Amazon詐欺メール「最終案内 — プライム会費のお支払い…」の見分け方とIP解析報告
【調査報告】最新の詐欺メール解析レポート
メールの解析結果:Amazonを騙るフィッシング詐欺 / 危険度:高 | ## 最近のスパム動向
今回ご紹介するのは「Amazon」を騙るメールですが、その前に最近のスパムの動向を解説します。2026年3月現在、新生活の準備や年度末の契約更新が重なる時期を狙い、大手ECサイトやカード会社を装う「アカウント停止」を予告するメールが爆発的に増えています。特にAmazonを騙る手口は、正規の住所をフッターに記載するなど、一見して本物と見分けがつかないほど巧妙化しており、注意が必要です。
| | 件名 | [spam] 【重要】Amazon:最終案内 — プライム会費のお支払い手続きが必要です! 番号:10921587 | | spam標記の理由 | 受信サーバーの検知フィルタにより、送信元IPの信頼性が低いこと、およびリンク先の不審な挙動から自動的に付与された警告マークです。 | | 送信者 | “noreply” <noreply@mail12.holzbausteinebillig.com> | | 受信日時 | 2026-03-25 11:23 | ### 送信者に関する情報
送信元ドメインは「holzbausteinebillig.com」という、ドイツ語で「安い積み木」を意味する無関係なドメインが使用されています。Amazon公式サイト(amazon.co.jp)とは一切関連性がなく、攻撃者が使い捨て、あるいは乗っ取ったドメインを悪用している典型的なケースです。
| ### メールの本文再現
※できる限り忠実に再現していますが、本物の詐欺メールとデザインが異なる場合もあります。
重要:お支払い方法の更新が必要です {会社名} アカウントに登録されている支払い方法が無効になっています。24時間以内に更新を行わない場合、注文や定期購入ができなくなります。 支払い方法更新のお知らせ お客様のアカウントに登録されている支払い方法(クレジットカード/デビットカード)の有効期限が切れているか、情報が不完全です。 ● 新しい注文ができなくなります
● 定期購入商品の配送が停止されます
● 有料サービス(PrimeビデオやMusicなど)が利用できなくなります
● 対応期限:本メール受信から24時間以内 これはお客様のアカウントを安全に保つための重要な更新です。 今すぐ支払い方法を更新 ※このメールはアカウントのセキュリティ保護のために送信されています。
※24時間以内に対応しない場合、一部サービスが制限されます。
ご不明な点がございましたら、カスタマーサービスまでお問い合わせください。
|
© 2025 Amazon Japan, Inc. All Rights Reserved.
Amazon Japan G.K.
〒153-0062 東京都目黒区三田1-4-1 住友不動産三田ツインビル西館
| | ### メールの目的および専門家による分析
【犯人の目的】
本メールの目的は、受信者を偽の決済サイトへ誘導し、クレジットカード情報(カード番号、有効期限、セキュリティコード)を盗み出すことにあります。また、ログイン情報(メールアドレスとパスワード)を奪うことで、アカウントを乗っ取り、高額な注文を不正に行うことも狙っています。
【デザインと構成の怪しい点】
● 変数漏洩:冒頭に「{会社名}」というテンプレート変数がそのまま露出しており、大量配信ツールによる機械的なミスが見て取れます。
● 不自然な配色:本文末尾に水色の背景色(テンプレートの一部)を差し込む構成は、昨今の詐欺メールで非常に多く見られるパターンです。
● 時間的圧迫:24時間以内という期限を設けて冷静な判断力を奪う、典型的なフィッシング手法です。
| | ### 送信元(Received)回線関連情報 | | Receivedヘッダー | from mail12.holzbausteinebillig.com (178.100.162.34.bc.googleusercontent.com [34.162.100.178]) | | 送信元IPアドレス | 34.162.100.178 | | ホスト名 | 34.162.100.178.bc.googleusercontent.com | | ホスティング社名 | Google Cloud Platform (GCP) | | 設置国名 | United States (アメリカ合衆国) | | ドメイン登録状況 | holzbausteinebillig.com:WHOIS情報によると直近で更新されており、送信ドメインの偽装が明確です。 |
※カッコ内のIPアドレス「34.162.100.178」は、送信元ホストがGoogle Cloudのインフラを利用していることを示しており、追跡を逃れるためのクラウドサービス悪用が伺えます。
→ 本レポートの根拠データ:送信元IPアドレス 34.162.100.178 の詳細解析 | | ### 誘導先リンク・ドメイン詳細解析 | | リンク箇所 | 本文内「今すぐ支払い方法を更新」テキスト | | リンク先URL | https://liya.antriebbremsanl●ge.com/lpmh3ug/ | | ブロック検知 | ウイルスバスター:有害サイトとしてブロック済み | | リンク先IPアドレス | 104.21.31.215 | | ホスト名 | liya.antriebbremsanlage.com | | ホスティング社名 | Cloudflare, Inc. (クラウドフレア) | | 国名 | United States (アメリカ合衆国) | | ドメイン登録日 | 最近取得(短期間での使い捨てを想定。登録から間もないドメインは詐欺サイトの顕著な特徴です) |
【リンク先サイトの状態】
現在は「Sorry, your request timed out…」というエラーページが表示されており、サイトは稼働していません。これは通報によりドメインが停止されたか、攻撃者がサーバーを移転させたためと考えられます。
→ 本レポートの根拠データ:リンク先IPアドレス 104.21.31.215 の詳細解析 | ### 誘導先詐欺サイトの現状画像 | Sorry, your request timed out. Please try again or check your internet connection. | 解析時に確認されたエラーページ。正規のAmazonではこのようなメッセージは出ません。 | ## まとめと対処法
今回のメールは、Amazon Japanの正確な所在地を無断使用し、信憑性を高めていますが、送信ドメインやリンク先のインフラ情報はすべてAmazonとは無関係な第三者のものです。過去の事例と比較しても、本文内の変数の記述ミス({会社名})が残っているなど、詰めが甘い箇所が目立ちます。
【不審な点を見抜くポイント】
● メールの送信者アドレスを必ず確認する(amazon.co.jp 以外は全て偽物)
● 宛名に自分の氏名が記載されているか確認する(「お客様」や変数は危険)
● 住所の電話番号が正規のものか確認(画像内の住所は実在しますが、Amazonはメールで電話番号での問い合わせを誘導しません)
Amazon公式サイトの注意喚起も併せてご確認ください:
Amazon.co.jp:ヘルプ&カスタマーサービス – フィッシングメールを識別する | |