【実録】「Amazon配送:受け取りスポット到着」偽メールのコピペミスを分析
| 緊急性レベル | ★★★★★ (5/5) |
| 偽装工作精度 | ★★★★☆ (4/5) |
■ メールヘッダー解析(送信者情報)
件名:[spam] Amazon配送:受け取りスポット到着 のお知らせ
送信者名:“配送センター”
送信元アドレス:noreply@k8m2n5p1.qzbsj.com
ドメインIP解析:20.48.100.132 (k8m2n5p1.qzbsj.com)
受信日時:2026年06月19日 14:19
※ヘッダーには受信者の情報が含まれるため、本来なら掲載してご紹介するのが本筋ですが、個人情報保護のため伏せさせていただきます。
ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
[spam] Amazon配送:受け取りスポット到着 のお知らせ 送信者:"配送センター" <noreply@k8m2n5p1.qzbsj.com> amazon.co.jp お荷物をお近くの受け取りスポットに預けました Amazonをご利用いただきありがとうございます。 Nikeでご注文いただいた商品について、ヤマト運輸の配送員がご連絡できず、お近くの受け取りスポットにお荷物をお預けしました。 お手数ですが、下記ボタンより受け取り場所をご確認ください。 受け取り場所を確認する お受け取りに関するご案内 受け取り期限は通常7日間 本人確認書類をご用意ください 24時間受け取り可能なスポットも 配送に関するお問い合わせ 受け取り場所の詳細を見る 配信停止はこちら | 会員情報の設定変更 | プライバシー規約 ©2026 Amazon.com, Inc. or its affiliates. All rights reserved. 送信者:アマゾンジャパン合同会社 住所:〒100-0001 東京都千代田区丸の内1-1-1(※実際の住所に置き換えてください) 各種お問い合わせ:こちら
💡 犯人の「お粗末な」失敗ポイント(笑)
今回の詐欺グループは、本文の背景が白で末尾数行が水色という、非常によく出回っている「詐欺メールの標準キット(ひな形)」をそのまま使っています。
ロゴや配置を本物そっくりに真似ていて一見クオリティが高そうなのですが、メールの最下部(フッター)を見てみてください。
住所の欄に、堂々と「(※実際の住所に置き換えてください)」という文字が残ってしまっています!
どうやら海外の犯人グループが、ひな形をコピーして使う際に、システム側から「ここにちゃんと日本の住所を入れろよ」と指示されていた開発用のカンペ(注記)を消し忘れて、そのまま配信してしまったようです。せっかく綺麗に騙そうとしたのに、最後にトホホな自爆をしてしまっているのがなんとも滑稽ですね(笑)。
■ 送信ルート及び偽装判定
Receivedヘッダー解析(サーバー通過証明):
Received: from k8m2n5p1.qzbsj.com (unknown [20.48.100.132])
Received: from mail.075918.business ([181.93.64.251])
【偽装判定・世界をまたぐ中継経路】:
正規のAmazonから送られるメールであれば、送信ドメインは必ず「amazon.co.jp」などの公式ドメインになります。しかし、今回の表示ドメインは「k8m2n5p1.qzbsj.com」という、でたらめに作られた無関係なものです。
さらにメールの「通過証明書(Receivedヘッダー)」を詳細に分析すると、非常に怪しい経路が浮かび上がりました。最終的にメールを送りつけてきたIPアドレス(20.48.100.132)は、米国マイクロソフトのクラウドサービス(Azure)が悪用されている形跡があります。しかしその手前で、なんとアルゼンチン(Telecom Argentina)のIPアドレス「181.93.64.251」から中継されていることが確認されました。地球の裏側を経由して日本のあなた宛てに配送通知が届くなんて、冷静に考えればあり得ない話ですよね。
発信元・経由地のロケーション解析:
最終送信元IP:20.48.100.132(米国・Microsoft Azure悪用型)
中継経路IP:181.93.64.251(アルゼンチン)
Googleマップ:【位置情報を確認する】
※ロケーション情報は調査時点のものです。IPアドレスの割り当てや中継経路は、攻撃者によって随時変更される場合があります。
■ フィッシングサイト詳細解析(二面性:クローキングの罠)
誘導先URL(伏せ字):hxxps://www.qalviroenterprisee.com/ (一部伏字)
リンクドメイン:qalviroenterprisee.com
サイトサーバーIP:不明(ip-sc.netで手動確認要)
【サイトの状態と仕掛け】:
メール内の「受け取り場所を確認する」ボタンをクリックすると、真っ先にCloudflare(大手ネットワークセキュリティ基盤)の「安全な接続を確認しています」というおなじみの白い画面が表示されます。
「セキュリティの確認中なんだな」と安心させておいて、実はこれこそが現代の詐欺サイトが多用する「クローキング(隠れ蓑技術)」という狡猾なシステムです。セキュリティ会社や警察の調査ロボット(自動巡回)がアクセスしてくると、この画面でシャットアウトして「何もない正常なエラー画面」を見せて追跡をかわします。その一方で、一般の読者がスマホなどからアクセスした時だけ、次のステップである本物そっくりの偽Amazonログイン画面(携帯電話番号やEメール、パスワードを盗み取る画面)を露出させるという、表と裏の顔を使い分ける卑劣な仕組みになっています。
■ 注意点と対処法
- 身に覚えのない通知のボタンは絶対に押さない:「Nikeの注文」など、具体的なブランド名を出して焦らせてきますが、絶対にメール内のリンクからログインしてはいけません。
- ログインや確認は必ず公式アプリ・ブックマークから:本当に荷物やお支払いに問題がある場合は、Amazonの公式スマートフォンアプリを開くか、あらかじめ自分でブックマークしている正規の公式サイトにアクセスすれば、必ず「重要なお知らせ」や「注文履歴」にメッセージが届いています。
- 公式注意喚起の参照:Amazon.co.jp ヘルプ:AmazonからのEメール、SMS、電話、はがきかどうかを見分ける
本レポートの結論
今回のAmazonを騙る偽不在通知メールは、一見きれいなデザインですが、フッターの「※実際の住所に置き換えてください」というお粗末なコピペミスによって明確に偽物と見破ることができます。しかし、裏側で使われている世界的な中継ルートや、調査員の目を盗む「クローキング技術」は非常に高度化しています。今後、文章のミスが修正されたら一気に被害者が増える危険性があります。あなたの大切な家族や周りの方が騙されてしまう前に、以下の共有ボタンから『Amazonのこういうメール、住所のところが怪しいから気をつけて!』と今すぐ教えてあげてください。
Data Provided by Heartland-Lab Security Research Unit
根拠データ参照元:ip-sc.net
