【実録】身に覚えのない「オートチャージ設定が保存」通知に要注意!SendGrid悪用でSPF・DKIM両Passを達成したAmazon偽装フィッシングの手口を公開
🔴 緊急度:高
| 緊急性レベル | ★★★★☆ (4/5) SPF・DKIM両Pass・SendGrid悪用・身に覚えない通知型 |
| 偽装工作精度 | ★★★★☆ (4/5) 本物そっくりのメールデザイン・正規インフラ悪用 |
■ メールヘッダー解析(送信者情報)
件名:オートチャージ設定が保存
送信者名:noreply
送信元アドレス:news@home-49tuku.com
受信日時:2026年6月16日 18:05
SPF:Pass(送信元IP:208.117.50.112) / DKIM:Pass(d=home-49tuku.com)
送信インフラ:SendGrid(Twilio)— 逆引き:s.dhtrpnth.outbound-mail.sendgrid.net
フィッシングURL:hxxps://u109045468.ct.sendgrid[.]net/ls/click?upn=...(SendGridのクリック追跡URL)
▲ 届いた詐欺メール。本物のAmazonオートチャージ通知と見分けがつかないほど精巧なデザイン。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。リンクは絶対にクリックしないでください。
オートチャージ設定が保存されました。オートチャージが実行されギフトカードの 残高が追加されるとお客様へお知らせのメールが届きます。 設定: オートチャージ ¥50,000 残高が以下の額に達した時点 ¥1,500 オートチャージの設定を変更する このEメールアドレスは配信専用です。このメッセージに返信しないようお願いいたします。 ©2026 Amazon.com. All rights reserved. Amazonのロゴ、Amazon.co.jpおよび、 Amazon.co.jpのロゴは、Amazon.com, Inc.またはその関連会社の商標です。 送信者:アマゾンジャパン合同会社 住所・各種お問い合わせについては、こちらの「販売業者」欄をご参照ください。 Amazon.co.jpプライバシー規約 このEメールは通知専用アドレスから送信されています。このアドレスに返信されてもメッセージを受け取れません。この電子メールには返信しないでください。
「身に覚えのない通知」で焦らせる手口
今回の詐欺メールは「返金手続き」「支払い失敗」などの定番フィッシングとは少し異なるアプローチをとっています。「¥50,000のオートチャージが設定された」という通知を送りつけることで、
- 「自分はそんな設定をした覚えがない」→ 誰かに勝手に設定されたのでは?
- 「¥50,000も引き落とされたら大変」→ 急いで確認・設定変更しなければ
という心理的な焦りを生み出し、「オートチャージの設定を変更する」リンクを踏ませようとします。本物そっくりのAmazonデザインで届くため、慌てていると本物と見分けがつかず、思わずクリックしてしまいがちです。
落ち着いて確認する方法:Amazonギフトカードのオートチャージ設定の確認は、メールのリンクからではなく、Amazonアプリまたはブックマーク済みの公式サイトにログイン後、「アカウントサービス」→「Amazonギフトカード」→「オートチャージの管理」から行えます。
SendGrid悪用でSPF・DKIM両Passを達成する手口
SendGrid(センドグリッド)とは、企業が大量のメールを配信するために使う正規のメール配信サービスです。例えばECサイトの「注文確認メール」や「配送通知メール」など、日常的に受け取っているメールの多くがSendGridを経由して送られています。
攻撃者はこのSendGridのアカウントを不正に取得し、フィッシングメールの配信に悪用しています。SendGridのサーバーから送信されたメールは、SPF認証とDKIM署名が自動的に付与されるため、多くのスパムフィルターが「正規の送信元からのメール」と判断してしまいます。
郵便に例えると、偽の差出人住所を書いた手紙でも、信頼できる正規の郵便局が消印を押して配達すると「本物の郵便局から届いた手紙」と思われてしまうのと同じ構造です。
今回のフィッシングリンクも sendgrid.net ドメインのクリック追跡URLとなっており、一見するとSendGridの正規URLに見えます。しかし調査時点でSendGridはこのリンクを「Link Disabled(リンク無効)」として処理しており、通報を受けて対処済みであることが確認されています。
送信ルート及び偽装判定
■ 送信ルート解析
※Receivedヘッダーの全文には受信者側のサーバー情報が含まれるため掲載を控えています。
送信元IP:208.117.50.112
逆引きホスト名:s.dhtrpnth.outbound-mail.sendgrid.net → SendGrid(Twilio)の送信サーバー確定
送信ドメイン:home-49tuku.com → Cloudflare CDN(104.21.20.134)
【偽装判定】:本物のAmazonからのオートチャージ通知は @amazon.co.jp から送信されます。home-49tuku.com はAmazonとまったく無関係のドメインです。また本物のAmazonメールは amazon.co.jp ドメインのDKIM署名が付与されますが、今回は home-49tuku.com のDKIM署名であり、Amazonとは無関係です。
発信元ロケーション:SendGrid米国データセンター(テキサス州)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当ては変更される場合があります。
■ フィッシングリンクの状態
リンクURL(伏せ字):hxxps://u109045468.ct.sendgrid[.]net/ls/click?upn=(長いパラメーター)
【リンクの状態】:調査時点でSendGridがリンクを無効化済み。アクセスすると「Link Disabled — You have clicked on a disabled link.」と表示され、フィッシングサイトへの誘導は機能していない状態。
これはSendGridへの不正利用報告が受理され、当該アカウントのリンクが停止されたものと考えられます。攻撃者にとっては想定外の早期無効化だったかもしれません。
▲「Link Disabled」—— SendGrid自身がフィッシングリンクを無効化した画面。通報の成果です。
■ 注意点と対処法
- 身に覚えのない通知は焦らない:「¥50,000のオートチャージが設定された」という通知を受け取っても、まずメール内のリンクは踏まないでください。
- 公式アプリ・ブックマークから確認:オートチャージの設定確認は、Amazonアプリまたはブックマーク済みの公式サイト(amazon.co.jp)にログインして「アカウントサービス」から行ってください。
- 送信元アドレスを確認:本物のAmazonからのメールは
@amazon.co.jpまたは@amazon.comで終わります。home-49tuku.comのようなドメインからは送られません。 - DKIMドメインを確認:DKIM署名のドメイン(d=)が
amazon.co.jp以外の場合は偽物です。メールクライアントの詳細ヘッダーで確認できます。 - 公式注意喚起の参照:Amazon公式:フィッシング・なりすましメールへの対処法
本レポートの結論
「身に覚えのないオートチャージ通知」という焦りを誘う内容に、SendGridという正規サービスを悪用したSPF・DKIM両Pass偽装を組み合わせた、精巧なAmazonフィッシングメールです。幸い調査時点ではSendGridがリンクを無効化しており被害拡大は防がれていますが、こうした手口は形を変えて繰り返されます。Amazonからの重要通知はメールのリンクを踏まず、必ず公式アプリや公式サイトから直接確認する習慣をつけることが最大の防御策です。この記事を家族のLINEグループで共有し、「Amazonメールのリンクは踏まないで」と伝えてあげてください。
調査日:2026年6月17日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
