【調査報告】Amazonを装った「ローソン1,500円クーポン」フィッシング詐欺──「zh-」系ドメインの正体を解析

ご覧の通り、このメールは公式サイトを装った真っ赤な偽物です。被害を未然に防ぐため、この解析結果を家族のLINEグループに転送して注意喚起してください。

■ メールヘッダー解析（送信者情報）

件名：[spam] ローソンお買い物クーポン 1,500円分 付与のお知らせ

送信者名：“自動配信”

送信元アドレス：die@die.official-mk-sports.com

送信元IPアドレス：20.48.62.218（Microsoft Azure）

受信日時：2026年6月20日 12:34頃

※メールヘッダー詳細は個人情報保護のため非掲載

※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。

amazon.co.jp

ローソン1,500円クーポンのご案内

Amazonをご利用いただき、誠にありがとうございます。

このたび、対象のお客さまに向けてローソン1,500円分クーポンを進呈するご案内をお送りしています。

本メールの受信者様は該当者にあたりますので、以下より受け取り手続きを完了してください。

クーポンを受領する

ご確認事項

・キャンペーン期間：2026年6月1日〜8月31日
・1会計1,500円以上の購入で使用可能
・他のクーポンとの併用不可／現金引換不可

※このメールはお知らせ設定をオンにされたお客さまへお届けしております。ご返信いただいても対応できません。

このメールは送信専用です。

■ 送信ルート及び偽装判定

Receivedヘッダー解析（サーバー通過証明）：
Received-SPF: Pass (sender SPF authorized) identity=mailfrom; client-ip=20.48.62.218; helo=die.official-mk-sports.com

【偽装判定】：
SPF・DKIMともにPassと表示されていますが、これは攻撃者自身が用意したクラウドインフラからの送信として正規に見えるだけです。送信元IPはMicrosoft Azure上のサーバーで、Amazonの正規ドメイン（amazon.co.jp）とは一切関係がありません。

発信元ロケーション解析：
IPアドレス20.48.62.218の地理的情報は【ip-sc.netで確認する】からご覧いただけます。ロケーションデータは日々変化する可能性がありますので、あくまで調査時点の参考情報としてご覧ください。

■ フィッシングサイト詳細解析

誘導先URL（伏せ字）：hxxps://zh-official-jiebo.com/ (一部伏字)

リンクドメイン：zh-official-jiebo.com

サイトサーバーIP：43.167.5.173（Tencent Cloud）

【サイトの状態】：調査時点でアクセスを試みたところ、「404 Not Found（The page never existed on the site.）」というエラーが表示されました。サーバー自体は稼働していますが、該当のページは既に削除・移動されているようです。

■ 注意点と対処法

1. URLをクリックしない：「クーポンを受領する」ボタンの先は情報を盗むための偽サイトです。
2. Amazonがメールでクーポンを配ることは稀：不特定多数に向けた「対象のお客さまへ」という曖昧な宛名のメールは、まず疑ってかかってください。
3. 公式アプリで直接確認：Amazonの本当のキャンペーン情報は、必ず公式アプリやブックマークしたサイトから確認してください。
4. 不審なメールはAmazonへ転送：怪しいメールはstop-spoofing@amazon.comに転送することで、Amazon側の対策に役立てられます。
5. 公式注意喚起の参照：Amazon公式「Amazonを装った不正行為に対する取り組みについて」

本レポートの結論

今回のメールは、Amazonとローソンという二つの有名ブランドを組み合わせ、フィルターをすり抜けながら受け取った人の財布的な実感を刺激する手口でした。誘導先ドメインの「zh-」プレフィックスは、過去に解析した高級ブランド品詐欺とも共通しており、同じ攻撃グループが複数のキャンペーンを並行運用している可能性があります。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで「これ気をつけて！」と共有してあげてください。