| みなさん、こんにちは!
あなたの街の、頼れるITに詳しいお兄さん「Heartland」です! 今日も大切なあなたのもとへ、怪しいメールの正体を暴くための最新解析レポートをお届けしますね。
最近、手口がどんどん巧妙になっていて、お兄さんも気が抜けません!
今回もじっくり、手抜きなしのフルボリュームで徹底的に解説していきますから、ぜひ最後までお付き合いくださいね。
最近のスパム動向と統計データ 今回ご紹介するのは「Amazon」を騙る(かたる=偽る)メールですが、これまでの関連記事も、ページ末尾の当サイトデータベースアーカイブからいつでもご覧いただけますよ! その前に、まずは過去1ヶ月のスパムメールの全体的な動きを見ていきましょう。
お兄さんが独自に集計している統計データを元に、直近のトレンドをサクッと噛み砕いてご紹介しますね。 ここ1ヶ月間の集計では、なんと合計で1,400件を超える非常に多くの迷惑メールが観測されました!
その中でも、特に全体の約70%以上という圧倒的なシェアを占めているのが、今回取り上げる「Amazon」を名乗る偽メールの波なんです。 これに加えて、三井住友カードやJCB、JAL(日本航空)、そして各種電力会社などを騙る手口が、残りの3割の枠を激しく争っている状況ですね。
つまり、「いま一番届きやすくて、一番みんなが騙されやすい大本命がAmazonの偽メール」ということなんです!
【実録】開いただけで標的に!?
【Amazon】プロモーション割引の悪用によるアカウント停止通知
恐怖のメールを公開【閲覧注意】 朝起きてスマホを見たとき、こんなメールが飛び込んできたら、誰だって一瞬心臓がドキッと跳ね上がっちゃいますよね。
「プロモーションの悪用って何?」「アカウントがブロックされた!?」と、こちらの焦りをこれでもかと煽ってくる(あおる=不安にさせる)恐ろしい文面です。 【※超重要:まず最初にお伝えしたいこと】
結論から言うと、このメールは開いた(閲覧した)「だけ」では、すぐにクレジットカードからお金を抜かれるような実質的な金銭被害はありません! ですが、決して油断はできないんです。
なぜなら、こういった画像付きのメールや、特殊な設定がされたメールを開いてしまうと、あなたのメールアドレスが本当に使われているという「アドレスの生存通知(開通通知)」が、犯人側のサーバーに自動で届いてしまう危険性があるからなんです! 「このアドレスは毎日使われているぞ!」と犯人に知られてしまうと、今後はさらに大量の詐欺メール送信リスト(悪質なカモリスト)に入れられてしまう可能性があります。
ですから、見覚えのない怪しいメールは、基本的には「開かずに即削除」が一番安全なんですよ。 | お兄さんによる危険度判定(5段階評価) | | パニック誘発度: | ★★★★☆ (4点:身に覚えのない不正を突かれるため、焦りやすいです) | | フィルターすり抜け度: | ★★★★★ (4点:技術的な細工により、迷惑メール箱に入りにくい状態です) | | 総合危険度: | ★★★★☆ (4点:騙されてリンクを押してしまうと非常に危険です) |
このメールの基本スペック - 件名:【Amazon】プロモーション割引の悪用によるアカウント停止通知
(※もしメールの件名の頭に「[spam]」という文字が付いていた場合は、あなたの使っているプロバイダやセキュリティソフトが「これは100%スパム(迷惑メール)だよ!」と事前に教えてくれた証拠になります) - 送信者名:Amazon
- メールアドレス:non-fri.yoshi212@gxpyfs.cn
(※@マークは全角にしています。末尾が「.cn」となっており、中国の国別ドメインが使われていますね。Amazon公式とは1ミリも関係ありません) - 受信日:2026年5月24日
- 受信時刻:11時48分
「ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。」
【画像】メール本文のスクリーンショット掲載エリア | 【メール本文のスクリーンショット画像】 
| ここからは、犯人から届いたメールの見た目を、どこよりも正確に、できる限り忠実に再現して皆さんにお見せしますね。
敵の姿を正しく知ることが、最大の防衛策になります! | 差出人 Amazon <non-fri.yoshi212@gxpyfs.cn> 宛先 ■■■■@■■■■.■■ 2026/05/24 11:48 件名 【Amazon】プロモーション割引の悪用によるアカウント停止通知
アカウントブロックのお知らせ 緊急でのご案内のため、本メールでのご案内が夜間もしくは早朝のお時間となる場合がございます。
何とぞご理解賜りますようお願い申し上げます。 お客様のアカウントがブロックされた理由についてお知らせいたします。申し訳ございませんが、以下の理由によりアカウントがブロックされました:
プロモーション割引の悪質な悪用:お客様のアカウントがプロモーション活動を不正に利用し、不正な特典を得ようとしたため、アカウントがブロックされました。
アカウントのブロックは、当社のポリシーに違反する行為に対する対応として行われました。お客様のアカウントは安全性の確保と公正な取引の維持を目的としてブロックされました。
アカウントのブロックを解除するには、以下のリンクをクリックして身元情報を確認してください:
⇒ アカウントブロックの解除
アカウントのブロックを解除する前に、身元情報を確認する必要があります。詳細については、解除リンクをクリックしてください。
ご不明な点やご質問がある場合は、カスタマーサポートまでお気軽にお問い合わせください:
カスタマーサポートメール:support@amazon.co.jp
ご協力いただき、ありがとうございます。何かご質問があれば、お気軽にお知らせください。
敬具
Amazonサポートチーム | お兄さんがスクショを見たときのリアルな感想 この画面、パッと見ただけだと本物のAmazonから届いた公式通知のように見えて、本当にいやらしい作りをしていますよね。
特に、文末にあるサポートメールの欄に「support@amazon.co.jp」という本物の公式アドレスを文字で書いて安心させようとしているのが、本当にずる賢い手口です。 ですが、よく読むと「何とぞご理解賜りますようお願い申し上げます」といった、海外の翻訳ツールを通したような、少し不自然に丁寧すぎる日本語が混ざっています。
つまり、「本物の文章をパッチワークのように継ぎ接ぎして作った、ハリボテの脅し文句」ということです!
裏側のルートを暴く!ヘッダー情報のディープ解析 ※注意:メールのヘッダー情報(メールの戸籍謄本のようなもの)の生スクリーンショット画像には、皆さんがお使いの安全なメールサーバー情報がばっちり記録されてしまっているため、セキュリティの観点からブログ上には直接掲載していません。その代わり、中身を徹底的に文字で解剖していきますね! メールヘッダーから、時系列で見て「一番最初に通過した最も古い記録(犯人の一歩目)」と、「ドメインの安全証明書(SPF)」の2つを抽出しました。
(※プライバシー保護のため、当サイトに関係するサーバー名や受信者側のアドレス、一部のネットワーク名は『■■■■』に伏字処理しています) 【抽出された最も古いReceivedヘッダー】
Received: from unknown (HELO gxpyfs.cn) (150.5.149.32)
by ■■■■.********.jp with ESMTPS … ; 24 May 2026 11:48:54 +0900【抽出されたReceived-SPFヘッダー】
Received-SPF: pass (■■■■.********.jp: SPF record at gxpyfs.cn designates 150.5.149.32 as permitted sender) | メールアドレスドメインのIPアドレスと偽装判定 送信元メールアドレスに使われているドメイン「gxpyfs.cn」のIPアドレス(インターネット上の住所)を調べたところ、以下の結果になりました。 このデータを細かく見ていくと、非常に珍しい現象が起きていることが分かります。
なんと、メールアドレスのドメイン(gxpyfs.cn)が持っている正規のIPアドレスと、実際にメールを送り出してきた最古のReceivedヘッダーに刻まれたIPアドレス(150.5.149.32)が完全に一致していて、かつSPF認証も「pass(合格)」しているんです。 つまり、これはAmazonのフリをして名前を偽装した(なりすました)のではなく、「犯人が自分で取得した『gxpyfs.cn』という中国ドメインのサーバーを堂々と正しく使って、エラーの出ない完璧な設定で送りつけてきたメール」ということです!
罠の先には何がある?リンク先URLの正体を暴く メール本文にあった「⇒アカウントブロックの解除」という青い文字。ここには一体どんな罠のURLが仕込まれていたのでしょうか?
安全のために一部を伏字(星マーク等)にして、その裏側を公開します。 【実際に仕込まれていたURL(一部伏字・無効化)】
h**ps://login.sunwellhotel.com/?ac7UCg9xoGb2&type=ponta
Amazonの解除リンクのはずなのに、中身は全く関係のない「sunwellhotel.com」という、どこかのホテルのような名前のドメインになっています。しかも、末尾に「type=ponta(ポンタ)」なんていう、Amazonとは違う別のポイントサービスの文字まで紛れ込んでいますね。これだけでも怪しさ満点です! 【要注意】このリンクは「ダミー」だった!? 実は、お兄さんがこのリンクの挙動を詳しく追跡したところ、クリックしても偽のAmazonログイン画面などには飛ばず、ただエラー画面が表示されるか、どこにも繋がらない「ダミーの空リンク」になっていたんです。 「えっ?詐欺サイトに飛ばないなら安全なんじゃない?」と思うかもしれませんが、これこそが犯人の恐ろしい罠、いわゆる「クローキング(覆面・隠蔽工作)」の疑いがあるポイントなんです。 クローキングとは、アクセスしてきた相手が「一般のユーザー」なのか「セキュリティ会社の調査ロボット」なのかを犯人側のシステムが見分けて、調査ロボットが来たときだけ『何もありませんよ、ただのエラーですよ』と無害なダミーページ(アクセス拒否ページ)を見せて罠を隠す高度な騙しのテクニックのことです。 もしくは、冒頭でお話しした通り、今回のメールの本当の目的が「サイトへ誘導すること」ではなく、「メールを開かせて、このアドレスが現在も使われている生きているアドレスかどうかを確かめるための生存調査(偵察)」だった可能性が極めて高いということになります!
これだけは守って!お兄さんからの安全対策アドバイス 万が一、皆さんのスマホにこのようなメールが届いてしまったら、以下のポイントを絶対に徹底してくださいね。
大切な家族や友人を守るためにも、心に深く刻んでおいてください。 - メールの中のリンク(ボタンやURL)は絶対にクリックしない!
- もしリンクを開いてしまっても、クレジットカード番号やパスワードは絶対に入力しない!
- アカウントの状態が本当に不安になった時は、メールを閉じて、いつも使っているスマホの「公式アプリ」や、あらかじめお気に入りに登録してある「本物の公式サイト」からログインして確認する!
Amazon公式からも、このような不審なメールに関する注意喚起が常にアナウンスされています。
もっと詳しく公式の情報が知りたい方は、こちらの最新の公式注意喚起ページも併せて確認しておくとさらに安心ですよ。 ■ Amazon公式:不審な連絡について報告・確認する
https://www.aboutamazon.jp/news/guide/3-key-points-to-prevent-phishing-scam-emails
身近な人が騙されてからでは手遅れです。
この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。 【過去の類似事例リンク】
他にも「Amazon」や主要ブランドを騙る怪しいメールの解析データをたくさん蓄積しています。
もっと過去の事例や、他のスパムメールの正体を知りたい方は、いつでも当サイトの「データベースアーカイブ」から検索して安全対策に役立ててくださいね!
みんなで正しい知識を身につけて、安全なデジタルライフを守っていきましょう!お兄さんとの約束だよ! | 
