【調査結果】件名「お届け前のご確認をお願いします」に潜むフィッシング詐欺の罠
皆様、こんにちは。頼れる街のIT専門家です。
ここ数日、少し影を潜めて落ち着きを見せていたように思えた「配送トラブル」を装う不審なメールですが、忘れた頃にまた巧妙な手口で動き出しているようです。
日常的に使っている身近なサービスだからこそ、「あれ?荷物が届くのかな?」とつい画面を触ってしまいそうになりますよね。
でも、慌ててボタンを押す前に、まずは一呼吸おいてこの記事を一緒に確認していきましょう。
今回ご紹介するのは「Amazon」を騙るメールですが、関連記事もページ末尾に記載のデータベースアーカイブからご覧いただけます。
【実録】配送予定の確認に潜む罠!Amazonを騙る偽メールの手口を徹底分析
不審なメールが届いた際、「怪しいけれど、とりあえず中身を見てみよう」と開いてしまうことはありませんか?
実は、メールを開いた(開封した)だけであっても、そのメールが画像付き(HTML形式(ホームページのような装飾がされたメール構造))であったり、開封を自動で検知する仕組み(開通通知機能(メールが読まれたことを送信元へ知らせるプログラム))が仕込まれていたりする場合、あなたのメールアドレスが「現在も使われている生きたアドレスである」という情報が相手に伝わってしまう危険性があります。
そうなると、今後はさらに多くの詐欺メール送信リスト(犯罪グループ間で売買される名簿)に登録され、迷惑メールが急増する二次被害に繋がることがありますので、不用意に開かないことが一番の防衛策となります。
1. 今回確認されたスパムメールの基本情報
まずは、今回届いたメールの具体的な中身と、裏側に隠された技術的なデータを整理してみていきましょう。
■ 危険度評価
緊急性:★★★★☆(4 / 5)
■ メールヘッダーおよび配信情報
| 件名 | [spam] 【配送予定のお知らせ】お届け前のご確認をお願いします |
|---|---|
| 送信者名 | “ご注文配送情報” |
| 送信元アドレス | info@proplaintiff.com |
| 受信日 | 2026年6月1日 |
| 受信時刻 | 18時16分(日本時間) |
※メール件名の冒頭にある「[spam]」という表記は、ご契約されているプロバイダやメールサーバーの自動判定システムが「これは迷惑メールの可能性が非常に高いですよ」と事前に教えてくれるセキュリティ機能(スパムフィルター)によって自動的に付与された目印です。これがあるだけで、通常の公式通知ではないことが一目で分かります。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
2. メール本文のビジュアルと忠実な再現
以下は、実際に受信されたメール画面の構成です。
(※なお、詳細なメールヘッダー情報には、受信者側のプライベートなサーバー構築情報や固有の配送経路データが含まれているため、セキュリティの観点からヘッダー画像の掲載は控えさせていただきます。)
【受信メール本文のスクリーンショット】
以下は、受信したメール本文のレイアウトや文面を、視覚的・文脈的にできる限り忠実に再現したテキストです。実際のメールがいかに巧妙に作られているかをご確認ください。
お客様
商品を1つ、明日お届け予定です。“置き配”の設定内容を、配送状況の確認画面より変更いただけます。また、ドライバーから電話(050-6932-5521)またはショートメッセージにて、ご連絡させていただく場合がございます。なお、アマゾンが配達する商品の配達時間は7時〜22時です。
配事業者:アマゾン
お問い合わせ番号:5641-1141-6320
このEメールは配信専用です。返信しないようお願いいたします。
■ メールを見た印象とデザインの特徴
画面を見ると分かりますが、Amazonのコーポレートカラー(企業やブランドを象徴する決まった色)であるオレンジ色の大きなボタン(「配送状況を確認」)を中央に目立つように配置し、フォントの形式や全体の余白の取り方も本物の通知に酷似しています。特定のブランドロゴが直接貼り付けられていないものの、テキスト内の「アマゾン」や「置き配」という固有のキーワードにわざわざ青い下線を引き、本物のシステムリンクであるかのように誤認させるデザインに仕上がっています。
このメールの目的は、荷物の確認を急がせることで受信者の冷静な判断力を奪い、中央のオレンジ色のボタンを押しにいかせることにあります。
3. 技術的解析:送信元の偽装判定と経路データ
ここからは、少し専門的なデータの解析を行っていきます。
メールの送信元アドレス(`info@proplaintiff.com`)に記載されているドメイン名(インターネット上の住所の末尾部分)を詳細に調査した結果、このドメインが持つ本来のDNS(インターネット上の住所録システム)に登録されたサーバーのIPアドレス(ネットワーク上の機器を識別する番号)は「134.128.116.183」であることが判明しました。
次に、メールヘッダー内から時系列において最も古い、つまり犯人が最初にメールを送り出した経路の最初の足跡である「Received」の記述を抽出します。なお、解説の都合上、受信者側のサーバー固有情報である一部のドメイン名表記はマスク(伏字)処理を行っております。
記録されていた生データは以下の通りです。
from geopod-ismtpd-0 (SG) with HTTP id 4fkBPTSfQjGx77VJss_f3g Mon, 01 Jun 2026 09:16:18 +0000
■ 送信元IPアドレスの比較とロケーション情報
送信ドメインの持つ本来のIPアドレスと、実際にメールを送り出してきた最古の経由サーバー情報を照合した結果、今回のメールは「正規の大量配信スタンド」を隠れみの(悪用)にして配信されていることがわかりました。
Received-SPFの認証結果は「pass」となっていますが、これは悪意ある者がアメリカの正規メール配信サービス(SendGridなど)にアカウントを開設し、そこから自身の保有するドメイン名を使って正規の手順で配信したためです。
つまり、「セキュリティ認証がパスしているから安全な公式メールである」とは限らない、ということを示しています。
| 確認されたIPアドレス | 判定およびロケーション(位置情報) |
|---|---|
| 134.128.116.183 | 【判定】米国の配信スタンド経由(SendGridを悪用した配信) 【位置情報】アメリカ合衆国(コロラド州デンバー近郊) 【マップ情報】ip-sc.net詳細データ / Googleマップで位置を確認(北緯39.7392 / 西経104.9903) |
※ご注意:IPアドレスが示す地理的なロケーションデータは、ネットワークの割り当て状況やプロバイダの経路変更によって刻々と変化するため、あくまで解析時点における参考値となります。
4. リンク先URLの調査と特殊な危険性(クローキングの影)
メール内のオレンジ色のボタンに仕込まれていたリンク先は、以下の通りです。
(※二次被害防止のため、一部に伏字を施しリンクの無効化処理を行っています。)
誘導先URL: hxxps://experienceite[.]com/m/detail/PG1dQtX4L0-3
【ウイルスバスターによるサイトブロック画面のスクリーンショット】
このURLへ直接アクセスを試みると、機器に導入されている総合セキュリティソフト(ウイルスバスタークラウド)が即座に作動し、「このWebサイトは、安全ではない可能性があります」とアクセスを完全に遮断しました。脅威の種類は「詐欺サイト」と明記されており、セキュリティ網によって危険度がすでにマークされている状態であることが分かります。
【404 Not Found画面のスクリーンショット】しかし、そのブロック制限を解除してさらに内部を確認しようとすると、画面にはそっけなく「404 Not Found (The page never existed on the site.)」という、ページが存在しないことを示すエラーメッセージだけが表示されました。
アクセス拒否やリクエストがブロックされました、後ほどお試しくださいと書かれたページが表示されるこの現象は、実はクローキング(アクセスしてきた相手に応じて表示内容を変化させる偽装工作)の結果である可能性が非常に濃厚です。
クローキングとは、セキュリティ会社の調査ロボットやパソコンからのアクセスに対しては「ページが存在しない(404)」という無害なダミー画面を返して追跡をかわし、特定の条件(スマートフォンの特定のブラウザや、実際のメール受信者が持つ識別番号(パラメータ)からのアクセス)を満たしたときだけ、牙を剥いて本物のフィッシング詐欺画面(偽のログイン画面など)を表示させる非常に卑劣なシステムです。
つまり、一般の調査環境で「エラー画面が出るから今はもう安全、閉鎖されたサイトだ」と思い込むのは罠であり、裏ではしっかりとターゲットを絞って稼働しているということです。
| 項目 | 詳細データ |
|---|---|
| 接続ドメイン | experienceite.com |
| ドメイン対応IPアドレス | 172.67.140.244 |
| サーバーのロケーション | 【位置情報】アメリカ合衆国(カリフォルニア州サンフランシスコ近郊 / Cloudflareネットワークの背後に隠蔽) 【マップ情報】ip-sc.net詳細データ / Googleマップで位置を確認(北緯37.7749 / 西経122.4194) |
| URLが危険と判断できるポイント | ・日本国内の荷物配送連絡であるにもかかわらず、ドメインの登録先や中継サーバーがすべて海外(米国)のクラウドネットワークに集中している点。 ・大手のセキュリティベンダーによって、すでに明確に「詐欺サイト」としてブラックリスト登録が完了している点。 |
| リンク先サイトの稼働状況 | 稼働中(ただしクローキング技術による一般アクセスの拒否・隠蔽工作が行われている状態) |
※ご注意:IPアドレスが示す地理的なロケーションデータは、ネットワークの割り当て状況やプロバイダの経路変更によって刻々と変化するため、あくまで解析時点における参考値となります。
5. 今後騙されないための注意点と正しい対処法
このような非常に巧妙で見破りにくいフィッシング詐欺メールに遭遇した際、私たちが日頃からできる具体的な防衛策をまとめました。
■ 今回の手口の危険度総括
総合危険度:★★★★☆(4 / 5)
- メール内のリンク(ボタン)は絶対に触らない: 配送予定の変更やアカウント状況の確認を行う場合は、メール内のボタンを決して押してはいけません。必ずスマートフォンの「公式アプリ」、あるいはあらかじめブラウザに登録してある「ブックマーク(お気に入り)」から公式サイトへ直接ログインして確認する癖をつけてください。
- 公式のメッセージセンターを活用する: Amazonの会員ページには、公式から送信された本物のメール履歴だけを一覧で確認できる「メッセージセンター」という専用の機能が用意されています。アプリ内の「アカウントサービス」からいつでも確認できますので、そこに履歴がない通知はすべて「偽物」と100%断定して破棄して大丈夫です。
- 記載された電話番号にこちらからかけ直さない: メール本文に書かれている「050-6932-5521」といった連絡先にこちらから電話をかけてしまうと、巧妙に作り込まれた嘘の自動音声や、言葉巧みな偽のオペレーターに繋がり、最終的に金銭や暗証番号を直接要求される二次被害を招く原因になります。
■ 公式サイトによる公式の注意喚起情報
公式から出されている最新の詐欺対策や、不審な連絡を受け取った際の報告窓口については、以下の正規リンクより詳細をご確認いただくことができます。
⇒ Amazon公式:フィッシング詐欺メールによる被害を防ぐ3つのポイント
身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
いかがでしたでしょうか。詐欺グループの手口はクローキングなどを使って日々見つかりにくいよう進化していますが、その構造をあらかじめ正しく知っておけば、決して怖いものではありません。
少しでも「おかしいな」「怪しいな」と感じる通知が届いた時は、いつでもお気軽に「街のIT専門家」までご相談くださいね。皆様と、皆様の大切なご家族の安全なデジタルライフを、これからも全力でサポートさせていただきます。
サイトデータベース検索および関連記事
関連する過去の解析事例はこちらから検索できます。
📌 同じ手口の関連記事:【実録】楽天市場を騙る詐欺メールも確認されています→こちら
