【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口
■ 実際に届いた詐欺メール(スクリーンショット)
※以下は実際に受信した詐欺メールの画面です。AmazonとローソンのロゴやデザインをW使いした精巧な偽装ですが、すべて偽物です。
⚠️ このメールは公式サイトを装った真っ赤な偽物です ⚠️
被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 特別レポート:なぜ「[spam]」が付かなかったのか——正規サービス「SendGrid」の悪用
今回の詐欺メールには、通常の詐欺メールと異なる点があります。受信ボックスに「[spam]」スタンプなしで届いたのです。その理由はヘッダーを解析するとわかりました。
本メールはSendGrid(センドグリッド)という、世界中の企業が使っている正規のメール配信サービスを経由して送信されています。SendGridはメールの到達率が高く信頼性があるため、スパムフィルターが「安全なメール」と判断してしまいます。いわば「信頼できる郵便屋さんを使って詐欺の手紙を届けた」ようなものです。
送信元サーバー:s.wrqvtbkv.outbound-mail.sendgrid.net [149.72.123.24]
ホスティング:SendGrid(Twilio社・米国)正規メール配信サービス
「[spam]なし=安全」ではありません。正規サービスを悪用した詐欺メールは通常のフィルターをすり抜けます。送信者名やメールアドレスのドメインを必ず確認してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクはすべて無効化しています。
アマゾン × ローソン 5,000円クーポンプレゼント 先着 50,000 名様限定 このたび、アマゾンでお買い物をされたお客様の中から、先着50,000名様に ローソン5,000 円分クーポン を進呈いたします。 対象商品を購入し、下記ボタンよりアマゾンアカウントにログインすると、クーポンが自動 で付与されます。 ┌──────────────────────────────────┐ LAWSON COUPON ¥5,000 全国のローソン店舗で利用可能 有効期限:2026年8月31日 1会計5,000円以上 └──────────────────────────────────┘ 【アマゾンアカウントで受け取る】 (※偽サイトへのリンク) ※クリック後、アマゾンのログイン画面に移動します。 ログインするとクーポンが自動付与されます。 ━━━━━━━━━━━━━━━━━━━━━━━━ キャンペーン詳細 キャンペーン期間 2026年6月1日(月)〜 2026年8月31日(月) ※なくなり次第終了 対象商品購入 アマゾンにて対象商品を購入すると自動エントリー クーポン利用方法 ローソン店頭レジまたはローソンアプリで提示 利用条件 1会計5,000円以上の購入で使用可能。他のクーポンとの併用不可。 ご注意 ※クーポン受取にはアマゾンアカウントへのログインが必要です。 ※本クーポンは現金との引き換えはできません。有効期限内にお使いください。 ※このキャンペーンはアマゾンが主催しております。ご不明点はアマゾンヘルプページをご参照ください。 ━━━━━━━━━━━━━━━━━━━━━━━━ このEメールは配信専用です。返信しないようお願いいたします。 © 2026 アマゾンジャパン合同会社 / ローソン共同企画 東京都目黒区下目黒1-8-1 アルコタワーアネックス
■ 送信ルート及び偽装判定
※受信ヘッダーにはプライバシーに関わる情報が含まれるため、本記事ではスクリーンショットの掲載を省略し、調査結果のみをお伝えします。
送信元サーバー:s.wrqvtbkv.outbound-mail.sendgrid.net(SendGrid経由)
送信元IP:149.72.123.24 [Whois(ドメイン登録情報の国際標準データベース)]
ホスティング:SendGrid / Twilio(米国)・正規メール配信サービス
SPF認証:Pass(SendGridの正規IPから送信のため通過)
DKIM署名:あり(vackerheminredning.comドメインで署名)
Receivedヘッダー解析(メールが通過したサーバーの記録):
① s.wrqvtbkv.outbound-mail.sendgrid.net [149.72.123.24]
↓(SendGrid:正規メール配信サービスを悪用)
② 受信者側サーバー(非公表)
↓
③ 受信者側サーバー(非公表)
↓
④ 受信者のメールボックスへ到達([spam]なし)
【偽装判定】:
本物のAmazonからのメールは @amazon.co.jp または @amazon.com ドメインから送信されます。本メールの送信ドメイン vackerheminredning.com はスウェーデン語で「美しいインテリア」を意味する家具関連サイトのドメインであり、AmazonともローソンともAmazonとも一切無関係です。
発信元ロケーション解析:
IP:149.72.123.24 / ホスティング:SendGrid(Twilio社、米国)
※ジオロケーション情報は実際の攻撃者の所在地とは異なる場合があります。
【ip-sc.netで調査する(国内の無料IP調査サービス)】 【Whoisで調査する(ドメイン登録情報の国際標準データベース)】
■ フィッシングサイト詳細解析
誘導先URL(伏せ字):
hxxps://zzyhwb[.]com/(パラメーター付き)
リンクドメイン:zzyhwb.com
サイトサーバーIP:104.21.53.28(Cloudflare経由)
クローキング:あり(Cloudflareのファイアウォールでアクセスをブロック)
【セキュリティソフト・ブラウザの検知状況】:
Chrome(Googleセーフブラウジング):「危険なサイト」として検知・ブロック済み
Cloudflare:「Suspected Phishing」として警告表示
■ セキュリティソフト/ブラウザによる警告画面
リンク先へアクセスしようとすると、ChromeとCloudflareの双方がフィッシングサイトとして検知・ブロックしました。複数のセキュリティシステムが「危険」と判定しています。
▼ Chromeの「危険なサイト」警告
▼ CloudflareのSuspected Phishing警告
▼ Cloudflareのブロック画面
※解析データに基づき、攻撃者は短期間でドメインを使い捨てていることが確認されています。リンク先の状態は調査日以降に変化している場合があります。
■ 注意点と対処法
- 「[spam]なし」でも安心しない:正規サービス経由の詐欺メールはフィルターをすり抜けます。送信者名やメールアドレスのドメインを必ず確認してください。
- 2ブランド組み合わせは詐欺のサイン:本物のAmazonとローソンが共同キャンペーンをするときでも、メールはそれぞれ公式ドメインから届きます。無関係のドメインからのメールは偽物です。
- Amazonの公式メールアドレスを確認:本物のAmazonからのメールは
@amazon.co.jpまたは@amazon.comから届きます。 - ローソンの公式メールアドレスを確認:本物のローソンからのメールは
@email.lawson.jpまたは@id.lawson.jpから届きます。 - 不審なメールの報告:Amazonを装った詐欺メールは Amazon公式の注意喚起ページ をご確認ください。
- ローソン公式の注意喚起:「ローソン」名を名乗った不審なメール等にご注意(ローソン公式)
📋 まとめ
「Amazon×ローソン 5,000円クーポン」という2ブランドW偽装、正規メール配信サービスSendGridを悪用したスパムフィルター突破、Cloudflare経由のクローキング——今回の詐欺は複数の高度な手法を組み合わせた極めて巧妙なものです。特に「[spam]なし」で届く点が危険で、普段から詐欺メールに気をつけている方でも騙されるリスクがあります。Amazonやローソンをよくご利用のご家族・お知り合いに「気をつけて!」のひと言を添えて、この記事のURLをLINEグループで共有してあげてください。
本記事の調査日:2026年6月3日 ※フィッシングサイトの状態・IPジオロケーション情報は調査日以降に変化している場合があります。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net / Amazon 公式注意喚起 / ローソン 公式注意喚起
