【数の暴力】Amazon「お届け予定」詐欺が100通連投!送信元バラバラでもゴールは1つだった
| 緊急性レベル | ★★★★★ (5/5) ※確認できただけで約100通という圧倒的な配信量 |
| 偽装工作精度 | ★★★★☆ (4/5) ※SPF/DKIM両方Pass、送信者名に不可視文字を仕込むなど技術的に作り込まれている |
まず実際に届いたメールボックスの様子をご覧ください。同じ件名のメールがひたすら並んでいる光景は、見ているだけでも圧倒されます。
▼ 同一件名のメールがずらりと並んだメールボックスの様子
■ メールヘッダー解析(送信者情報)
件名:[spam] 【お届け予定】ご注文商品の配送状況および受取方法の確認
送信者表示名:“Amazon.co.jp”(※文字の間に目に見えない制御文字(ゼロ幅文字)が埋め込まれており、メールフィルターの文字列検知をすり抜ける工作がされています)
※メールヘッダー詳細は個人情報保護のため非掲載
それでは実際に届いたメール本文を見てみましょう。「お客様、ご注文の商品について」という書き出しで、配送先・受取方法の確認を促す内容です。
▼ 実際に届いた詐欺メールの一例
※以下の内容は届いた詐欺メールを技術検証のために忠実に再現したものです。
お客様、ご注文の商品について ご注文いただいた商品は、2026年06月22日にお届けを予定しております。 現在、配送先および受取方法("置き配")の設定内容に不備がないか、配送状況の確認画面より再度ご確認をお願いいたします。 また、配送担当のドライバーより、お電話(050-3035-8819)またはSMSにて、ご連絡させていただく場合がございます。 配送業者:Amazon [配送状況を確認する] ※本メールは配信専用アドレスから送信されています。 ※Amazonポイントの有効期限や、最新の注文履歴についてはカスタマーサービスにお問い合わせください。
文面は非常に自然な日本語で、ロゴや過剰な装飾もなく、一見すると違和感を持ちにくい作りです。しかし「お届け予定日」と「電話番号」だけが、届いた時期や個体によって毎回違う数字に差し替えられている点が、テンプレートを使った大量生産の証拠になっています。
■ 4通の比較で見えた「使い捨て」と「固定」の境界線
同じ件名で届いた100通の中から、最も古いもの・中間のもの・最も新しいもの・別パターンの1通の合計4通を比較しました。
| 受信時刻 | 送信元アドレス | 送信元IP | 電話番号 | 誘導先URL |
| 6/21 13:23 | sqly@sq35.wwdcfy.com | 34.104.192.27 | 050-5938-3379 | good-wanmei.com |
| 6/21 17:21 | sqly@sq39.xswlws.com | 34.104.218.28 | 050-2344-3006 | good-wanmei.com |
| 6/21 17:38 | sqly@sq05.ingwwl.com | 35.243.160.x | (確認中) | good-wanmei.com |
| 6/22 08:51 | sqly@sq08.jzandd.com | 34.104.162.58 | 050-3035-8819 | good-wanmei.com |
送信元アドレス・ドメイン・IP・電話番号は4通とも全部違うのに、誘導先URLだけは100%一致。これは同一犯による組織的な大量配信の決定的な証拠です。
送信元ドメイン(wwdcfy.com、xswlws.com、jzandd.com、ingwwl.comなど)はいずれも正規に取得・運用されており、SPF・DKIMともに認証を通過しています。記事①②で扱った「政府ドメインを丸ごと偽装する」手口とは異なり、こちらは攻撃者が自前で用意した「使い捨てドメイン」を多数取得し、その都度きちんとSPF/DKIMの設定まで済ませているという、手間のかかった作り方です。さらに送信元IPもGoogle Cloud Platformの異なるレンジ(34.104.x.x系、35.243.x.x系)にまたがっており、送信インフラそのものを複数用意していることが分かります。フィルター側からすれば「次にどのドメイン・どのIPから来るか分からない」という、非常にすり抜けやすい構造です。
■ フィッシングサイト詳細解析
誘導先URL:good-wanmei.com(複数メールで完全一致)
【サイトの状態】:調査時点では「Forbidden」と表示され、サイト自体はすでに閉鎖されています。攻撃者が通報や検知を受けて閉鎖したか、もしくは一定期間で使い捨てる運用と考えられます。
稼働当時の経路:good-wanmei.com から、最終的に pntflw.com/?type=verify&key=(個別の英数字) という人間確認(CAPTCHA)画面にリダイレクトされていたことが、複数メールの検証から確認されています。「盾アイコンを2つタップしてください」という形式で、ボットやセキュリティ企業の自動解析を回避し、実際の人間にのみ次の偽サイトを表示する仕組みです。
セキュリティソフトによる検知:ウイルスバスター クラウドが、このCAPTCHA経由の誘導先を「フィッシング」の脅威としてすでに検知・ブロックしています。
▼ ウイルスバスターによるフィッシングサイトのブロック画面
▼ 人間確認(CAPTCHA)画面
■ 注意点と対処法
- 同じ件名のメールが何度も届く場合は警戒する:正規のAmazonが同じ内容の通知を100通も送ることはありません。
- 本文中のリンクは絶対にクリックしない:「配送状況を確認する」のようなボタンは荷物の状況確認とは無関係なフィッシングサイトへの入口です。
- セキュリティソフトの警告は無視しない:「このWebサイトは安全ではない可能性があります」という表示が出たら、その場で画面を閉じてください。
- 荷物の配送状況はAmazon公式サイト・公式アプリから直接確認する:メールのリンクからではなく、ブックマークや公式アプリ経由でアクセスしてください。
- 公式注意喚起の参照:Amazonを装ったフィッシング詐欺メールによる被害を防ぐ3つのポイント(Amazon公式)
本レポートの結論
わずか1日半で約100通という、これまでの調査の中でも群を抜く配信量でした。送信者アドレス、ドメイン、送信元IP、記載の電話番号——攻撃者は使い捨てにできる部分は惜しみなく使い分けています。それでも最終的にたどり着く先のURLだけは、4通すべてで完全に一致していました。表面的な偽装がいくら巧妙でも、被害者を最終的にどこへ連れて行くか、というゴールだけは変えられません。「同じ件名のメールが何度も届く」「リンク先がいつも似たような構造」といった違和感に気づくことが、被害を防ぐ第一歩です。身近な人が騙されてからでは手遅れです。この記事のURLをコピーして、家族のLINEグループで『これ気をつけて!』と共有してあげてください。
Data Provided by Heartland-Lab Security Research Unit
※本記事に記載のIPアドレス・誘導先サイトの状態は調査時点のものであり、日々変化する可能性があります。
根拠データ参照元:ip-sc.net
今、拡散中の詐欺メール
【実録】「2年越しの毒電波を克服」魔改造B-CASカード販売メールの正体——6/17新KW対応版と称しYandex経由で届く違法勧誘の全手口を公開 
【閲覧注意】ローソンで使える5,000円分クーポンを騙る詐欺メール——AmazonとローソンのW偽装でフィルターをすり抜ける手口 
【緊急・実録】MyJCBを騙る偽「3Dセキュア再認証」詐欺メール発覚——SPF/DKIM両Pass偽装でフィルター突破、精巧な偽ログイン画面の全手口を解説 
【実録】総務省統計局を騙るアプリダウンロードキャンペーン詐欺メールの手口を公開! 
「受信メールが3通保留されています」のKAGOYAメールが届いたら要注意!BIGLOBEサーバー踏み台+化学会社サイト悪用+「kwwwa」偽ドメインという三重の罠を解剖