プレースホルダーが丸見え!Amazon「プライム更新」偽メールの致命的ミスと本格フィッシングサイトの二面性——Azure送信・Tencent Cloud誘導の中国系攻撃を解析
🔴 緊急度:高
ご覧の通り、このメールはAmazonを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
■ 届いた詐欺メールの内容
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。太字部分は攻撃者のミスによりテンプレート変数が未置換のまま露出した箇所です。
【件名】【重要】プライム会員更新手続きのお願い
Amazon.co.jp プライム会員更新手続きのお知らせ
お支払い方法をご更新いただき、プライム特典を引き続きご活用ください。
常々Amazon.co.jpをご愛顧くださいまして、誠にありがとうございます。
プライム会員の更新処理を実施した結果、ご登録のクレジットカードではお支払いの承認が下りませんでした。
お支払い手段を更新する
誠に恐れ入りますが、プライム特典の一部がご利用いただけない状況です。
すべてのプライム特典を引き続きお楽しみいただくため、お支払い方法のご更新をお願い申し上げます。
※本メールは、お支払い方法に関するトラブルが発生したタイミングでシステムから自動送信されております。
本メールは、お客様ご登録のAmazon.co.jpアカウントのメールアドレス宛に送信しております。
ご不明な点がございましたら カスタマーサポート ({CUSTOM:##help##}) までお問い合わせください。
メール配信停止 ({CUSTOM:##unsubscribe##}) | プライバシーポリシー ({CUSTOM:##privacy##})
© 1996-2026, Amazon.com, Inc. or its affiliates.
アマゾンジャパン合同会社 〒153-0064 東京都目黒区下目黒1-8-1 🔍 攻撃者のミスを解説:メール本文の {CUSTOM:##help##} や {CUSTOM:##unsubscribe##} は、本来であれば実際のURLや文章に自動的に置き換わるはずのプレースホルダー(穴埋め記号)です。攻撃者が使用した一括送信ツールの設定を誤り、置換処理が実行されないまま送信されてしまいました。本物のAmazonからのメールにこのような記号が含まれることは絶対にありません。このミスのおかげで、テキストメール表示では偽物だと一目でわかります(笑)。ただしHTMLメールとして表示した場合は見た目が整っているため、HTMLビューでは見落とす可能性があります。
▲ 届いた偽メールのHTMLビュー。Amazonのロゴと配色を使い、本物そっくりのデザインに仕上げている
▲ テキストビューでは「{CUSTOM:##help##}」「{CUSTOM:##unsubscribe##}」などのプレースホルダーが丸見え。攻撃者のミスがはっきりわかる
■ 送信ルート及び偽装判定
※Receivedヘッダーの全文は受信者側サーバー(非公表)の情報が含まれるため掲載を控えています。
発信元IP:20.222.22.203
Received: from kiss.ch-web-pggames.com (unknown [20.222.22.203])
→ Microsoft Azure(20.0.0.0/8)の範囲内。本日の他の偽メール(GCP)とは異なるクラウドサービスを使用しており、別の攻撃グループによる攻撃です。
【偽装判定】:
正規のAmazonからのメールは @amazon.co.jp または @amazon.com ドメインから送信されます。kiss.ch-web-pggames.com はAmazonと一切関係のない第三者ドメインです。送信者名が「自動配信」という日本語表記のみで、Amazonらしい英語名が一切ないのも不審な点です。
本社住所の流用:
メール末尾の「〒153-0064 東京都目黒区下目黒1-8-1」はアマゾンジャパン合同会社の実在住所です。
■ フィッシングサイト詳細解析(2段階リダイレクト構造)
メール本文中のリンク先(第1段階):
hxxps://cn-app-hxsports[.]com/LcoCnh7zjw.nagoya.com
※「.nagoya.com」という当ラボのドメインを模したような偽装サブパスを使用
IP:43.133.23.226(Tencent Cloud)
最終誘導先(第2段階):
hxxps://zh-live-kaiyungame[.]com/VqWYBFnf/
IP:101.32.98.168(Tencent Cloud)
→ 両サイトともTencent Cloud(中国系クラウド)上に設置。本日の他グループ(Cloudflare)と全く異なるインフラです。
▶ フィッシングサイトの3段階構造
| 段階 | 表示内容 | 目的 |
| 第1段階 | Chrome「危険なサイト」赤画面(Googleセーフブラウジング検知) | PCアクセスはここでブロック |
| 第2段階 | 「サイトへの接続が安全かどうか確認しています — 盾アイコンを2つタップしてください」(独自ビジュアルCAPTCHA) | ボット・自動解析ツールを排除 |
| 第3段階 | Amazon.co.jpそっくりの偽ログイン画面(メールアドレスまたは携帯電話番号の入力を要求) | アカウント情報・クレジットカード情報の詐取 |
独自CAPTCHAの特徴:「盾アイコンを2つタップしてください」という視覚的なパズル形式の人間確認です。Cloudflare Turnstileとは異なる独自実装で、自動解析ツールをはじく目的があります。
第3段階の偽ログイン画面はAmazonの本物と見分けがつかないレベルに作り込まれています。入力したメールアドレス・パスワード・クレジットカード情報は全て攻撃者のサーバーに送信されます。
※解析データに基づき、攻撃者は複数のドメインを使い捨て目的で運用していることが確認されています。
▲ PC用アクセス時のChrome警告画面。「危険なサイト」として赤画面でブロック済み
▲ スマホアクセス時の独自CAPTCHA。「盾アイコンを2つタップしてください」というビジュアルパズルでボットを排除する
▲ CAPTCHA通過後に表示される偽Amazonログイン画面。本物そっくりだがURLが全く異なる。入力した情報は全て攻撃者のサーバーへ送信される
■ 注意点と対処法
- 送信元ドメインを確認する:正規のAmazonからのメールは
@amazon.co.jpまたは@amazon.comドメインから届きます。ch-web-pggames.comなどのドメインはAmazonとは無関係です。 - テンプレート変数が見えたら即削除:
{CUSTOM:##〇〇##}のような記号がメール本文に含まれている場合、攻撃者が使用した送信ツールのミスが露出しています。本物のAmazonからのメールにこのような記号は絶対に含まれません。 - 支払い情報の確認はアプリか公式サイトから:メール内のリンクは使わず、必ずAmazon公式アプリまたは
www.amazon.co.jpに直接アクセスして確認してください。 - 偽ログイン画面にアカウント情報を入力しない:URLバーを必ず確認してください。本物のAmazonは
www.amazon.co.jpのみです。 - 不審なメールはAmazonに報告:不審なメールを受け取った場合は
verify@amazon.co.jpに転送して報告できます。 - Amazon公式の注意喚起を確認:Amazon詐欺の見分け方(Amazon公式)
■ 関連記事
本レポートの結論
今回のAmazon偽メールは、送信にMicrosoft Azure、フィッシングサイトにTencent Cloudを使用した中国系攻撃グループによるものです。テンプレート変数の未置換という致命的なミスがありながら、フィッシングサイト自体はAmazonそっくりに精巧に作り込まれており油断は禁物です。Chromeは「危険なサイト」として既に検知していますが、古いブラウザや警戒が薄い方には通用してしまいます。Amazonからの正規メールは「@amazon.co.jp」または「@amazon.com」のみ。それ以外のドメインからのAmazonメールは全て偽物です。支払い情報の確認は必ずアプリか公式サイトから行ってください。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
調査日:2026年6月18日 / Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・ロケーション情報は調査時点のものであり、日々変化する可能性があります。本記事の情報に基づいて生じた損害について、当ラボは責任を負いかねます。
根拠データ参照元:ip-sc.net
