amazonのアカウント情報（メール、パスワード）を盗むこと、および「お米の発送」を名目に住所・氏名・電話番号・クレジットカード情報を搾取することです。

【専門的な解説：署名の欠陥】
正規のAmazonのメール署名には、法的要件や信頼性確保のために具体的な住所や公式ヘルプへのリンクが含まれますが、本メールには「アマゾン カスタマーサービス部」という名称しかありません。また、電話番号が一切記載されていない、あるいは実在しない形式である点は、フィッシング詐欺に共通する大きな特徴です。本物っぽいデザインに見えますが、情報の密度が圧倒的に不足しています。

Received：送信元回線詳細解析

以下は送信に利用された生の情報であり、カッコ内のIPアドレスは解析によって判明した「信頼できる送信者情報」です。

[解析詳細エビデンス（送信元）: ip-sc.net]

Amazonの公式インフラである「bc.googleusercontent.com」や自社サーバーとは一切無関係な経路を辿っており、送信元ドメインと経路の不一致から100%の偽装が証明されます。

フィッシングサイト（誘導先）の徹底調査

ドメイン「quedodo.com」は、Amazonとは全く無関係な文字列であり、且つ登録されたばかりです。これは攻撃者がサイトを構築してすぐに使い捨てるための典型的な手法です。

[解析詳細エビデンス（サイト回線情報）: ip-sc.net]

リンク先サイトの状態

ウイルスバスター等のセキュリティソフトからのブロックが追いついていない場合でも、現在は以下の通り「404 お探しのページは見つかりませんでした」というエラーページが表示されます。

URLが危険と判断できるポイントは、Amazonのドメイン（amazon.co.jp）を一切含まない無関係な名称である点、およびドメイン登録から数日以内である点です。

注意点と対処方法

今回のケースは、過去の「アカウント更新」詐欺と異なり、食料品という実利をフックにした非常に巧妙なものです。短時間に大量の件名違いで送りつける行為は、一つでも網にかけようとする攻撃者の焦りも感じさせます。

• 宛名が「お客様」であるメールは無視する
• 「お米5kg」のような、Amazon公式が通常行わないキャンペーンには疑いを持つ
• 送信元のIPアドレスが国内の教育機関等になっている場合、踏み台にされたサーバーからの攻撃であることを疑う

Amazon公式の注意喚起を再確認する